De quels produits Akamai ai-je besoin pour utiliser API Security ?

API Security est une solution de protection contre les menaces API indépendante du fournisseur qui ne nécessite pas l'utilisation d'autres solutions Akamai. Elle complète les solutions de sécurité des API existantes d'Akamai et garantit aux clients une protection complète, car les attaques contre les API sont devenues beaucoup plus sophistiquées, nécessitant de nouvelles techniques de détection et des réponses automatisées.

Comment déployer API Security ?

Les clients peuvent déployer API Security grâce au connecteur natif, ce qui facilite l'intégration avec Akamai Connected Cloud. API Security dispose également de connecteurs de nœuds qui prennent en charge les plateformes populaires (par exemple, tous les réseaux de diffusion de contenu (CDN), les passerelles API ou l'environnement cloud).

Puis-je intégrer API Security à mes outils et flux de travail existants ?

API Security s'intègre à vos sources de données existantes, y compris les passerelles API populaires, les fournisseurs de cloud, les conteneurs et environnements maillés, les proxys inversés, les CDN, les pare-feux d'application Web (WAF), les outils de gestion des cas, la sécurité de l'information et la gestion des événements (SIEM), ainsi que les outils d'automatisation et de réponse d'orchestration de la sécurité (SOAR).

Proposez-vous une option « shift-left » comme les tests API ?

Oui. Notre solution de test API est désormais disponible en version bêta et fait partie intégrante de la plateforme API Security. L'introduction des tests API dans le cycle de développement des logiciels est facile avec le moteur d'analyse d'API Security. Déployé rapidement à l'aide d'une simple commande, le moteur d'analyse vous permet d'exécuter des tests dynamiques sur des API, où qu'elles se trouvent dans votre réseau. Les développeurs peuvent exécuter des tests sur leurs ordinateurs portables en toute facilité pour valider le code avant de le transférer vers vos référentiels de code.

Comment fonctionne le service géré de recherche de menaces d'API Security ?

Le service géré de recherche de menaces d'API Security, API Security ShadowHunt, élargit votre équipe de sécurité avec des analystes experts spécialisés dans la recherche de menaces liées aux API et est idéal pour les équipes en sous-effectif ou celles qui manquent d'expertise en sécurité des API. Bien qu'il ne s'agisse pas d'un service géré typique de Centre de commande des opérations de sécurité en continu, les détecteurs de menaces d'Akamai travaillent lorsque vous en avez besoin en tant qu'extension de votre équipe pour détecter et signaler les attaques les plus clandestines et camouflées qui se cachent dans votre trafic API. Notre équipe API Security ShadowHunt fournit une notification immédiate de toute menace dans votre parc d'API avec un résumé complet de l'incident et des recommandations sur les mesures correctives. Des rapports mensuels, y compris des rapports périodiques sur les menaces émergentes suggérant des actions, sont également fournis.

Comment API Security gère-t-elle les données sensibles ?

Avant d'être envoyées à la plateforme API Security, les données d'activité de l'API sont tokenisées pour remplacer les informations sensibles, qui ne peuvent être détokenisées que par vous-même aux valeurs d'origine.

Comment API Security aide-t-elle à identifier et hiérarchiser les API découvertes à risque ?

API Security met en évidence les API qui rendent les données sensibles accessibles et étiquette automatiquement les données sensibles par type (par exemple, IPI, e-mail), ce qui vous permet de trier facilement des listes qui peuvent parfois être interminables. Il vous permet également de créer vos propres catégories d'étiquettes (ou classifications de données) et conventions pour les API elles-mêmes et les types d'alertes. Cela permettra de s'assurer que les équipes d'API et de sécurité parlent un langage commun qui s'aligne sur vos objectifs commerciaux et vos préoccupations en matière de sécurité.

API Security couvre-t-elle toutes les 10 principales vulnérabilités des API de l'OWASP ?

API Security couvre toutes les 10 principales vulnérabilités des API de l'OWASP.

Pourquoi un lac de données est-il important pour les fonctionnalités d'investigation et de recherche des menaces ? API Security couvre les 10 principaux risques pour la sécurité des API selon l'OWASP.

