Akamai duplica API Security

El uso de las API está en auge. Estas impulsan nuestro mundo y nuestra experiencia del mundo. Cada día, a medida que utilizamos nuestros dispositivos, nuestras aplicaciones favoritas se comunican con distintas API para hacer todo tipo de cosas, desde las redes sociales, las compras, las operaciones bancarias y ver cómo están nuestros hijos en la guardería. Utilizamos API al trabajar desde casa cuando nos comunicamos con las aplicaciones y servicios de nuestra empresa.

Las API se utilizan en casi todos los sectores verticales del mundo, impulsados por iniciativas empresariales como la transformación digital, la adopción de dispositivos móviles e Internet de las cosas (IoT) y la banca abierta. Las API se utilizan en B2B y B2C para hacer posible la actividad en nuestra economía en general. Casi todas las empresas que escriben aplicaciones modernas utilizan API para impulsarlas, así como para la integración de servicios entre empresas.

Como resultado, las API son uno de los vectores más atractivos para los atacantes. Los datos de Akamai muestran que los ataques a las API aumentan un 109 % cada año. En el ámbito de la un informe de 2023, el 78 % de los clientes afirmó haber experimentado algún incidente relacionado con la seguridad de las API en los últimos 12 meses. La seguridad de las API es una prioridad cada vez mayor, y Akamai está duplicando la protección de las API para sus clientes.

La adquisición de Noname Security por parte de Akamai nos permite acelerar el ya increíble crecimiento del 200 % que ha tenido la demanda de Akamai API Security. Tanto Akamai como Noname son líderes reconocidos en este espacio, y esta adquisición nos proporciona las capacidades adicionales necesarias para convertirnos en el referente en seguridad de API.

Las plataformas de protección de aplicaciones web y API (WAAP) desempeñan un papel importante en la defensa de las aplicaciones web y las API frente a clases de ataques como los de los 10 principales riesgos de seguridad de API según OWASP. Pero no resuelven todo el problema.

Otros proveedores le harían creer que las WAAP pueden resolver todos los tipos de ataques a las API, pero la realidad es que la mayoría de las soluciones WAAP no ofrecen la visibilidad y la profundidad de seguridad de API necesarias para defender de los ataques, especialmente en el caso de ataques de uso indebido. Esto se debe a que una solución WAAP no tiene la información contextual necesaria para comprender la conversación entre las solicitudes y las respuestas de las API.

Esto no es sorprendente, ya que las API funcionan de forma diferente a las aplicaciones web. En una aplicación web, la lógica empresarial que hay detrás de la misma está oculta, pero la lógica empresarial de una API puede exponerse directamente a Internet, lo que la deja expuesta al uso indebido. Un ejemplo de esto se compartió en un artículo de TechCrunch de mayo de 2024. Una plataforma WAAP no habría sido capaz de mitigar este tipo de ataque.

Esa es una de las razones por las que Akamai ha realizado importantes inversiones para avanzar en nuestra solución API Security y por las que seguimos impulsando la innovación y protección de las API con esta última adquisición.

Akamai API Security aborda muchos de los tipos de ataques especificados en los 10 principales riesgos de seguridad de API según OWASP, que provocan pérdidas de ingresos, daños a la reputación, exposición de la información e incumplimientos normativos.

Nuestra solución API Security resuelve varios problemas críticos, entre los que se incluyen la visibilidad del entorno API, la detección y el bloqueo de amenazas y anomalías, y pruebas activas de las API.

Como se suele decir: No puede proteger lo que no puede ver. Muchas empresas ni siquiera son conscientes de cuántas API tienen realmente, por lo que resulta difícil cuantificar su riesgo. Akamai API Security comienza con la evaluación del número de API que tiene un cliente, y no solo aquellas que usan activamente y conocen, sino también las API heredadas, ocultas o vulnerables que no conocen o no pueden ver. Los datos de Noname Security indican que los clientes de su plataforma de seguridad de API descubren, de media, un 40 % más de API en su entorno de lo que esperaban originalmente.

