BLOG

F5 está mudando para a esquerda para proteger APIs

Miniatura de Chuck Herrin
Chuck Herrin
Publicado em 07 de fevereiro de 2024

Interfaces de programação de aplicativos (APIs) são o sistema nervoso central oculto de nossas vidas digitais modernas. Todos os dias, o dia todo, as APIs alimentam os aplicativos que usamos para comprar nosso primeiro café em uma loja favorita, entrar no escritório com nosso crachá, pegar um carro para almoçar com um colega, verificar a previsão do tempo e, finalmente, sentar no final de um longo dia para assistir a um programa de TV querido. Quase todas as organizações com as quais interagimos diariamente dependem de APIs para impulsionar seus negócios digitais, quer pensem dessa forma ou não.

A ascensão do desenvolvimento e entrega de software com prioridade para API mudou o mundo para melhor, de inúmeras maneiras. Mas há um problema: quando seus aplicativos e arquiteturas mudam, sua superfície de ataque também muda. Medidas de segurança tradicionais como WAF, DDoS e proteção contra bots continuam essenciais, mas não conseguem proteger totalmente essas APIs. Eles foram criados para as superfícies de ataque da época, incapazes de prever as superfícies de ataque futuras e as mudanças provocadas pela rápida adoção de APIs nos últimos anos.

Como líder global em segurança de aplicativos e APIs, a tecnologia F5 está no caminho de dados de quase metade dos aplicativos do mundo, fornecendo uma linha de visão exclusiva sobre os ataques a aplicativos modernos da web e móveis. Nossa análise mostra que hoje mais de 90% dos ataques cibernéticos baseados na web têm como alvo endpoints de API, tentando explorar vulnerabilidades mais novas e menos compreendidas, geralmente expostas por APIs não monitoradas ativamente por equipes de segurança.

À medida que os ataques e as superfícies de ataque mudam, sua defesa também deve se adaptar. O foco atual do setor em IA generativa também está estimulando o rápido crescimento no volume de aplicativos e APIs para dar suporte a modelos de inteligência artificial e aprendizado de máquina (IA/ML), adicionando ainda mais complexidade. As empresas modernas precisam de uma estratégia de defesa dinâmica, com foco na descoberta e mitigação de riscos antes que eles se transformem em violações caras, embaraçosas e muitas vezes evitáveis.

O ritmo dessas mudanças rápidas tornou a proteção de APIs críticas um desafio significativo para organizações de todos os tipos. Equipes já sobrecarregadas de desenvolvedores e defensores muitas vezes nem sabem quantas APIs suas empresas usam, onde elas estão e os riscos de conformidade e outros riscos associados aos dados críticos e processos de negócios que essas interfaces suportam.

Embora a tecnologia esteja sempre mudando, o fenômeno da segurança de API ressalta os princípios fundamentais da segurança cibernética. Há uma razão pela qual as principais estruturas de controle, como o NIST, quase sempre começam com “Identificar” primeiro. Simplificando, você não pode proteger o que não pode ver, e é impossível gerenciar efetivamente o risco de uma superfície de ataque que você não entende.

Crédito: N. Hanacek/NIST

Os pontos cegos da API se tornaram um problema fundamental, e muitas organizações estão voando às cegas hoje em dia quando se trata de suas APIs. A Gartner e outros analistas do setor preveem desde pelo menos 2019 que as APIs se tornariam o vetor de ataque número 1, e nossos dados corroboram essa afirmação, sem sinais de desaceleração.

O setor de segurança cibernética respondeu, até agora principalmente com soluções pontuais voltadas para um aspecto do desenvolvimento de API ou outro. Esses produtos oferecem recursos diversos, mas limitados, como descoberta de API para encontrar APIs que estão em uso ou ferramentas de verificação e teste para ajudar a encontrar vulnerabilidades e tentar fechar essas lacunas.

Mas o futuro da segurança de API não é um conjunto de soluções pontuais que você deve improvisar e tentar integrar sozinho. Digite F5 Distributed Cloud Services .

Para construir o futuro da sua empresa, você deve equipá-la para o futuro.

Os líderes do setor em computação distribuída e segurança de aplicativos da F5 perceberam essa ênfase essencial em APIs e, há 5 anos, começaram a desenvolver um conjunto revolucionário de recursos lançados no mercado como F5 Distributed Cloud Services.

Os aplicativos atuais com tecnologia de IA dependem de um arranjo distribuído de fontes de dados, modelos e serviços em implantações locais, na nuvem e na borda, unidos por um número cada vez maior de APIs. Para ajudar os clientes a navegar por esses desafios e oportunidades interligados, temos o prazer de anunciar que a F5 está trazendo testes avançados de código de API e análise de telemetria para o F5 Distributed Cloud Services, criando a solução de segurança de API mais abrangente e pronta para IA do setor. A adição de recursos adquiridos recentemente do inovador em segurança de API Wib permite a detecção de vulnerabilidades e a observabilidade em processos de desenvolvimento de aplicativos, identificando riscos e implementando políticas antes que as APIs entrem em produção.

Assim como o futuro da segurança de API, a F5 Distributed Cloud Platform foi criada para o futuro de toda a computação empresarial, compartilhando estes atributos essenciais:

  • Multinuvem
  • API em primeiro lugar
  • Desenvolvido por IA

Tornando o melhor ainda melhor

A F5 já ofereceu descoberta e proteção de API robustas no conjunto de serviços de proteção de API e aplicativos da web ( WAAP ) da F5 Distributed Cloud. A plataforma cria e valida automaticamente esquemas robustos para APIs, esclarece riscos de API com insights acionáveis, utiliza IA/ML para mitigar ataques complexos de API e muito mais. Com o Distributed Cloud WAAP, juntamente com o NGINX App Protect e o BIG-IP Advanced WAF, a F5 oferece aos clientes a capacidade única de proteger qualquer aplicativo e qualquer API, em qualquer lugar.

E agora o F5 está mudando para a esquerda, para abordar o ciclo de vida completo da API.

A combinação da plataforma Wib com o F5 Distributed Cloud API Security fornece a solução de segurança de API mais abrangente do setor.

Para conseguir isso, estamos ampliando os recursos atuais de descoberta e proteção de API com:

  • Análise de código de API para descobrir endpoints de API e avaliar seus riscos antes de serem implantados na produção.
  • Testes de API para investigar vulnerabilidades e validar ameaças suspeitas detectadas em código e análise de tráfego.
  • Análise de conformidade de API para garantir uma postura adequada de segurança de API alinhada aos requisitos regulatórios do cliente.
  • Avaliação de superfície de ameaça de API para monitorar os ativos públicos de uma organização quanto ao surgimento de novas APIs e aquelas que estão fora da governança de segurança.
  • Mecanismo de fusão de segurança de API para criar uma solução perfeitamente integrada, onde cada ameaça, vulnerabilidade ou insight é validado em todas as fontes de informação.


Como ex-CTO da Wib e um recém-nomeado F5er, compartilho o entusiasmo da equipe em trazer os recursos da Wib para os Serviços de Nuvem Distribuída da F5, e já estamos trabalhando duro para integrar nossa tecnologia para fornecer a plataforma de segurança de API mais robusta e abrangente que o mundo já viu.

Junte-se a nós para proteger seus aplicativos e APIs com a primeira solução holística de segurança de aplicativos e APIs do mundo, com verdadeira visibilidade e segurança do código à nuvem.

Corra em qualquer lugar, com segurança em todos os lugares — somente com a F5.