Las seis características esenciales de las herramientas modernas de seguridad para aplicaciones web y API
A medida que las experiencias online se apoyan cada vez más en API, podemos observar dos fenómenos. En primer lugar, el usuario goza de una experiencia más rica y atractiva que nunca antes gracias a contenidos muy personalizados, streaming ultrarrápido y lógica compleja creada en el edge. En segundo lugar, la tecnología que ofrece estas experiencias deja atrás a las herramientas diseñadas para protegerla. Si sabes de lo que hablo, no eres el único.
Más de la mitad de los encuestados en «El punto de inflexión de la seguridad en la web», un informe que hemos elaborado junto con Enterprise Strategy Group (ESG) Research, afirma que la mayoría o la totalidad de sus aplicaciones utilizarán API en los próximos dos años. Esto no les impide reconocer que creen que la seguridad para API y aplicaciones web es más compleja ahora que hace dos años, en parte debido a este movimiento hacia la nube pública y aplicaciones centradas en las API.
La conclusión es que las aplicaciones modernas necesitan de herramientas de seguridad modernas que incluyan despliegue flexible, compatibilidad con DevOps y una fuerte protección para API. Para lograrlo, las soluciones de seguridad modernas para API y aplicaciones web (WAAP) deben contar con múltiples funcionalidades y capacidades. A continuación enumeramos las seis características más importantes de las herramientas modernas de seguridad para API y aplicaciones web.
1. Visibilidad y protección
Dado que el mercado ha pasado de los firewalls de aplicaciones web a la protección para API y aplicaciones web, salta a la vista que las API se están convirtiendo en el centro de las estrategias de seguridad. En consecuencia, es fundamental para las soluciones unificadas contar con visibilidad de las API que se utilizan, del tráfico entrante y de la respuesta que devuelven esos puntos de conexión. Para ello, es necesario tener compatibilidad con nuevas tecnologías de API, como GraphQL.
2. Cobertura para diferentes arquitecturas
Con tal de proteger aplicaciones antiguas, basadas en contenedores y sin servidores tanto en entornos locales como en infraestructura de la nube, las soluciones de hoy en día deben ofrecer flexibilidad de despliegue. Independientemente del tipo de aplicación que se proteja, si se busca capacidad de elección y uniformidad, es necesario poder integrar con equilibradores de carga y puertas de enlace de API, ejecutar como proxy inverso y desplegar en Kubernetes o como software como servicio (SaaS).
3. Integración con herramientas de DevOps
Por muy flexibles que sean las opciones de despliegue, si una solución no encaja con el proceso de CI/CD para garantizar la seguridad durante el recorrido de las aplicaciones hasta producción, no podrá escalar para satisfacer las necesidades de los entornos modernos. Dado el importante papel que desempeñan los equipos de aplicaciones en materia de seguridad, es fundamental que las herramientas de seguridad para aplicaciones web y API se adapten a sus procesos y se integren con las herramientas que suelen utilizar los equipos de DevOps, como Slack, PagerDuty y Jira, entre otras.
4. Automatización y orquestación
Además de integrarse con las herramientas de DevOps, las soluciones de seguridad para aplicaciones web y API deben ofrecer automatización y facilitar la orquestación en toda la infraestructura de aplicaciones. No es sostenible, con el ritmo actual de innovación, crear reglas y configuraciones manualmente y reescribir políticas cuando se despliegan aplicaciones. Las soluciones de WAAP que están diseñadas realmente para ciclos rápidos de lanzamiento aumentan las capacidades de los flujos de respuesta ante incidentes al automatizar el flujo de eventos de seguridad basándose en un contexto y una clasificación pormenorizados de los eventos. Así, la WAAP envía avisos a los equipos correspondientes en tiempo real.
5. Actualizaciones continuas
Las amenazas son tan cambiantes que toda tarea de actualización, pruebas y despliegue de reglas se hace en vano. Las herramientas que eliminan este requisito automatizando las actualizaciones pueden ayudar a aportar las ventajas operativas que se esperan al pasar a una solución unificada.
6. Bloqueo basado en el comportamiento
Asimismo, la detección basada en firmas es menos efectiva toda vez que los atacantes no paran de cambiar de táctica. Por este motivo acaba siendo una fuente de falsos positivos, que, según nuestras investigaciones, constituyen casi la mitad de todas las alertas. Es importante identificar la intención detrás de la petición en lugar de esperar a que se reconozca a la propia petición como maliciosa, pero ello debe lograrse sin generar falsos positivos ni aumentar los falsos negativos.
Siguientes pasos
Puede que la tarea de buscar nuevas herramientas y actualizar el stack parezca abrumadora, pero la realidad es que eliminar el riesgo que entraña utilizar herramientas antiguas o inadecuadas bien vale el esfuerzo temporal de modernizar tu conjunto de herramientas de seguridad.
Consulta varios consejos sobre cómo empezar a actualizar y consolidar tus procesos y stacks de seguridad. Si quieres más información sobre este asunto tan crucial, descarga el informe completo.