Die Herausforderung, APIs für eine Luxuskette zu sichern
Dan Hotels ist eine Luxushotelkette mit Anlagen in ganz Israel und Indien. Als das Unternehmen erkannte, dass seine Partner gefährdet waren, setzte es auf Akamai API Security, um die vielen API-Integrationen der Reisebranche zu sichern.
APIs schützen – eine Herausforderung
Die Kette Dan Hotels verfügt über viele verschiedene API-basierte Integrationen zur Unterstützung ihres internen Business-Intelligence-Systems. Zudem disponiert das Unternehmen über eine wachsende Sammlung externer APIs mit Partnern aus der gesamten Reisebranche. Dabei handelt es sich um große Websites wie Expedia und Booking.com, Onlinereisebüros, aber auch verschiedene andere Anbieter und kleinere Agenten.
Viele dieser API-Funktionen sind auf der Silverbyte Property Management-Plattform des Unternehmens zentralisiert. Doch für das Sicherheitsteam war nicht transparent, wie Partner auf die Systeme des Unternehmens zugreifen und mit ihnen interagieren. Außerdem fehlte jede Möglichkeit zur Steuerung dieser Aktivitäten.
Anforderung: Ein umfassender und proaktiver Ansatz
Nachdem zwei der Reisepartner des Unternehmens kompromittiert worden waren, erkannte das Team von Dan Hotels, dass ein umfassender und proaktiver Ansatz für die API-Sicherheit erforderlich war.
„Als wir den Vorfall mit unseren Partnern untersuchten, erkannten wir, wie wenig Kontrolle wir über die Nutzung unserer APIs haben“, so Yossi Gabay, Vice President of Information Systems, Dan Hotels. „Uns wurde klar, dass nicht besonders sichere Partner unsere Systeme gefährden könnten.“
Diese Erfahrung hat dem Unternehmen gezeigt, dass es dringend notwendig war, eine Reihe komplexerer API-Sicherheitsfunktionen zu implementieren.
Erfolgsfaktoren sicherer APIs
Das Technologieteam von Dan Hotels steht täglich unter großem Konkurrenzdruck, der Cybersicherheit und andere kritische Betriebsfunktionen umfasst. Aus diesem Grund musste eine Lösung her, die das API-Risiko reduzieren würde, ohne das Team mit Störungen und manuellem Aufwand zu überfordern.
Wichtig war auch, dass die gewählte Lösung über offensichtliche Angriffe hinausgeht und nuanciertere Formen des API-Missbrauchs abdeckt, der von Partnern ausgeht (siehe Abbildung).
API Security discovers, audits, and monitors all APIs and their activity using behavioral analytics to detect and respond to threats and abuse.
Warum Dan Hotels sich für API Security entschieden hat
API Security war die erste Wahl für Dan Hotels, da es eine einfache Integration, erweiterte Funktionen für Echtzeitanalysen, eine intuitive Ansicht der Daten sowie Managed Services bietet.
Einfache Integration
Dank des SaaS-Modells (Software as a Service) von API Security konnte Dan Hotels die erste Implementierung innerhalb weniger Stunden durchführen. „Die Integration war einfach und verlief reibungslos“, so Gabay. „Wir waren nicht mit neuen Aufgaben überlastet, der tägliche Betrieb wurde nicht beeinträchtigt.“
Sobald das System betriebsbereit war, arbeitete das API-Security-Team mit dem Team von Dan Hotels zusammen, um die Datenquellen und die Konfiguration so zu optimieren, dass sie den einzigartigen Zielen des Unternehmens entsprechen.
Erweiterte Funktionen für Echtzeitanalysen
Für die Hotelkette ist das Erkennen von Missbrauch ein wichtiger Schwerpunkt, und mit den Echtzeitanalysefunktionen hebt sich API Security hier von anderen Anbietern auf dem Markt ab. Die API Security-Plattform konnte die Beziehungen zwischen den API-Nutzern und -Ressourcen des Unternehmens zuordnen und so einen wertvollen Kontext liefern.
„API Security hat sich nicht nur auf das Blockieren von Angriffen konzentriert, sondern konnte uns dabei helfen nachzuvollziehen, was tatsächlich passiert ist. Wir können uns auf unerwünschtes Verhalten fokussieren, das ansonsten unbemerkt bleiben würde“, so Gabay.
Intuitive Anzeige von Laufzeitdaten
Das Team von Dan Hotels war auch sehr davon beeindruckt, wie API Security große Mengen an Informationen über API-Aktivitäten und -Bedrohungen darzustellen vermag.
„Ohne die relevanten Informationen kann man nicht darüber sprechen oder es in Ordnung bringen“, erklärt Gabay. „Sobald man versteht, was eine API tun soll und wie das im Vergleich zu den tatsächlichen Vorgängen aussieht, kann man alle relevanten Parteien einbeziehen, um Probleme zu beheben.“
Managed Services
Dan Hotels sieht einen erheblichen Mehrwert in den Managed Services von API Security.
„Unser Team konzentriert sich gleichzeitig auf Cybersicherheit und die Unterstützung wertschöpfender Aktivitäten“, sagt Yossi. „Daher ist es für uns wichtig, einen Managed Service in Anspruch nehmen zu können, der uns proaktiv warnt, wenn neue API-Risiken erkannt werden. So erhalten wir Zugang zu Experten, die in diesen API-Sicherheitsfragen auf dem neuesten Stand sowie sehr engagiert sind und eine einfache Zusammenarbeit ermöglichen.“
Mehr erfahren
Möchten Sie herausfinden, was API Security für Ihr Unternehmen bewerkstelligen könnte? Testen Sie es selbst – informieren Sie sich über Akamai API Security.