Sans une vue complète sur l'historique des données, fournies par un lac de données, il est impossible de vraiment comprendre ce qui s'est passé avec une API avant et après une alerte et de comprendre comment cette anomalie peut affecter d'autres API. Sans cette vision historique approfondie qu'offre API Security, il est impossible de mener une diligence raisonnable appropriée, ce qui peut conduire à des menaces manquantes qui se cachent dans vos données, au gaspillage de ressources en essayant d'identifier la cause profonde, etc. Les solutions de sécurité pour les API qui ne peuvent pas vous fournir cet historique contextuel ne sont rien de plus que des outils d'alerte.

Pourquoi est-il important d'être une plateforme basée sur le cloud pour un outil de sécurité API ?

Les solutions de sécurité pour les API doivent être basées sur le cloud en raison des données nécessaires pour comprendre où et pourquoi les anomalies se produisent au niveau des API. Des solutions sur site ne seraient pas en mesure de stocker le volume de données nécessaire pour effectuer des analyses comportementales et de conserver un lac de données pour placer les anomalies dans leur contexte historique. Les données devraient être abandonnées après inspection, ce qui ne permettrait que d'émettre une alerte, mais ne fournirait aucun aperçu, et rendrait pratiquement impossible la compréhension des causes profondes. API Security utilise des techniques de détection et de réponse établies. Il s'agit d'une solution SaaS basée sur le cloud, indépendante des plateformes et offrant à la fois des capacités d'analyse comportementale et un lac de données qui se combinent pour offrir un contexte historique riche, visuel et pouvant être analysé.

Les fonctionnalités XDR améliorent-elles la détection des exploitations d'API ?

API Security a intégré les principes de détection et de réponse étendues (XDR) dès sa conception. Les innovations XDR ont permis de renforcer la sécurité de trois manières importantes : elles ont réuni les signaux de détection et de réponse à travers tous les silos mentionnés ci-dessus dans un modèle unifié. elles ont exploité l'échelle et les techniques du cloud, telles que l'apprentissage automatique et l'analyse comportementale, pour surveiller de grandes quantités de données sur des horizons temporels plus vastes, afin de fournir des informations de sécurité plus complètes et plus significatives, et peut-être plus important encore, elles pourraient établir un comportement de base pour identifier les écarts. elles ont présenté aux équipes de sécurité des vues compréhensibles par l'homme et reposant sur un calendrier des incidents de sécurité qui évitent la saturation d'alertes et rendent plus rapide et plus facile une réponse décisive. Lorsqu'elle est mise en œuvre et adoptée correctement, la XDR a un effet transformateur sur la productivité et l'efficacité des équipes de sécurité. La nature même du trafic API entre entreprises ou entre machines suggère que les principes de la XDR doivent être utilisés, car avec une grande quantité de trafic, seule la détection étendue peut repérer des exploitations d'API aussi discrètes qu'une aiguille dans une botte de foin.

Vous avez besoin du Cloud Computing ? Commencez dès maintenant

+1-8774252624

Essayez Akamai

Victime d'une attaque ?

+1-8774252624

Produits

Cloud Computing
Sécurité
Diffusion de contenu
Tous les produits et tests
Global Services

+1-8774252624

Cloud Computing

Calcul

Créez, mettez à disposition et développez plus rapidement grâce à des machines virtuelles adaptées à chaque charge de travail

Tout afficher

Réseau

Sécurisez votre réseau, équilibrez le trafic, contrôlez votre infrastructure

Tout afficher

Conteneurs

Orchestrez efficacement les applications conteneurisées

Tout afficher

Outils de développement

Tirez le meilleur parti de vos applications grâce à des outils de gestion avancés

Tout afficher

Stockage

Développez un stockage et une gestion fiables et facilement accessibles

Tout afficher

Bases de données

Développement facilité grâce à des bases de données gérées simples et fiables

Tout afficher

Créer un compte cloud

Sécurité

Sécurité des applications et des API

API Security

Découvrez et surveillez le comportement de l'API pour répondre aux menaces et aux abus

App & API Protector

Protégez les applications Web et les API contre les attaques DDoS, les bots et les 10 principales exploitations selon l'OWASP

Client-Side Protection & Compliance

Trouvez de l'aide à la mise en conformité avec la norme PCI et protégez-vous des attaques côté client

Sécurité Zero Trust

Plateforme Akamai Guardicore

Une plateforme Zero Trust unique pour la couverture, la visibilité et le contrôle granulaire.

