Akamai double la mise sur la sécurité des API

L'utilisation des API explose. Elles alimentent notre monde et nos expériences du monde. Chaque jour, lorsque nous utilisons nos terminaux, nos applications préférées communiquent avec de multiples API pour toutes sortes d'activités, qu'il s'agisse des réseaux sociaux, des achats en ligne, des opérations bancaires ou de la prise en charge des enfants à la garderie. Nous utilisons des API lorsque nous télétravaillons et que nous communiquons avec les applications et les services de notre entreprise.

Les API sont utilisées dans presque tous les segments de marché du monde, sous l'impulsion d'initiatives commerciales telles que la transformation digitale, l'adoption du mobile et de l'Internet des objets (IoT), et l'Open Banking. Les API sont utilisées dans le B2B et le B2C pour permettre les échanges commerciaux dans l'ensemble des activités économiques. Presque toutes les entreprises qui conçoivent des applications de pointe utilisent des API pour alimenter ces applications, ainsi que pour l'intégration de services interentreprises.

Par conséquent, les API sont l'un des vecteurs les plus attrayants pour les attaquants. Les données d'Akamai indiquent que les attaques d'API augmentent de 109 % d'une année sur l'autre. Dans un rapport de 2023, 78 % des clients ont déclaré avoir subi un incident de sécurité lié aux API au cours des 12 derniers mois. La sécurité des API est une priorité croissante et Akamai redouble d'efforts pour protéger les API de ses clients.

L'acquisition de Noname Security par Akamai nous permet d'accélérer la croissance déjà impressionnante de 200 % de la demande des clients pour Akamai API Security. Akamai et Noname sont tous deux des leaders reconnus dans ce domaine et cette acquisition nous apporte les capacités supplémentaires nécessaires pour devenir la référence en matière de sécurité des API.

Les plateformes de protection des applications Web et des API (WAAP) jouent un rôle essentiel dans la défense des applications web et des API contre des classes d'attaques telles que celles figurant dans les 10 principaux risques pour la sécurité des API selon l'OWASP. Mais elles ne résolvent pas la totalité du problème.

D'autres fournisseurs voudraient vous faire croire que les WAAP peuvent résoudre tous les types d'attaques d'API, mais la réalité est que la plupart des solutions WAAP ne fournissent pas la visibilité et la profondeur de sécurité des API nécessaires pour se défendre contre les menaces, en particulier les attaques abusives. En effet, une solution WAAP ne dispose pas de la perception contextuelle nécessaire à la compréhension de la conversation entre les requêtes et les réponses des API.

Cela n'est pas surprenant, car les API fonctionnent différemment. Dans une application Web, la logique métier sous-jacente est cachée, alors que celle d'une API peut être exposée directement à Internet, ce qui la rend vulnérable aux abus. Un article de TechCrunch datant de mai 2024 en donne un exemple. Une plateforme WAAP n'aurait pas pu atténuer ce type d'attaque.

C'est l'une des raisons pour lesquelles Akamai a réalisé d'importants investissements pour faire évoluer sa solution de sécurité des API, et pourquoi nous continuons à promouvoir l'innovation et les protections des API avec cette dernière acquisition.

Akamai API Security répond à de nombreux types d'attaques actuellement mentionnés dans les 10 principaux risques pour la sécurité des API selon l'OWASP, qui entraînent des pertes de revenus, des atteintes à la réputation, une exposition des informations et des violations de la conformité.

Notre solution de sécurité des API résout plusieurs problèmes critiques, notamment la visibilité de l'environnement des API, la détection et le blocage des menaces et des anomalies, et les tests actifs des API.

Comme le dit l'adage : Vous ne pouvez pas protéger ce que vous ne pouvez pas identifier. De nombreuses entreprises ne sont même pas conscientes du nombre d'API qu'elles possèdent réellement, et il est donc difficile de quantifier les risques qu'elles encourent. Akamai API Security commence par évaluer le nombre d'API d'un client, et pas seulement celles qui sont utilisées activement et dont il a connaissance, mais aussi les API héritées, fantômes ou malveillantes qui lui échappent ou qu'il ne peut pas détecter. Les données de Noname Security suggèrent que les clients de sa plateforme de sécurité des API découvrent, en moyenne, 40 % d'API en plus dans leur environnement que ce qu'ils avaient initialement prévu.

