El desafío de proteger las API para una cadena hotelera de lujo
Dan Hotels es una cadena hotelera de lujo con propiedades en Israel y la India, y cuando la organización se dio cuenta de que sus partners se habían visto comprometidos, recurrió a Akamai API Security para proteger sus numerosas integraciones de API en el sector turístico.
El desafío de proteger las API
La cadena Dan Hotels cuenta con numerosas integraciones basadas en API diferentes que respaldan su sistema interno de inteligencia empresarial. También cuenta con una creciente recopilación de API externas con partners del sector turístico, incluidos los principales sitios web de viajes como Expedia y Booking.com, agencias de viajes online y otros proveedores y agentes más pequeños.
Aunque muchas de estas funciones de API están centralizadas en la plataforma de gestión de propiedades Silverbyte de la empresa, el equipo de seguridad descubrió que carecía de visibilidad en cuanto a las formas específicas en que los partners accedían a sus sistemas e interactuaban con ellos, y de la capacidad necesaria para controlar estas actividades.
Necesitaban: Un enfoque más sofisticado y proactivo
Al verse comprometidos dos de los partners del sector turístico de la empresa, el equipo de Dan Hotels decidió que era necesario adoptar un enfoque más sofisticado y proactivo en lo que respecta a la seguridad de las API .
"Cuando investigamos el incidente con nuestros partners, nos dimos cuenta del poco control que teníamos sobre cómo se utilizan nuestras API", afirma Yossi Gabay, vicepresidente de sistemas de información de Dan Hotels. "Estaba claro que los partners menos seguros podrían poner en riesgo nuestros sistemas".
Esta experiencia intensificó la sensación de urgencia de la empresa para implementar un conjunto más sofisticado de capacidades de seguridad de API.
Factores de éxito de las API seguras
El equipo tecnológico de Dan Hotels se enfrenta a diario a muchas presiones contrapuestas que abarcan la ciberseguridad y otras funciones de operaciones esenciales. Por este motivo, buscaba una solución que redujera el riesgo de las API sin sobrecargar al equipo con excesivas alertas ni esfuerzo manual.
También era importante que, independientemente de la solución que eligieran, el enfoque fuera más allá de los ataques obvios, de forma que cubriera más variedades de abuso de API con origen en los partners (figura).
API Security discovers, audits, and monitors all APIs and their activity using behavioral analytics to detect and respond to threats and abuse.
Por qué Dan Hotels ha elegido API Security
API Security fue la opción de preferencia de Dan Hotels gracias a su integración sencilla, sus funciones de análisis avanzadas en tiempo real, su presentación intuitiva de los datos y sus servicios gestionados.
Integración sencilla
El modelo de software como servicio (SaaS) de API Security permitió a Dan Hotels comenzar una implementación inicial en cuestión de horas. "Era una integración muy sencilla sin fricciones innecesarias", señala Yossi. "No nos vimos sobrecargados con nuevas tareas, por lo que no hubo ninguna interferencia con nuestras operaciones diarias".
Una vez que el sistema estaba en funcionamiento, el equipo de API Security colaboró con el equipo de Dan Hotels para ajustar las fuentes de datos y la configuración con el fin de adaptarlas a los objetivos particulares de la empresa.
Funciones de análisis avanzadas en tiempo real
Debido al enfoque de la cadena hotelera en la detección de ataques, las funciones de análisis en tiempo real de API Security la diferencian de otras opciones del mercado. La plataforma de API Security fue capaz de mapear las relaciones entre los usuarios y los recursos de API de la empresa, proporcionando un contexto valioso.
"En lugar de centrarse únicamente en bloquear los ataques, API Security nos ayudó a comprender lo que estaba sucediendo en realidad y a centrarnos en comportamientos no deseados que, de otro modo, pasarían desapercibidos", afirma Yossi.
Presentación intuitiva de los datos de tiempo de ejecución
El equipo de Dan Hotels quedó muy impresionado también con la capacidad de API Security para mostrar grandes cantidades de información sobre la actividad y las amenazas de las API.
"Cuando no se tiene información, no se puede mantener una conversación ni arreglar las cosas", explica Yossi. "Tan pronto como se entiende lo que se supone que debe hacer una API y se compara con lo que realmente está sucediendo, es posible involucrar a todas las partes relevantes para solucionar cualquier problema".
Servicios gestionados
Dan Hotels considera que los servicios gestionados de API Security ofrecen un valor añadido.
"El enfoque de nuestro equipo suele dividirse en ciberseguridad y actividades generadoras de ingresos", afirma Yossi, "por lo que poder contratar un servicio gestionado que nos avise de forma proactiva cuando se identifican nuevos riesgos de API es muy importante para nosotros. Nos permite colaborar con personas que están a la vanguardia de toda la problemática relativa a la seguridad de las API, que además están muy comprometidas y con las que es fácil trabajar".
Compruébelo usted mismo
¿Desea explorar lo que nuestro producto API Security podría hacer por su organización? Pruébelo usted mismo: eche un vistazo a Akamai API Security.