Akamai Guardicore Segmentation

Limitez les risques dans votre réseau grâce à une segmentation granulaire et flexible

Secure Internet Access

Protégez-vous proactivement contre les logiciels malveillants Zero Day et l'hameçonnage

Hunt

Arrêtez les menaces les plus évasives grâce à la recherche proactive des menaces

Enterprise Application Access

Accès aux applications granulaires basé sur l'identité et le contexte

Akamai MFA

Protégez-vous contre le piratage des comptes et les violations de données avec une solution de MFA anti-hameçonnage

Protection contre la fraude et l'usurpation

Account Protector

Limitez l'usurpation de compte et développez votre activité numérique

Content Protector

Stoppez les extracteurs, protégez la propriété intellectuelle et augmentez la conversion

Brand Protector

Détectez et limitez les représentations frauduleuses de votre marque

Bot Manager

Acceptez les bots utiles et limitez l'accès des bots malveillants à votre site Web

Identity Cloud

Intégrez une gestion des identités sécurisée et basée sur le cloud à vos sites Web ou applications

SÉCURITÉ DE L'INFRASTRUCTURE

Edge DNS

Solution faisant autorité externe pour votre infrastructure DNS

Prolexic

Protégez votre infrastructure contre les attaques par déni de service distribué

Diffusion de contenu

PERFORMANCES DES APPLICATIONS

Ion

Améliorez les performances et la fiabilité de votre site Web à grande échelle

API Acceleration

Améliorez les performances et la fiabilité de vos API à grande échelle

MEDIA DELIVERY

Adaptive Media Delivery

Diffusion vidéo de haute qualité pour tous les écrans à un public international

Download Delivery

Proposez des téléchargements de fichiers volumineux toujours irréprochables à l'échelle mondiale

APPLICATIONS EDGE

EdgeWorkers

Exécutez du JavaScript personnalisé en bordure de l'Internet, près des utilisateurs, pour optimiser l'expérience utilisateur

EdgeKV

Base de données de stockage clé-valeur distribuée en bordure de l'Internet

Image & Video Manager

Optimisez automatiquement les images et vidéos pour chaque utilisateur, sur n'importe quel terminal

Cloudlets

Applications prédéfinies qui s'exécutent en bordure de l'Internet pour des besoins spécifiques de l'entreprise

Cloud Wrapper

Utilisez une couche de mise en cache efficace pour améliorer le délestage d'origine

Global Traffic Management

Optimisez les performances grâce à l'équilibrage intelligent de la charge

SURVEILLANCE, RAPPORTS ET TESTS

DataStream

Flux de données à faible latence pour une meilleure visibilité et un transfert vers des outils tiers

mPulse

Mesurez l'impact commercial des expériences utilisateur réelles en temps réel

CloudTest

Tests de charge des sites et des applications à l'échelle mondiale

Solutions

Cas d'utilisation
Solutions industrielles

+1-8774252624

Cas d'utilisation

CLOUD COMPUTING

Médias

Offrez une expérience vidéo interactive et engageante

SaaS

Créez en assurant la portabilité, la performance et l'efficacité du cloud au client

Jeux vidéo

Améliorez l'expérience des joueurs avec une faible latence et une haute disponibilité

SÉCURITÉ

Applications et API

Protégez votre marque en protégeant les applications et API contre les menaces permanentes

Zero Trust

Solutions pour une couverture une visibilité et un contrôle complets

Protection contre les attaques DDoS

Protégez votre infrastructure contre les attaques DDoS et DNS

Protection contre la fraude et l'usurpation

Arrêtez les usurpations de compte, les attaques sophistiquées de bot et l'usurpation d'identité de marque

DIFFUSION DE CONTENU

Performances des applications et des API

Améliorez l'engagement des utilisateurs grâce à l'optimisation des applications et des API

Media Delivery

Offrez des expériences de streaming et de téléchargement fluides sur n'importe quel terminal

Edge Computing

Construisez et déployez sur la plateforme en bordure de l'Internet la plus distribuée au monde

Solutions industrielles

Pourquoi Akamai

Découvrez Akamai Connected Cloud

Notre plateforme

Découvrez notre infrastructure mondiale

Entreprise

Découvrez comment nous soutenons et protégeons la vie en ligne

Ressources

+1-8774252624

Bibliothèque

Apprenez

Centre d'apprentissage

Ressources pédagogiques et formations pour les produits et services Akamai

Glossaire

Concepts clés en matière de sécurité, de Cloud Computing et de diffusion de contenu