API Security utilise l'apprentissage automatique pour détecter et identifier tous les types de vulnérabilités et d'abus des API, y compris la falsification et la fuite de données, les mauvaises configurations, les violations de règles, les anomalies comportementales et les attaques directes contre la sécurité des API.

Les tests « shift left » sont une composante essentielle du développement d'applications, qui intègre la sécurité dès le départ. Mais jusqu'à présent, les API ne pouvaient pas être testées pendant leur développement. Avec API Security, nous pouvons intégrer les tests d'API dans le pipeline CI/CD pour nous assurer que les problèmes sont résolus avant que l'API ne soit mise en production.

L'ajout de Noname Security, l'un des leaders du marché de la sécurité des API, élargira instantanément les protections qu'Akamai API Security offre à ses clients. Grâce à l'étendue des intégrations et des choix de déploiement de Noname, nous pouvons désormais offrir une assistance à l'ensemble des fournisseurs.

Qu'une entreprise utilise des plateformes dans le cloud, native en bordure de l'Internet, sur site ou d'autres fournisseurs, Akamai API Security permet de sécuriser l'environnement de l'API. Avec l'ajout de la solution Noname, Akamai bénéficiera de la portée et de la couverture nécessaires pour offrir une protection API complète à ses clients dans tous les environnements.

Nous sommes également ravis des ajouts suivants :

• Capacités de déploiement flexibles — déploiement rapide sur des instances hébergées dans le cloud, auto-hébergées, hybrides et distribuées

• Capacités essentielles pour l'entreprise — inclut le contrôle d'accès basé sur les rôles, la configuration en libre-service, l'intégration CI/CD, les tableaux de bord et les réponses automatisées avancées

• Aucun problème de délimitation des données — analyse les données de l'attaque en mémoire, ce qui garantit que vos données ne quittent jamais votre environnement

• Plus d'intégrations — fournit la collection d'intégrations la plus complète du secteur, notamment NGINX, AWS, Azure, F5, Apigee, MuleSoft, GCP et bien d'autres encore ; l'intégration avec ce que vous avez déjà est importante, et cette solution garantit une couverture complète

• Tests API robustes — se concentrent sur la recherche et la correction des vulnérabilités de sécurité des API intégrées dans le pipeline CI/CD (pendant la phase de développement du cycle de vie du développement logiciel) avant qu'elles ne puissent être exploitées

Comme nous l'avons indiqué, nous prévoyons de combiner nos innovations actuelles en matière de sécurité des API avec la solution de sécurité Noname. Cette solution unifiée offrira aux clients une protection complète des API dans tous les environnements.

Notre processus d'intégration portera sur trois domaines :

1. Connexion à partir du réseau en bordure de l'Internet d'Akamai

2. Connexion à App & API Protector

3. Informations sur les menaces

Akamai administre l'un des plus grands réseaux privés au monde. Il s'agit de la plateforme à partir de laquelle la majorité de nos services sont diffusés, notamment nos services de sécurité leaders sur le marché (tels qu'App & API Protector et la protection Prolexic contre les attaques DDoS), notre réseau de diffusion de contenu (CDN) et nos services de cloud public. Nos entreprises clientes apprécient la facilité avec laquelle elles peuvent utiliser des services directement à partir de notre plateforme, c'est pourquoi nous allons intégrer Noname à notre réseau pour faciliter le déploiement. Nous prévoyons l'achèvement de cette intégration dans un délai de trois semaines à compter de l'acquisition.

App & API Protector est la meilleure plateforme WAAP de l'industrie, comme le prouve le fait qu'elle ait été nommée Customers' Choice for Cloud WAAP en 2024 pour la cinquième année consécutive sur Gartner® Peer Insights™ et par d'autres revues spécialisées en analyse. Cette connexion permettra à l'intelligence comportementale générée par Noname de déclencher des règles WAAP dans App & API Protector pour bloquer automatiquement la connexion.

Akamai collecte et analyse plus de 788 téraoctets de données chaque jour. Toutes ces données sont générées par l'énorme volume d'attaques que nous observons auprès de notre clientèle essentiellement composée d'entreprises (nous observons plus de 12 milliards d'attaques Web chaque trimestre). Ces données, ainsi que les quelque 200 chercheurs en sécurité qui les exploitent, nous fournissent d'incroyables renseignements sur les menaces. Nous allons intégrer ce flux de données dans Akamai API Security, comme nous le faisons pour tous nos produits.