O que é a Web App and API Protection?

A Web App and API Protection (WAAP) se refere-a um conjunto integrado de serviços de segurança que trabalham em conjunto para reduzir os riscos de segurança das APIs e aplicações Web.

O que é a Web App and API Protection?

As soluções de WAAP protegem contra riscos de segurança das aplicações contra a exploração de vulnerabilidades, bots, ataques automatizados, negação de serviço, fraude e abuso, e integrações de API de terceiros inseguras. 

Os controles de segurança integrados permitem que as organizações melhorem a visibilidade com percepções acionáveis que podem bloquear ataques específicos, assim como identificar campanhas de ameaças coordenadas que abrangem vários vetores de ameaças.

Por que a Web App and API Protection é importante?

Envolver os clientes com experiências digitais convincentes e seguras é um imperativo de negócios e um dos focos principais dos líderes de segurança e risco. Realizar o cálculo de risco e recompensa, que procura equilibrar segurança e usabilidade, nunca foi tão difícil, importante e lucrativo como na economia digital atual. 

A baixa tolerância dos clientes a atritos e falhas, a ampliação das implicações regulamentares e opções de escolha sem precedentes estão mudando a perspectiva de segurança, cujo foco passa dos custos para um diferencial digital competitivo. Além disso, as aplicações estão cada vez mais descentralizadas e distribuídas, implementadas em arquiteturas heterogêneas, multinuvem, e integradas em complexas cadeias de fornecimento de software e pipelines de CI/CD. 

Diagrama 1 do WAAP

Figura 1: As aplicações estão cada vez mais descentralizadas e distribuídas

A crescente sofisticação de bots e ataques automatizados, assim como a proliferação de pontos de extremidade de API, surgidos com o aumento do uso de aplicações móveis e o desenvolvimento de aplicações atuais, expande drasticamente a superfície de ameaça e introduz riscos imprevistos em integrações de terceiros.

O ciclo de vida de um ataque cibernético industrial começa com a automatização e termina com a account takeover e a fraude.

Diagrama 1 do WAAP

Figura 2: Os ataques a aplicação são persistentes e sofisticados

 

Uma solução de WAAP corresponde à evolução do mercado de WAF em áreas relacionadas, especificamente o gerenciamento de bots, segurança de API e mitigação de DDoS.

Um WAF se integra a centros de depuração de DDoS baseados em nuvem (classificado antigamente como WAAP), seja o WAF um dispositivo de hardware ou appliance virtual de um data center, nuvem privada ou nuvem pública. No entanto, o mercado está em um ponto de inflexão: muitas organizações passarão a preferir plataformas de WAAP baseadas na nuvem e a segurança como um serviço.

Há vários motivos que atraem, cada vez mais, o interesse por plataformas de WAAP baseadas na nuvem:

  1. Necessidade de tecnologia de gerenciamento de bots especializada a fim de bloquear fraudes e abusos
  2. Controles de aplicação e descoberta de API que podem reduzir o risco de integrações de terceiros
  3. Manutenção contínua da política através de APIs, estruturas de desenvolvimento e pipelines de CI/CD
  4. Proteções automatizadas e redução de falsos positivos usando uma IA desenvolvida por humanos

Os WAFs baseados em dispositivos que se integram aos serviços de segurança baseados na nuvem, e visam resultados de negócios positivos, continuarão sendo opções viáveis, inclusive a preferência, de setores altamente regulamentados, como os serviços bancários e financeiros (BFSI).

Como a Web App and API Protection funciona?

As soluções de WAAP reduzem riscos de comprometimento, exfiltração de dados, account takeover e tempo de inatividade das aplicações, porque integram vários controles de segurança a fim de proteger as aplicações, entre eles:

  • Web Application Firewall (WAF)
  • Bot Management
  • Segurança API
  • Mitigação de DDoS

As soluções de WAAP estão disponíveis em diferentes formatos:

  1. Dispositivos WAF físicos/virtuais que se integram aos serviços de segurança baseados na nuvem
  2. Instâncias WAF baseadas em microsserviços que se integram aos serviços de segurança baseados na nuvem
  3. Plataformas de WAAP baseadas em nuvem com controles de segurança DDoS, WAF, Bot e API integrados

As soluções de WAAP também incluem segurança do lado do cliente para detectar scripts/ataques de skimming maliciosos (por exemplo, ataques Magecart), controles de segurança para prevenir ataques de agregadores mal-intencionados e proteção contra account takeover por fraudes manuais.

As soluções de Application Infrastructure Protection (AIP) reforçam ainda mais a segurança das aplicações e melhoram a correção de ataques por meio da descoberta dinâmica de vulnerabilidades e da proteção da carga de trabalho em nuvem. Assim, previnem infraestruturas subjacentes contra explorações e os abusos através da integração com os controles de WAAP.

Como a F5 lida com a Web App and API Protection?

O Distributed Cloud WAAP da F5 se integra perfeitamente a qualquer arquitetura, nuvem e modelo operacional, fornecendo segurança e equipes especializadas em riscos com visibilidade total e aplicação de políticas consistente a fim de proteger aplicações antigas e modernas, desde o núcleo até a nuvem e a borda. O Distributed Cloud WAAP oferece flexibilidade e diferentes opções de modelo de implantação e modelo operacional.

A observabilidade incomparável, associada a um grande data lake com dados reais e algoritmos de aprendizado de máquina, permite que os clientes da F5 adotem os serviços de valor agregado (VAS) baseados em IA. Por exemplo, a Inteligência de autenticação, que otimiza as transações legítimas dos clientes melhorando a personalização e removendo o atrito para aumentar a retenção, conversão e lealdade do cliente.

Diagrama 1 do WAAP

Figura 3: Plataforma F5 Distributed Cloud Web App and API Protection

Conteúdo relacionado

ARTIGO

Guia de compras de WAAP

Leia o artigo ›

INFOGRÁFICO

Top 10 do OWASP para 2021: uma nova onda de riscos

Veja o infográfico ›

SIMULADOR

Distributed Cloud WAAP da F5

Experimente o simulador ›