Recherche sur la sécurité

Recherche sur la sécurité d'Akamai

Informations fournies par le Groupe Security Intelligence d'Akamai

Rapports État des lieux d'Internet

Analyse approfondie des dernières recherches et tendances en matière de cybersécurité

Partenaires

Trouver un partenaire
Devenir partenaire
Marketplace Cloud Computing

+1-8774252624

Trouver un partenaire

Pourquoi choisir un partenaire Akamai

Découvrez notre écosystème de partenaires leader du secteur

Annuaire des partenaires

Trouver un canal ou un partenaire technologique

Devenir partenaire

Partenaires de distribution

Générez plus de profits, concentrez-vous sur ce qui compte et diffusez en toute confiance

Partenaires technologiques

Créez plus de valeur pour les clients communs grâce à des intégrations fluides

Nous contacter

Contacter le service commercial

Vous avez des questions ? Nous sommes là pour vous aider.

Nous contacter

Support clients

Besoin d'assistance technique ? Nous sommes disponibles 24 heures sur 24, 7 jours sur 7.

Support

API Security

Protégez toutes vos API des attaques et des vols de données toujours plus fréquents.

Demander une démonstration

Découvrez et bénéficiez d'une visibilité sur toutes les API pour vous défendre contre les menaces

Grâce à la découverte et à l'analyse en temps réel, API Security vous offre une visibilité complète sur l'ensemble de votre parc d'API. Découvrez comment identifier les vulnérabilités et analyser le comportement des API, afin de détecter les attaques et de corriger les risques dans cette surface d'attaque en pleine croissance.

Voir la fiche produit

Éliminez une zone d'ombre commune en matière de sécurité

Découvrez votre parc d'API complet

Détectez et inventoriez toutes vos API, y compris les API fantômes, zombies et indésirables, grâce à la détection et à la surveillance continues.

Identifiez les API vulnérables

Audit pour les vulnérabilités et les erreurs de configuration des API ciblées par les attaquants, y compris les 10 principaux risques pour la sécurité des API de l'OWASP.

Atténuez les exploitations de logique métier

Utilisez des informations contextuelles pour identifier les risques tels que les fuites de données, les comportements suspects, les bots malveillants et les attaques d'API.

Fonctionnement d'API Security

Découvrir

Générez un inventaire complet des API, y compris du nombre et des types d'API dont vous disposez.

Tester

Ajoutez la sécurité à votre pipeline CI/CD sans sacrifier la vitesse pour sécuriser les API avant de les mettre en production.

Détecter

Identifiez les vulnérabilités et les attaques des API grâce à une détection automatisée alimentée par l'apprentissage automatique.

Répondre

Résoudre

Créez des flux de travail avancés pour corriger les problèmes d'API en les intégrant à vos WAF, SIEM et outils ITSM.

Rapport : The API Security Disconnect

Informez votre stratégie de sécurité des API en découvrant ce que vos pairs pensent des tendances clés, des principaux vecteurs d'attaque et des risques opérationnels. Lire l'étude (en anglais uniquement).

Télécharger le rapport

Gartner^® Market Guide for API Protection

Anticipez le prochain vecteur d'attaque majeur : les exploitations d'API. Découvrez les fonctionnalités des produits, les fournisseurs, l'orientation du marché, etc.

Télécharger le rapport

Gartner^® Market Guide for API Protection

Anticipez le prochain vecteur d'attaque majeur : les exploitations d'API. Découvrez les fonctionnalités des produits, les fournisseurs, l'orientation du marché, etc.

Télécharger le rapport

Gartner^® Market Guide for API Protection

Anticipez le prochain vecteur d'attaque majeur : les exploitations d'API. Découvrez les fonctionnalités des produits, les fournisseurs, l'orientation du marché, etc.

