Glossário: Termos e definições de segurança cibernética

O que é proteção de API e aplicativo da Web (WAAP)?

A Web App and API Protection (WAAP) se refere-a um conjunto integrado de serviços de segurança que trabalham em conjunto para reduzir os riscos de segurança das APIs e aplicações Web.

Significado de WAAP

As soluções de WAAP protegem contra riscos de segurança das aplicações contra a exploração de vulnerabilidades, bots, ataques automatizados, negação de serviço, fraude e abuso, e integrações de API de terceiros inseguras.

Os controles de segurança integrados permitem que as organizações melhorem a visibilidade com percepções acionáveis que podem bloquear ataques específicos, assim como identificar campanhas de ameaças coordenadas que abrangem vários vetores de ameaças.

Buu Lam dá esta lição no Brightboard sobre o que é um WAAP, para que serve e como tirar proveito de um.

O que são APIs e API Gateways?

Interfaces de programação de aplicativos (APIs) são a maneira mais comum de conectar usuários, aplicativos e serviços entre si em um ambiente de TI moderno. A maioria dos aplicativos modernos é criada usando APIs — interfaces de software que permitem que aplicativos ou serviços se comuniquem e permitem a interatividade entre produtos e serviços na forma de solicitações e respostas. No entanto, mais APIs significam mais superfície de ataque. À medida que as APIs se tornam mais comuns e são distribuídas em arquiteturas de microsserviços, é necessária infraestrutura adicional para garantir escalabilidade e segurança.

Para aplicativos baseados em microsserviços, um gateway de API atua como um único ponto de entrada no sistema e é responsável pelo roteamento de solicitações, composição e aplicação de políticas. Ele lida com algumas solicitações simplesmente encaminhando-as para o serviço de backend apropriado e lida com outras invocando vários serviços de backend e agregando os resultados.

Os gateways de API também têm recursos de segurança integrados para proteger APIs de ameaças comuns e também fornecem funções de segurança críticas, incluindo o gerenciamento de controle de acesso, autenticação e autorização para suas APIs, garantindo que somente usuários autenticados e autorizados possam acessá-las.

Um gateway de API pode ser implantado na frente de um cluster Kubernetes como um balanceador de carga (nível de vários clusters), em sua borda como um controlador Ingress (nível de cluster) ou dentro dele como uma malha de serviço (nível de serviço). Para implantações de gateway de API na borda e dentro do cluster Kubernetes, é uma prática recomendada usar uma ferramenta nativa do Kubernetes como o gateway de API. Essas ferramentas são fortemente integradas à API do Kubernetes, oferecem suporte a YAML e podem ser configuradas por meio da CLI padrão do Kubernetes.

Usar um gateway de API junto com uma solução WAAP pode fornecer camadas de segurança adicionais que se complementam.  Por exemplo, um gateway de API se concentra principalmente em gerenciar e proteger o acesso a APIs, enquanto uma solução WAAP protege aplicativos da web e APIs de uma ampla gama de ameaças de segurança, incluindo vulnerabilidades OWASP Top 10, ataques DDoS e tráfego de bots, e oferece recursos avançados, como inteligência de ameaças e detecção de anomalias baseada em comportamento.  

Por que a Web App and API Protection é importante?

Envolver os clientes com experiências digitais atraentes e seguras é um imperativo comercial e foco principal para líderes de segurança e risco. O cálculo de risco versus recompensa que tenta equilibrar segurança e usabilidade nunca foi tão difícil, importante ou lucrativo como agora na economia digital moderna. 

Escolha sem precedentes, baixa tolerância do cliente a atrito ou falha e implicações regulatórias crescentes estão mudando a perspectiva da segurança de um centro de custo para um diferencial digital competitivo. Além disso, os aplicativos estão cada vez mais descentralizados e distribuídos, implantados em arquiteturas heterogêneas e multi-nuvem e integrados em cadeias de suprimentos de software complexas e pipelines de CI/CD. 

Diagrama 1 do WAAP

Figura 1: Os aplicativos estão cada vez mais descentralizados e distribuídos

A crescente sofisticação de bots e ataques automatizados e a proliferação de endpoints de API devido ao aumento do uso de aplicativos móveis e ao desenvolvimento de aplicativos modernos expandem drasticamente a superfície de ameaças e introduzem riscos imprevistos de integrações de terceiros.

O ciclo de vida de um ataque cibernético industrial começa com a automatização e termina com a account takeover e a fraude.

Diagrama 1 do WAAP

Figura 2: Os ataques de aplicativos são persistentes e sofisticados

 

Uma solução WAAP representa a evolução do mercado WAF para áreas adjacentes, especificamente gerenciamento de bots , segurança de API e mitigação de DDoS .

