Quel est le rapport entre la XDR et la sécurité des API ?

Deux questions clés 

De nombreux silos de sécurité ont évolué au fil du temps pour inclure des approches de détection et de réponse étendues (XDR) plus unifiées. Akamai voit une opportunité d'apporter la puissance de la XDR à la sécurité des API. Mais cette opportunité soulève deux questions clés que les fournisseurs et les équipes de sécurité doivent prendre en compte :

1. La XDR tel que nous le connaissons aujourd'hui peut-elle évoluer pour inclure la sécurité des API ? 

2. La sécurité des API doit-elle faire l'objet d'un ensemble distinct d'outils et de pratiques de sécurité qui appliquent les meilleures innovations dans le domaine de la XDR aux défis de sécurité uniques posés par les API ?

Silos de détection et de réponse

Les technologies de détection et de réponse aux menaces de sécurité existent depuis des décennies. La plupart des silos ont été créés avec des objectifs précis en tête, notamment :

• La détection et la réponse au niveau des points de terminaison pour les protéger et, dans certains cas, pour protéger les serveurs

• La détection et la réponse réseau (NDR) sur site pour détecter et atténuer les menaces sur les réseaux des entreprises et des centres de données

• NDR dans le cloud pour étendre des concepts similaires à l'infrastructure du cloud ou du cloud hybride

• Passerelles de messagerie sécurisées pour détecter et atténuer les attaques basées sur la messagerie électronique

• Flux d'informations sur les menaces externes pour fournir des signaux d'alerte précoce sur les menaces éventuelles

Chacun de ces éléments a joué un rôle important dans la réduction des risques, mais leur efficacité a été limitée par le fait qu'ils fonctionnaient en silos individuels. Chacun manquait d'informations provenant des autres qui auraient pu fournir une image plus complète et plus précise des menaces et des risques. Au lieu de cela, il incombait aux équipes de sécurité de faire le lien entre les différents éléments.

Suppression des silos en vue de mettre en œuvre la XDR

Les innovations de la XDR ont permis de renforcer la sécurité de trois manières importantes. Ces innovations :

1. Ont réuni les signaux de détection et de réponse à travers tous les silos mentionnés ci-dessus dans un modèle unifié

2. Ont exploité l'échelle et les techniques du cloud, telles que l'apprentissage automatique et l'analyse comportementale, pour surveiller de grandes quantités de données sur des horizons temporels plus vastes, afin de fournir des informations de sécurité plus complètes et plus significatives, et peut-être plus important encore, elles pourraient établir un comportement de base pour identifier les écarts

3. Ont présenté aux équipes de sécurité des vues compréhensibles par l'homme et reposant sur un calendrier des incidents de sécurité qui évitent la saturation d'alertes et rendent plus rapide et plus facile une réponse décisive

Lorsqu'elle est mise en œuvre et adoptée correctement, la XDR a un effet transformateur sur la productivité et l'efficacité des équipes de sécurité.

Les principes de la XDR permettent-ils de mieux protéger les API ?

REMARQUE : Il existe des API qui impliquent les utilisateurs, appelées API B2C (business-to-consumer). Dans cet article, nous nous concentrerons sur le segment en pleine croissance des API externes exposées aux applications partenaires, ainsi que sur le vaste segment des communications basées sur les API de machine à machine (M2M).

Même si la XDR apporte une valeur ajoutée significative en matière de sécurité, les API sont largement absentes du cadre de la XDR. Aujourd'hui, de nombreuses entreprises utilisent la XDR pour se concentrer sur l'infrastructure de sécurité de l'entreprise, où les risques concernent les utilisateurs qui se connectent à des applications et à des services cloud s'exécutant sur des hôtes.

En revanche, le trafic des API qui servent les communications M2M est différent de celui des utilisateurs et des hôtes. Par conséquent, les caractéristiques des menaces pesant sur la sécurité des API peuvent également être très différentes de celles pesant sur la sécurité des entreprises. Par exemple, les attaques subtiles telles que l'abus de logique métier n'existent pas dans l'espace de sécurité traditionnel de l'entreprise et nécessitent des approches de détection et d'atténuation spécialisées.

Par conséquent, la sécurité des API pourrait ne pas bénéficier beaucoup de l'utilisation organisationnelle de la XDR, qui est axée sur l'activité de sécurité de l'entreprise et les informations sur les menaces.

Mais cela ne disqualifie pas l'utilisation des principes XDR pour la sécurité des API. En fait, la nature même du trafic API B2B ou M2M suggère d'utiliser les principes de la XDR car, avec une grande quantité de trafic, seule la « détection étendue » permet de détecter les exploitations d'API qui passent inaperçues.

Voici l'innovation d' API Security d'Akamai  : nous appliquons à la sécurité des applications un grand nombre des concepts XDR qui ont transformé la sécurité des entreprises.

À la tête d'un secteur de la sécurité des API en pleine évolution

De la même manière que la sécurité d'entreprise est passée des signatures d'attaque et de la détection ponctuelle à l'analyse comportementale, Akamai est en tête du secteur de la sécurité des API avec la même évolution :

• détection étendue via une large collecte de données sur le trafic API vers un service basé sur le cloud avec une rétention des données à long terme et des données enrichies

• Véritable apprentissage automatique et analyse comportementale

• Enquêtes contextuelles et détection des menaces

• Des mécanismes de réponse automatisés et flexibles, y compris le cycle de vie du développement logiciel et les intégrations API Gateway

Nous pensons que les avantages de cette transformation seront encore plus importants pour les API et la sécurité des applications qu'ils ne l'étaient pour la sécurité de l'entreprise. Les équipes de sécurité ne seront pas en mesure de suivre le rythme des énormes quantités de communications M2M sans l'aide de l'analyse comportementale.

L'application de l'analyse comportementale à de vastes ensembles de données est également un meilleur moyen de traiter les nuances des menaces qui pèsent sur la sécurité des applications. Par exemple, les exploitations d'API ne peuvent pas être détectées efficacement par le biais d'une analyse en ligne ou ponctuelle. La création de références de comportement normal pour détecter les anomalies est la seule façon de différencier les abus d'une activité légitime presque identique.

Qu'en est-il de la recherche des menaces ?

Plusieurs solutions XDR du marché permettent aujourd'hui la détection des menaces dans leurs interfaces utilisateur et un sous-ensemble de ces solutions offre des fonctionnalités de recherche des menaces gérée. L'utilisation par Akamai des principes XDR offre également ces services. L'interface utilisateur d'Akamai comprend un ensemble d'outils de recherche des menaces API performant. Les alertes peuvent inciter les équipes à rechercher des comportements malveillants à l'aide de chronologies d'entité, d'expressions logiques visant à restreindre le trafic, etc.

Nous reconnaissons que la sécurité des API est une nouvelle solution et que les compétences en matière de recherche des menaces liées aux API au sein de votre entreprise n'en sont peut-être qu'à leurs débuts. C'est pourquoi nous proposons la solution Akamai API Security ShadowHuntle seul service géré de recherche des menaces liées aux API du secteur, dont le personnel est composé d'experts.