Aflac refuerza su negocio digital frente a los ataques a las API

Las organizaciones de servicios financieros tienen la tarea de innovar a un ritmo acelerado a medida que los consumidores se alejan de las experiencias físicas en favor de las interacciones digitales. Esto también se ha convertido en una realidad para Aflac. Sin embargo, para cumplir sus objetivos de transformación digital, Aflac debía adoptar un enfoque distribuido, en lugar de centralizado, para implementar nuevas aplicaciones. Si bien este enfoque ha sido beneficioso desde el punto de vista de la gestión de los recursos, ha añadido complejidad a un entorno de gestión de activos ya de por sí complicado.

Además, la empresa también dependía en gran medida de sus puertas de enlace de API existentes para proporcionar visibilidad sobre su entorno de API. lo que también era un problema notable para la dirección. A pesar de ser componentes de la pila de distribución de API, las puertas de enlace de API no están diseñadas para proporcionar los controles de seguridad ni la capacidad de observación necesarios para proteger adecuadamente las API. Además, las API implementadas fuera de una puerta de enlace presentaban aún más desafíos en cuanto a visibilidad y seguridad.

"Sabíamos que nuestra presencia de API era grande y queríamos estar completamente seguros de que teníamos controladas todas ellas, de que teníamos una visibilidad completa sobre su funcionamiento y de que se prueban continuamente para detectar riesgos de seguridad. Esto fue esencial para nuestra estrategia de lucha contra el riesgo de explotación en un contexto en el que la tecnología gana cada vez más terreno", afirma Goldsworthy.

Además de obtener una imagen completa de su entorno de API, Aflac también sabía que tenía que poder defender sus API contra los ataques. Dada su sólida reputación y su alcance global, la empresa era muy consciente de que podrían convertirse en un objetivo. Necesitaban una solución de seguridad de API integral que les proporcionara no solo visibilidad, sino también capacidad para responder a vulnerabilidades y ataques para evitar convertirse en otro titular.

"Noname (ahora una empresa de Akamai) fue la solución de seguridad de API más avanzada y completa que probamos, y superó nuestros requisitos iniciales. No solo cuenta con la tecnología necesaria para satisfacer nuestras necesidades actuales, sino que también me gustó lo que vi en su plan para afrontar nuevos desafíos de seguridad", añade Goldsworthy.

Después de evaluar la plataforma de seguridad de API de Noname (ahora parte de Akamai API Security), Aflac decidió que era la solución más completa para proteger sus API, muchas de las cuales residen en su entorno de AWS. La solución proporciona detección y protección en tiempo de ejecución de API, lo ofrece a la empresa plena visibilidad sobre cada uno de sus tipos de API, como HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC y gRPC.

El módulo de detección de API también proporciona información sobre los tipos de datos que se transmiten a través de las API de la empresa. Esto proporciona a Aflac visibilidad sobre cuáles de sus API pueden acceder a datos confidenciales e identificar cualquier anomalía en el acceso a los datos.

También significa que la empresa dispondrá de protección en tiempo real para frustrar cualquier ataque a las API. La solución utiliza la detección automatizada mediante IA y aprendizaje automático para realizar análisis del tráfico en tiempo real y proporcionar información contextual sobre la filtración de datos, la manipulación de datos, las infracciones de políticas de datos, los comportamientos sospechosos y los ataques a la seguridad de las API.

Akamai API Security se ejecuta fuera de banda y utiliza la duplicación del tráfico de VPC para copiar el tráfico de API desde AWS Application Load Balancer en el entorno de Aflac. Este enfoque permite la supervisión sin que ello afecte al rendimiento. A continuación, los datos se reenvían a los motores remotos de Akamai implementados en instancias de EC2 para un análisis más detallado. La plataforma también recopila información de las puertas de enlace de API de Aflac, al enviar registros de ejecución y registros de acceso a Amazon CloudWatch. La amplia gama de integraciones que Akamai ofrece en todo el ecosistema de AWS proporciona a Aflac el apoyo que necesita para satisfacer con confianza sus obligaciones en lo que respecta a la seguridad de los datos.

Aflac ya está planeando ampliar su cobertura de seguridad de API a nivel mundial, especialmente en Japón. Asia es un mercado en auge para la empresa y quieren asegurarse de que sus clientes en los mercados emergentes tengan el mismo nivel de seguridad. Esto no solo continuará diferenciándolos en el mercado, sino que también reforzará su reputación como una organización enfocada en el cliente.

La empresa también está implementando el módulo de pruebas de la solución Akamai API Security, que permite a las organizaciones identificar las vulnerabilidades durante el desarrollo y corregirlas antes de que lleguen a la fase de producción. Fiel al enfoque "shift-left", el módulo de pruebas proporciona un conjunto de pruebas de seguridad centradas en las API que los responsables de las operaciones de seguridad pueden ejecutar bajo demanda o como parte de un proceso de integración y entrega continua (Cl/CD) para garantizar que las API se implementen de forma segura. Aflac considera que las capacidades de prueba de Akamai API Security son una ventaja estratégica que les permitirá mejorar las pruebas y ampliar sus herramientas existentes de seguridad de las aplicaciones con una completa solución para pruebas de seguridad de API.

"En Aflac, nos encanta poder contar con un verdadero líder del mercado que proteja nuestro entorno de API. Confiamos en la plataforma de Noname Security (ahora parte de Akamai API Security), en su equipo y en su visión. Con tanto valor ya reconocido y dada su impresionante capacidad para innovar, estamos entusiasmados por lo que el futuro de nuestra asociación podrá ofrecernos", concluye Goldsworthy.

Aflac Incorporated es una empresa de la lista Fortune 500 que proporciona protección financiera a millones de asegurados y clientes a través de sus filiales en Estados Unidos y Japón. Cuando el titular de una póliza o un asegurado enferma o se lesiona, Aflac paga las prestaciones en efectivo de inmediato, en el caso de reclamaciones admisibles, directamente al asegurado (a menos que se especifique de otro modo). Durante más de seis décadas, las pólizas de seguro voluntarias de Aflac han dado a los asegurados la oportunidad de centrarse en la recuperación, no en el estrés financiero.