WAF: Las organizaciones necesitan extenderlo para abarcar la protección de API

En noviembre, el Departamento de Comercio de EE. UU informó que el comercio electrónico aumentó casi un 37% en el tercer trimestre de 2020 en comparación con el año anterior y es seguro predecir que veremos que el crecimiento continuará acelerándose a medida que la temporada de compras navideñas se acelere. Como resultado, ya hemos visto un aumento en los ataques cibernéticos en la infraestructura web que respalda estos hábitos de compra y probablemente continuará haciéndolo durante el resto de 2020.

Si usted es responsable de que la infraestructura, tiene dos imperativos que no siempre juegan bien juntos. El primer imperativo es ofrecer el tipo de experiencia de compra dinámica y atractiva que haga que los compradores compren, y el segundo es asegurar la aplicación web que cambia rápidamente y que ofrece esa experiencia. Y la superficie de ataque de esas aplicaciones no es la que solía ser. Cada vez más, esas aplicaciones web exponen las API (Interfaz de programación de aplicaciones) al mundo exterior para que sus clientes puedan comprar utilizando aplicaciones móviles.

Una forma de proteger estas API es implementar rigurosos estándares de codificación. Los datos sensibles no deben ponerse a disposición del cliente innecesariamente. Deben imponerse límites de velocidad para evitar el abuso de la API para la recolección de datos masivos. El servidor debería estar haciendo el trabajo pesado, por lo que la API no debería permitir que los clientes móviles descarguen datos más allá de lo requerido. Solo se deben utilizar protocolos de autenticación y cifrado debidamente comprobados. Pero ¿Qué pasa si no eres el desarrollador y tu responsabilidad es asegurar la implementación de una aplicación?

Los desarrolladores de aplicaciones generalmente se evalúan según la entrega de funciones, el tiempo de actividad y otras métricas. Idealmente, la seguridad está en algún lugar de su lista, pero en la práctica, hacer que la seguridad sea una prioridad principal es un desafío, especialmente cuando un equipo puede no tener amplias habilidades en ciberseguridad. Incluso cuando un equipo de desarrollo se centra en la seguridad de las aplicaciones, tener varios equipos de aplicaciones que implementen sus propios enfoques para la seguridad de las aplicaciones puede dejar a su equipo de seguridad en la oscuridad. Sin una visión clara de los eventos de seguridad en todas sus aplicaciones web, está exponiendo sus aplicaciones, y su organización, a riesgos innecesarios y graves. Un control de seguridad externo es fundamental para brindarle el control y la visibilidad que necesita.   

Un firewall de aplicaciones web con seguridad API protege a las organizaciones de las amenazas de compras en línea

Durante años, la industria ha estado implementando firewalls de aplicaciones web (WAF) para proteger las aplicaciones de amenazas comunes como ataques de inyección de SQL y secuencias de comandos entre sitios. Pero a medida que la superficie de ataque digital continúa creciendo, las organizaciones necesitan extender el concepto WAF para abarcar la protección de API y aplicaciones web (WAAP).

Si está implementando API para admitir aplicaciones de comercio electrónico móvil para sus clientes (o, en realidad, para cualquier otro tipo de aplicación), adopte una solución WAF que incluya seguridad API. Y si ya ha implementado la API y aún no tiene una solución de seguridad, no es demasiado tarde para implementar una. Una solución como FortiWeb Cloud con su módulo de seguridad API incluido, se puede implementar y administrar fácilmente en minutos, brindando soporte a las organizaciones en cualquier escenario.

Explore cómo desde Wezen puede proteger sus API