Télécharger le rapport

Fonctionnalités

Évaluez le trafic d'API avec une connexion native au réseau de diffusion de contenu (CDN) d'Akamai et intégrez-le à vos passerelles d'API, équilibreurs de charge ou WAF
Découvrez les API, les domaines et les problèmes connexes pour les API HTTP, RESTful, GraphQL, SOAP, XML-RPC et JSON-RPC
Identifiez les types de données sensibles auxquelles vos API peuvent accéder et suivez l'accès des utilisateurs à ces API
Analysez les API avec la liste des 10 principaux risques pour la sécurité des API de l'OWASP, puis hiérarchisez les vulnérabilités par impact pour une correction rapide
Saisissez le contexte des API grâce à des visualisations de la logique métier, de l'infrastructure réseau physique et des flux de trafic des API

Surveillez en permanence la conformité aux exigences réglementaires, aux normes industrielles et aux règles internes
Utilisez l'apprentissage automatique pour identifier les utilisations anormales, les attaques d'API, les fuites de données, les falsifications de données et les violations de règles
Bloquez les attaques d'API en temps réel et configurez des flux de travail avancés pour accélérer la correction et augmenter l'efficacité du centre d'opérations de sécurité (SOC)
La solution s'intègre entièrement à vos pipelines CI/CD existants et exécute automatiquement plus de 200 tests qui simulent un trafic malveillant

Foire aux questions (FAQ)

API Security est une solution de protection contre les menaces API indépendante du fournisseur qui ne nécessite pas l'utilisation d'autres solutions Akamai. Elle complète les solutions de sécurité d'Akamai et garantit aux clients une protection complète, car les attaques contre les API sont devenues beaucoup plus sophistiquées, nécessitant de nouvelles techniques de détection et des réponses automatisées.

API Security et App & API Protector sont deux solutions différentes proposées par Akamai pour protéger votre entreprise.

App & API Protector découvre et atténue les menaces liées aux API pour toutes vos applications Web et API exécutées via Akamai Connected Cloud. Elle est capable de bloquer tout trafic en ligne contenant des menaces potentielles pour votre entreprise.
API Security est indépendante de la plateforme, découvre et offre une visibilité complète de tous les points de terminaison API à travers l'entreprise. Elle analyse en temps réel l'activité des API et détermine les mesures spécifiques à prendre pour sécuriser le trafic des API nouvellement exploitées.

Lorsqu'elles sont déployées ensemble, les solutions App & API Protector et API Security fonctionnent en ligne et offrent la visibilité la plus complète et continue sur les API. Elles vous permettent de découvrir, d'auditer et de détecter les problèmes d'API, et d'intervenir à l'échelle de tout votre réseau. En outre, l'intégration entre API Security et App & API Protector permet un déploiement simple et robuste d'API Security.

Oui, notre solution de test d'API est spécialement conçue pour assurer une couverture complète des vulnérabilités spécifiques aux API. Notre solution peut vous aider adopter une approche « shift left » et à intégrer les tests de sécurité des API à chaque phase de développement.

API Security surveille et protège à la fois le trafic est-ouest et nord-sud, en examinant toutes les API de votre entreprise pour détecter les anomalies qui pourraient indiquer un risque de sécurité.

API Security identifie les API qui contiennent des informations personnelles identifiables (PII), de la documentation interne, de la propriété intellectuelle, etc. afin que vous puissiez automatiser les protections pour ces API en particulier. Tous les échantillons de trafic sont brouillés, qu'ils soient suspects ou non, et ne sont visibles que par les administrateurs et les contributeurs, ce qui simplifie vos initiatives de confidentialité et de conformité.

API Security est indépendante de toute plateforme et fonctionne dans tous les environnements, SaaS, hybride et sur site, y compris ceux qui sont complexes et ont plusieurs CDN, WAF, passerelles et API largement distribuées à travers toute l'entreprise (nord-sud et est-ouest). API Security offre une visibilité à l'échelle de l'entreprise sur le comportement de vos API, quel que soit l'endroit où elles sont découvertes.

API Security d'Akamai intègre un connecteur natif qui vous permet d'envoyer facilement une copie de votre trafic Akamai Connected Cloud à API Security d'Akamai pour analyse. Cette intégration est directement intégrée à API Security et à Akamai Connected Cloud, éliminant ainsi toute latence et réduisant les risques. Le connecteur natif détecte et suit automatiquement les API dans les environnements gérés par Akamai, aide à détecter les vulnérabilités et permet aux clients de bloquer les attaquants à la bordure de l'Internet.

API Security couvre l'ensemble des 10 principales vulnérabilités de sécurité des API selon l'OWASP.