Um WAF que se integra com centros de depuração de DDoS baseados em nuvem historicamente é qualificado como WAAP, independentemente de o WAF ser um hardware ou dispositivo virtual em um data center, nuvem privada ou nuvem pública. No entanto, o mercado está em um ponto de inflexão em que muitas organizações preferirão plataformas WAAP baseadas em nuvem , na forma de segurança como serviço .

Há vários motivos que atraem, cada vez mais, o interesse por plataformas de WAAP baseadas na nuvem:

  1. Necessidade de tecnologia de gerenciamento de bots especializada a fim de bloquear fraudes e abusos
  2. Controles de aplicação e descoberta de API que podem reduzir o risco de integrações de terceiros
  3. Manutenção contínua de políticas por meio de APIs, estruturas de desenvolvimento e pipelines de CI/CD
  4. Proteções automatizadas e redução de falsos positivos usando uma IA desenvolvida por humanos

Os WAFs baseados em dispositivos que se integram aos serviços de segurança baseados na nuvem, e visam resultados de negócios positivos, continuarão sendo opções viáveis, inclusive a preferência, de setores altamente regulamentados, como os serviços bancários e financeiros (BFSI).

Como avaliar um serviço WAAP em nuvem

Eficácia e facilidade de uso são frequentemente citadas como principais critérios de compra para WAAP.

O melhor WAAP da categoria ajuda as organizações a melhorar sua postura de segurança na velocidade dos negócios, mitigar comprometimentos sem atrito ou falsos positivos excessivos e reduzir a complexidade operacional para proteger consistentemente arquiteturas híbridas de várias nuvens contra vulnerabilidades críticas, abuso de lógica de negócios e riscos imprevistos. 

Os principais recursos incluem:

  • Observabilidade universal em toda a infraestrutura nativa da nuvem e na pilha completa de aplicativos
  • Descoberta e aplicação de API dinâmica
  • Resiliência durante a reformulação, escalada e evasão do invasor

Como a Web App and API Protection funciona?

As soluções de WAAP reduzem riscos de comprometimento, exfiltração de dados, account takeover e tempo de inatividade das aplicações, porque integram vários controles de segurança a fim de proteger as aplicações, entre eles:

  • Web Application Firewall (WAF)
  • Gerenciamento de bots
  • API Security
  • Mitigação de DDoS

As soluções de WAAP estão disponíveis em diferentes formatos:

  1. Dispositivos WAF físicos/virtuais que se integram aos serviços de segurança baseados na nuvem
  2. Instâncias WAF baseadas em microsserviços que se integram aos serviços de segurança baseados na nuvem
  3. Plataformas de WAAP baseadas em nuvem com controles de segurança DDoS, WAF, Bot e API integrados

As soluções WAAP também incluem segurança do lado do cliente para detectar scripts/skimming maliciosos (como ataques Magecart ), controles de segurança para evitar ataques por meio de agregadores maliciosos e proteção de conta que impede a tomada de conta por fraude manual.

As soluções de Application Infrastructure Protection (AIP) reforçam ainda mais a segurança das aplicações e melhoram a correção de ataques por meio da descoberta dinâmica de vulnerabilidades e da proteção da carga de trabalho em nuvem. Assim, previnem infraestruturas subjacentes contra explorações e os abusos através da integração com os controles de WAAP.

Como a F5 lida com a Web App and API Protection?

As soluções F5 WAAP se adaptam nativamente a qualquer arquitetura, nuvem e modelo operacional, fornecendo às equipes de segurança e risco visibilidade universal e aplicação consistente de políticas para proteger aplicativos legados e modernos, do núcleo à nuvem e à borda. As soluções WAAP da F5 oferecem flexibilidade e escolha em relação ao modelo de implantação e ao modelo operacional.

O F5 Distributed Cloud WAAP oferece observabilidade incomparável, juntamente com um grande data lake do mundo real, e algoritmos de aprendizado de máquina permitem que os clientes da F5 adotem serviços de valor agregado (VAS) baseados em IA, por exemplo, inteligência de autenticação, que otimiza transações legítimas de clientes ao melhorar a personalização e remover atritos para aumentar a retenção, a conversão e a fidelidade.

Diagrama 1 do WAAP

Figura 3: Plataforma de proteção de API e aplicativo da Web em nuvem distribuída F5

O F5 NGINX também oferece diversas opções para implantar e operar um gateway de API, dependendo dos seus casos de uso e padrões de implantação. As ferramentas universais incluem o F5 NGINX Plus , que pode ser implantado como um gateway de API leve e de alto desempenho em ambientes de nuvem, locais e de ponta.

As ferramentas nativas do Kubernetes incluem o NGINX Ingress Controller , que gerencia a conectividade de aplicativos na borda de um cluster do Kubernetes com recursos de gateway de API, identidade e observabilidade.