Abordando aplicativos nativos da nuvem, APIs e riscos de terceiros

A transformação digital não é mais uma palavra da moda, mas uma realidade para a maioria das organizações. De acordo com o Relatório de Estratégia de Aplicação de 2023, nove em cada dez organizações estão ativamente envolvidas em um programa de transformação digital.¹ Embora inicialmente focando em funções voltadas ao cliente, a modernização está progressivamente alcançando as operações de back-office, levando ao desenvolvimento e à implantação de novos aplicativos comerciais e voltados ao cliente. O mesmo relatório indicou anteriormente que um número significativo (41%) de organizações gerencia entre 200 e 1.000 aplicativos.²

Reconhecer as realidades da entrega de aplicativos nativos da nuvem

Essa complexidade crescente traz desafios, principalmente no que diz respeito à alocação de recursos, habilidades e disponibilidade. A lacuna persistente de habilidades continua a aumentar, com impressionantes 98% das organizações de TI admitindo que não têm os insights necessários para atingir os objetivos comerciais atuais:³

Tais percepções se concentrariam em:

Causa raiz da degradação do desempenho do aplicativo (39%)
Possível ataque (38%)
Causa raiz de problemas e incidentes de aplicativos (37%)
Comparações de desempenho histórico (35%)
Insights relevantes para os negócios (32%)

A realidade é que os aplicativos nativos da nuvem são tão seguros quanto os componentes nos quais são criados e a infraestrutura na qual são executados.

Entenda a crescente ameaça à segurança de aplicativos

O Relatório de Investigações de Violação de Dados da Verizon (DBIR) de 2022 destaca os crescentes riscos de segurança associados ao crescente volume e complexidade dos aplicativos. Os principais ativos afetados em violações de segurança são servidores, especificamente servidores de aplicativos web, que respondem por 56% de todos os ativos comprometidos.⁴

Com sua natureza voltada para a Internet, esses servidores de aplicativos da web apresentam um ponto de entrada atraente para invasores contornarem as defesas de uma organização. Somente em 2022, o Verizon DBIR observou que houve 4.751 incidentes, com 1.273 resultando em divulgação confirmada de dados envolvendo dados pessoais (69%), credenciais (67%), outros tipos de dados (29%) e registros médicos (15%).⁵

Espere que a superfície de ataque continue a se expandir

A superfície de ataque de um aplicativo compreende todos os pontos exclusivos — os “vetores de ataque” — no sistema, um elemento dentro ou sobre o sistema ou qualquer lugar ao longo de seus limites ambientais. Esses pontos fornecem caminhos para que usuários não autorizados tentem explorar o sistema para inserir dados, efetuar uma alteração ou manipular os dados ou o sistema, ou extrair dados do sistema. Há várias maneiras pelas quais uma superfície de ataque de aplicativo pode ser exposta; estas são apenas algumas:

Uso indevido de infraestrutura: A infraestrutura de nuvem pode estar mal configurada e vulnerável à exfiltração de dados, logins não autorizados em contêineres e roubo de credenciais.

Exploração de vulnerabilidade de software: Se o aplicativo tiver alguma vulnerabilidade, como software sem patches, bugs ou configurações incorretas, isso poderá expor o aplicativo a possíveis invasores.

Comprometimento de componentes de terceiros: Usar bibliotecas ou serviços de terceiros sem o devido controle de segurança pode introduzir vulnerabilidades no aplicativo.

Manipulação da interface de programação de aplicativos (API): Como os aplicativos geralmente se comunicam por meio de APIs, qualquer insegurança nessas APIs (como falta de limitação de taxa, autenticação adequada ou criptografia) pode expor um aplicativo a ataques.

À medida que as organizações continuam a modernizar seu portfólio de aplicativos e inovar na nova economia digital, o número de APIs deverá atingir um bilhão até 2031.⁶ Assim como o crescimento dos aplicativos em geral, essa expansão no âmbito das APIs agrava ainda mais os desafios associados ao gerenciamento bem-sucedido da segurança dos aplicativos.

Obtenha a vantagem sobre a segurança de aplicativos e API

Ao implantar aplicativos via Amazon Web Services (AWS), uma variedade de ferramentas de segurança nativas e especializadas pode ajudar a evitar ataques, proteger seus dados e garantir a segurança dos dados e transações de seus clientes. Para isso, quase 90% das organizações empregam uma abordagem de plataforma para acelerar a segurança.⁷

No entanto, para ser eficaz, a plataforma também deve oferecer suporte a múltiplas camadas integradas de proteção para cobrir adequadamente a amplitude da superfície de ataque mencionada acima. A coleção abrangente de recursos do F5 e da AWS protege contra esses ataques que visam as vulnerabilidades inerentes aos aplicativos nativos da nuvem e suas APIs:

AWS Web Application Firewall (WAF) no Amazon CloudFront: Fornece uma camada de proteção de aplicativo nativa que pode ser facilmente adicionada ao seu CDN.

Firewall de aplicativo da Web avançado (WAF) F5: Protege contra os ataques mais comuns aos seus aplicativos sem precisar atualizá-los.

Aplicativo NGINX protege WAF: Combina a eficácia comprovada da tecnologia WAF avançada da F5 com a agilidade e o desempenho do NGINX para evitar tempo de inatividade e violações protegendo seus aplicativos e APIs.

F5 Distributed Cloud WAAP e F5 Distributed Cloud Bot Defense: Os Serviços de Nuvem Distribuída da F5 oferecem uma solução SaaS nativa da nuvem que fornece segurança e desempenho consistentes de aplicativos, APIs e bots em escala em todas as plataformas de nuvem.

Inteligência de ameaças à segurança F5: Uma equipe de pesquisadores de nível internacional explora fóruns e recursos de terceiros, investiga ataques, faz engenharia reversa de malware e analisa vulnerabilidades para determinar métodos eficazes de detecção e mitigação.

Para saber mais sobre como proteger aplicativos baseados em nuvem contra ameaças avançadas usando as camadas de segurança nativamente integradas da F5 e da AWS, visite f5.com/aws .