Aflac stärkt sein digitales Geschäft gegen API-Angriffe

Finanzdienstleister müssen Innovationen beschleunigen, da Verbraucher immer stärker von physischen Erlebnissen zu digitalen Interaktionen wechseln. Das war auch bei Aflac der Fall. Doch um die Ziele der digitalen Transformation zu erreichen, musste Aflac keinen zentralisierten, sondern einen verteilten Ansatz für die Bereitstellung neuer Anwendungen verfolgen. Der zentrale Ansatz war zwar aus Sicht des Ressourcenmanagements von Vorteil, verkomplizierte aber das bereits schwierige Asset Management.

Darüber hinaus war das Unternehmen stark auf die vorhandenen API-Gateways angewiesen, um Einblicke in die API-Umgebung zu erhalten. Auch das war ein wichtiges Thema für die Führungsebene. Zwar sind API-Gateways Komponenten des API-Bereitstellungs-Stacks, doch sie bieten nicht die Sicherheitskontrollen und Beobachtungsmöglichkeiten, die für einen angemessenen APl-Schutz erforderlich sind. Darüber hinaus brachten APls, die außerhalb eines Gateways implementiert wurden, weitere Transparenz- und Sicherheitsprobleme mit sich.

„Wir wussten, dass wir eine große API-Präsenz hatten, und wir wollten uns voll und ganz darauf verlassen können, dass wir alle API erkennen, dass wir vollständigen Einblick in ihren Betrieb haben und dass sie kontinuierlich auf Sicherheitsrisiken getestet werden. Das war ein wesentlicher Bestandteil unserer Strategie, um vor dem Hintergrund der immer größeren technologischen Basis das Risiko einer Ausnutzung zu minimieren“, so Goldsworthy.

Aflac wusste, dass es nicht nur ein vollständiges Bild des API-Bestands benötige, sondern auch in der Lage sein musste, APls vor Angriffen zu schützen. In Anbetracht seines guten Rufs und der globalen Reichweite war sich das Unternehmen bewusst, dass es schnell zum Angriffsziel werden könnte. Es benötigte eine ganzheitliche API-Sicherheitslösung, die nicht nur die Transparenz steigerte, sondern es auch ermöglichte, Schwachstellen und Angriffe zu beheben, um nicht zu einer weiteren Schlagzeile zu werden.

„Noname (mittlerweile ein Unternehmen von Akamai) war die fortschrittlichste und umfassendste API-Sicherheitslösung, die wir getestet haben. Sie übertraf sogar unsere ursprünglichen Anforderungen. Noname (mittlerweile ein Unternehmen von Akamai) verfügt nicht nur über die Technologie, um unsere aktuellen Anforderungen zu erfüllen. Ich war auch mit dem zufrieden, was ich auf der Roadmap gesehen habe, wenn es um die Bewältigung neuer Sicherheitsherausforderungen geht“, fügt Goldsworthy hinzu.

Nach der Evaluierung der Noname API Security Platform (heute Teil von Akamai API Security) entschied sich Aflac für die umfassendste Lösung zum Schutz seiner APls – viele davon befinden sich in seiner AWS-Umgebung. Die Lösung bietet sowohl API-Erkennung als auch -Laufzeitschutz, sodass das Unternehmen über alle API-Arten hinweg vollständige Transparenz erhält, darunter HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC und gRPC.

Das API-Erkennungsmodul bietet außerdem Einblicke in die Datentypen, die die APls des Unternehmens durchlaufen. So erhält Aflac einen Überblick darüber, welche APls auf vertrauliche Daten zugreifen, und kann Anomalien beim Datenzugriff erkennen.

Das heißt auch, dass das Unternehmen über Echtzeitschutz verfügt, um API-Angriffe abzuwehren. Die Lösung nutzt automatisierte Erkennung mit KI und maschinellem Lernen, um Echtzeit-Datenverkehrsanalysen durchzuführen und kontextbezogene Einblicke in Datenlecks, -manipulationen, Richtlinienverstöße, verdächtiges Verhalten und API-Sicherheitsangriffe zu erhalten.

Akamai API Security läuft außerhalb des Bandes und nutzt VPC-Verkehrsspiegelung, um den API-Verkehr von AWS Application Load Balancer in die Umgebung von Aflac zu kopieren. Dieser Ansatz ermöglicht die Überwachung ohne Beeinträchtigung der Performance. Die Daten werden dann zur weiteren Analyse an Remote-Engines von Akamai weitergeleitet, die auf EC2-Instanzen bereitgestellt werden. Die Plattform ruft auch Informationen aus den API-Gateways von Aflac ab, indem sie Ausführungsprotokolle und Zugriffsprotokolle an Amazon CloudWatch sendet. Dank der umfassenden Integrationsmöglichkeiten, die Akamai im gesamten AWS-Ökosystem bereitstellt, erhält Aflac den nötigen Support, um seine Datensicherheitsverpflichtungen zuverlässig zu erfüllen.

Aflac plant bereits, seine API-Sicherheitsabdeckung weltweit zu erweitern, insbesondere in Japan. Asien ist ein aufstrebender Markt für das Unternehmen und es möchte sicherstellen, dass seine Kunden in Schwellenländern dasselbe Sicherheitsniveau erhalten. Das wird Aflac nicht nur weiterhin von der Konkurrenz abheben, sondern auch den Ruf als kundenorientiertes Unternehmen stärken.

Das Unternehmen implementiert außerdem das Testmodul von Akamai API Security, mit dem es Schwachstellen während der Entwicklung identifizieren und beheben kann, bevor sie die Produktion erreichen. Getreu dem Shift-Left-Ansatz bietet das Testmodul eine Reihe API-basierter Sicherheitstests, die das Sicherheitsteam bei Bedarf oder im Rahmen einer Cl/CD-Pipeline (Continuous Integration/Continuous Delivery) ausführen kann, um sicherzustellen, dass APls sicher implementiert werden. Aflac sieht in den Testfunktionen von Akamai API Security einen strategischen Vorteil, der es dem Unternehmen ermöglicht, Tests zu verbessern und die vorhandenen Tools für die Anwendungssicherheit durch eine umfassende API-Sicherheitstestlösung zu erweitern.

„Wir freuen uns, dass ein echter Marktführer unsere API-Umgebung schützt. Wir vertrauen auf die Sicherheitsplattform (mittlerweile Teil von Akamai API Security), das Team und die Vision von Noname. Da wir bereits so viel Wert realisiert haben – und angesichts seiner beeindruckenden Innovationsfähigkeit – freuen wir uns schon darauf, was die Zukunft unserer Partnerschaft bieten wird“, so Goldsworthy.

Aflac Incorporated ist ein Fortune-500-Unternehmen, das über seine Tochtergesellschaften in den USA und Japan Millionen von Versicherungsnehmern und Kunden finanziellen Schutz bietet. Wenn ein Versicherungsnehmer oder Versicherter krank oder verletzt wird, zahlt Aflac umgehend Geldleistungen für berechtigte Ansprüche direkt an den Versicherten (sofern nicht anders angegeben). Seit mehr als sechs Jahrzehnten können sich Versicherungsnehmer dank der freiwilligen Versicherungspolicen von Aflac ganz auf die Genesung konzentrieren und haben keinen finanziellen Stress.