HR-Softwareentwickler schützt seine APIs

Seit 2015 optimiert HiBob die Arbeitsweise von Organisationen in der modernen Arbeitswelt. Das innovative Unternehmen ermöglicht diese Transformation und den Arbeitsplatz der Zukunft mit seiner HR-Plattform Bob. Bob bündelt alle komplexen HR-Prozesse in einem bahnbrechenden, nutzerfreundlichen Tool, das Mitarbeitern im gesamten Unternehmen zugutekommt. Unternehmen, die Bob einsetzen, können den Einstellungsprozess beschleunigen, die besten Talente binden und das Engagement der Mitarbeiter fördern. Dank dieser Optimierungen war das Unternehmen in der Lage, weniger als drei Jahre nach dem Erreichen des Meilensteins von 10 Millionen US-Dollar ARR (Annual Recurring Revenue) die Marke von 100 Millionen US-Dollar ARR zu überschreiten. Als das Unternehmen erkannte, dass die Sicherheit der API-Entwicklung und -Bereitstellung erhöht werden muss, setzte es auf Akamai API Security.

Wie viele Innovatoren in der Branche verfolgt HiBob einen schnellen Entwicklungsprozess, der auf APIs basiert. Dieser agile Ansatz ermöglicht es, seinen mehr als 3.500 Kunden kontinuierlich neue und aktualisierte Funktionen bereitzustellen. Da sich aber die Unternehmensumgebung ständig verändert, wird Sicherheit zu einer Herausforderung. HiBob erkannte die Notwendigkeit, diese potenzielle Sicherheitslücke zu schließen, und übertrug zusätzlich zu seinem Sicherheitsteam auch seinen Entwicklern und DevOps-Teams die Verantwortung für die Sicherheit.

Obwohl dies ein wichtiger Schritt zur Verbesserung der Sicherheitslage war, musste HiBob sein Sicherheitsteam, seine Entwickler und DevOps auch mit besseren Einblicken in die API-Umgebung des Unternehmens unterstützen. Wie Tamir Ronen, Global CISO bei HiBob, erklärt, verwenden Unternehmen APIs als wichtigste Technologie für die Verbindung von Services und die Datenübertragung. Viele Unternehmen haben aber Schwierigkeiten, ihre APIs angemessen zu schützen.

„API-Angriffe folgen keinen Mustern. Daher bieten Web Application Firewalls (WAFs) nur wenige Einblicke und begrenzte Sicherheit, wenn es um die Geschäftslogik geht, die das Kernstück von APIs bildet. Außerdem sind WAFs nicht hilfreich, wenn ein neuer Prozess eine neue Geschäftslogik mit sich bringt“, erklärt er.

Da sensible Kundendaten über die APIs übertragen wurden, wusste Ronen, dass eine Sicherheitslösung hermusste, die die Geschäftslogik und Datenübertragung von APIs versteht. „Ein schnelllebiges Unternehmen wie unseres erfordert eine bessere API-Transparenz und ein Verständnis dafür, wie Änderungen an der Geschäftslogik sicher vorgenommen und implementiert werden können“, fährt er fort.

Ronen entschied sich für Akamai API Security. Die Datenverschlüsselung ist seiner Meinung nach die wichtigste Funktion. „Wir können die an die Akamai Connected Cloud gesendeten Daten verschlüsseln, ohne dass die Daten externen Parteien zugänglich gemacht werden. Und API Security lernt auf sichere Weise Informationen zur API-Nutzung und Geschäftslogik basierend auf den Hashwerten der Daten“, so Ronen.

Er schätzt auch die API-Erkennungsfunktion, die ungeschützte APIs erkennt und eine regelmäßig aktualisierte Liste dieser APIs anzeigt. „Die Erkennung in einer schnelllebigen Umgebung ist entscheidend, denn schon ein einziger Fehler im Entwicklungsprozess kann ein Sicherheitsproblem verursachen, wenn eine API einen Payload mit Daten zurückgibt, die nicht vorhanden sein sollten. Das Gleiche gilt für die Shadow-Endpoints, die ein potenzielles Risiko darstellen können, das leicht zu übersehen ist.“

Ebenso wichtig ist die Funktion zur Verhaltensanalyse, mit der Bedrohungen und Logikmissbrauch in der gesamten API-Umgebung von HiBob erkannt und Reaktionen ausgelöst werden, um diese abzuwehren. „Verhaltensanalysen sind entscheidend, um API-Probleme in unserer sich ständig verändernden Umgebung im Auge zu behalten“, erklärt Ronen.

Auch die Vorteile von API Security ShadowHunt sind wertvoll für das Unternehmen. ShadowHunt ist ein verwalteter Threat-Hunting-Service, der von den Akamai-Experten für API Threat Hunting unterstützt wird.

Die einfache Bereitstellung von API Security überzeugte HiBob sofort. „Allein die Transparenz unseres API-Portfolios war erstaunlich“, sagt Ronen.

Darüber hinaus erwiesen sich die Verhaltensanalysen schnell als nützlich. Für HiBob ist es wichtig, zu verstehen, ob etwas Verdächtiges in den Geschäftsworkflows passiert. Mit API Security war das Unternehmen in der Lage, ein grundlegendes Verständnis für zulässige Nutzeraktionen zu entwickeln. „Wir werden automatisch über alle Aktionen informiert, die nicht dem gängigen Nutzerverhalten entsprechen, sodass sofort eine Untersuchung eingeleitet werden kann. Seit wir API Security verwenden, wissen wir nicht nur, wann wir ein Problem nachverfolgen müssen, sondern haben auch die Zeit für die Analyse von API-bezogenen Problemen und Ereignissen um 25 % reduziert“, fährt er fort.

Außerdem konnten Ronen und sein Team zusammen mit den Akamai-Experten für Threat Hunting einen Alarm erstellen, der ausgelöst wird, wenn jemand die WAF des Unternehmens umgeht und ein API-Aufruf von einer öffentlichen API erfolgt.

Das ist noch nicht alles. Die Lösung von Akamai unterstützt die Sicherheits- und DevOps-Teams dabei, eine gemeinsame Sprache zu finden, wenn es um die API-Sicherheit im Netzwerk und auf Endgeräten geht. Wenn also das Sicherheitsteam Details und Statistiken von API Security über das Verhalten einer bestimmten API in Bezug auf die Endpunktnutzung und den Datenfluss weitergibt, kann das Entwicklungsteam sofort reagieren. „Akamai API Security hat uns dabei geholfen, unsere wichtige API-Umgebung zu sichern und gleichzeitig die Zusammenarbeit zwischen unseren Sicherheits- und Entwicklungsteams noch weiter zu verbessern“, fasst Ronen zusammen.

HiBob verändert mit seiner HR-Plattform Bob die Arbeitsweise von Unternehmen in der modernen Arbeitswelt. Bob ist Wegbereiter für den Arbeitsplatz der Zukunft und bietet eine robuste, agile Technologie, die alle komplexen HR-Prozesse in einem bahnbrechenden, nutzerfreundlichen Tool vereint, das alle Mitarbeiter im gesamten Unternehmen unterstützt.

Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Akamai Connected Cloud, eine stark verteilte Edge- und Cloud-Plattform, bringt Anwendungen und Erlebnisse näher an die Nutzer und hält Bedrohungen fern. Möchten Sie mehr über die Cloud-Computing-, Sicherheits-, und Inhaltsbereitstellungslösungen von Akamai erfahren? Dann besuchen Sie uns unter akamai.com/de und akamai.com/de/blogoder folgen Sie Akamai Technologies auf X(ehemals Twitter) und LinkedIn.