API Security utiliza el aprendizaje automático (ML) para detectar e identificar todo tipo de vulnerabilidades y usos indebidos de las API, incluyendo manipulación de datos, filtración, configuraciones erróneas e infracciones de políticas, anomalías de comportamiento y ataques directos a la seguridad de las API.

Las pruebas shift left son un componente fundamental del desarrollo de aplicaciones que aporta seguridad desde el principio. Sin embargo, hasta ahora, las API no se podían probar mientras se estaban desarrollando. Con API Security, podemos incorporar pruebas de API en la integración e implementación continuas (CI/CD) para garantizar que los problemas se resuelven antes de que la API se lance a producción.

La incorporación de Noname Security, uno de los líderes del mercado en seguridad de API, ampliará de inmediato la protección que Akamai API Security ofrece a nuestros clientes. Gracias a la amplia variedad de integraciones y opciones de implementación de Noname, ahora podemos ofrecer asistencia en todo el panorama de proveedores.

Tanto si una organización utiliza plataformas en la nube, nativas del Edge, locales u otras plataformas de proveedores, Akamai API Security puede proteger el entorno de API. Con la incorporación de la solución de Noname, Akamai tendrá el alcance y la cobertura necesarios para ofrecer una protección integral de las API a los clientes en todos los entornos.

También añadimos:

• Opciones de implementación flexibles: implementación rápida en instancias alojadas en la nube, autoalojadas, híbridas y distribuidas

• Capacidades empresariales críticas: incluyendo control de acceso basado en funciones, configuración de tipo autoservicio, integración e implementación continuas (CI/CD), paneles y respuestas automatizadas avanzadas

• Sin desafíos de límites de datos: analiza los datos del ataque en la memoria, lo que garantiza que los datos nunca salgan de su entorno

• Más integraciones: proporciona la colección de integraciones más completa del sector, incluidas NGINX, AWS, Azure, F5, Apigee, MuleSoft, GCP y muchas más; la integración en el entorno del que dispone es importante y esta solución garantiza una cobertura completa

• Pruebas de API sólidas: se centran en la búsqueda y corrección de vulnerabilidades de seguridad de las API integradas en el canal CI/CD (durante la fase de desarrollo del ciclo de desarrollo de software) antes de que se puedan explotar

Como se ha indicado, nuestro plan es combinar nuestras innovaciones en seguridad de la API actuales con la solución de seguridad Noname. La solución unificada proporcionará una protección de API completa a los clientes en todos los entornos.

Nuestro proceso de integración se centrará en tres áreas:

1. Conexión desde la red del Edge de Akamai

2. Conexión con App & API Protector

3. Inteligencia sobre amenazas

Akamai opera una de las redes privadas más grandes del mundo. Es la plataforma desde la que se prestan la mayoría de nuestros servicios, incluidos nuestros servicios de seguridad líderes del mercado (como App & API Protector y Prolexic DDoS Protection), nuestra red de distribución de contenido líder del mercado (CDN) y nuestros servicios de nube pública. A nuestros clientes empresariales les encanta lo fácil que es utilizar los servicios directamente desde nuestra plataforma, por lo que proporcionaremos integración de Noname en nuestra red para facilitar la implementación. Esperamos completar la integración tres semanas después de la adquisición.

App & API Protector es la mejor plataforma WAAP del sector, tal y como se demuestra al haber recibido el reconocimiento Customers' Choice para WAAP en la nube por quinto año consecutivo en 2024 en Gartner® Peer Insights™ y otras reseñas de analistas. Esta conexión permitirá que la inteligencia de comportamiento generada por Noname active reglas WAAP en App & API Protector para bloquear automáticamente la conexión.

Akamai recopila y analiza más de 788 terabytes de datos cada día. Todos estos datos se generan debido al enorme volumen de ataques que observamos en la base de clientes empresariales a la que prestamos servicio (observamos más de 12 000 millones de ataques web cada trimestre). Estos datos, junto con más de 200 investigadores de seguridad que trabajan con ellos, nos proporcionan una increíble inteligencia sobre amenazas. Y vamos a integrar esa fuente de datos en Akamai API Security, al igual que en todos nuestros productos.