Témoignages clients

Témoignage client

Netskope

Un leader de la sécurité utilise Akamai API Security pour assurer la conformité de milliers de clients et la sécurité de dizaines de milliers d'API.

Lire le témoignage client

Témoignage client

Aflac

Aflac bénéficie d'une visibilité totale sur les API et de la capacité de corriger les vulnérabilités avec API Security.

Lire le témoignage client

Témoignage client

DHgate

Le fournisseur de plateforme de commerce électronique de gros basé en Chine a répondu aux problèmes de sécurité associés à l'inventaire des API avec API Security.

Lire le témoignage client

Cas d'utilisation d'API Security

Découvrez comment Akamai API Security peut protéger votre entreprise numérique et ses données sur plusieurs fronts.

Testez les API avant de les mettre en production
Obtenez un inventaire de vos API à l'échelle de l'entreprise
Comprenez votre posture de risque API
Surveillez les exploitations d'API

Testez les API avant de les mettre en production

Tester les API est essentiel pour votre stratégie de sécurité des API car cela aide les entreprises à détecter et corriger les failles telles que l'exploitation de logique métier plus tôt dans le cycle de développement logiciel (approche du « shift left »), avant la mise en production des API.

Avec les tests API, vous pouvez exécuter automatiquement plus de 150 tests dynamiques qui simulent un trafic malveillant, y compris ceux de la liste des 10 principaux risques pour la sécurité des API de l'OWASP. Planifiez les tests pour qu'ils s'exécutent automatiquement aux intervalles souhaités, à n'importe quel stade du développement.

Obtenez un inventaire de vos API à l'échelle de l'entreprise

Toute stratégie de sécurité efficace des API passe par un inventaire complet et continuellement mis à jour de toutes les API de l'entreprise. La recherche à la demande ou quotidienne est insuffisante en raison de la gravité des risques associés aux attaques d'API. De plus, la visualisation du comportement réel des API (appels API) est nécessaire pour permettre aux membres clés de l'équipe de sécurité, de développement et des opérations de comprendre comment les API sont utilisées ou mal utilisées. Cela facilite la communication et l'enquête au sein des équipes de votre entreprise.

API Security permet une recherche automatisée et continue des API à travers différentes technologies et infrastructures. Il identifie également les API nouvellement déployées et compare leurs propriétés à la documentation existante. API Security détecte les API fantômes souvent manquées et les vulnérabilités connues des API, telles que celles décrites dans les 10 principaux risques pour la sécurité des API selon l'OWASP.

La découverte des API est un processus permanent, et notre surveillance continue détecte les nouvelles API et les modifications apportées aux API existantes 24 heures sur 24. Les équipes de sécurité gagnent une visibilité inégalée et sont les premières à savoir quand les développeurs déploient une nouvelle API ou un nouveau service.

Comprenez votre posture de risque API

Les API alimentent les produits et services digitaux déployés par une entreprise. Il n'est donc pas surprenant que les API gagnent en ampleur. Toutefois, cette prolifération des API refaçonne votre surface d'attaque.

Les attaquants d'aujourd'hui recherchent des vulnérabilités d'API, notamment des bogues logiciels ou des erreurs de configuration, qu'ils peuvent exploiter aux fins suivantes :

Accéder aux fonctionnalités sensibles des applications
Trouver, compromettre et/ou voler des données sensibles
Utiliser l'API de manière malveillante

Grâce aux 10 principaux risques pour la sécurité des API selon l'OWASP, vous bénéficiez d'un résumé utile de certaines des vulnérabilités et menaces d'API les plus couramment exploitées que les entreprises devraient essayer d'identifier et de résoudre.

Avec API Security, vous pouvez empêcher les API vulnérables et mal configurées d'exposer votre entreprise à des attaques d'API. Comment ? En informant rapidement les équipes de sécurité, de développeurs et d'API des risques potentiels, des erreurs de configuration et des vulnérabilités. Vous pouvez également facilement établir si un partenaire a mal configuré votre API ou s'il y a des vulnérabilités dans le code.

Les alertes contextuelles et conditionnelles fonctionnent en toute fluidité au sein de vos flux de travail existants, comme la création automatique d'un ticket Jira, afin que vous puissiez résoudre promptement tout problème.

Surveillez les exploitations d'API

Les API étant conçues pour être utilisées par programmation, il est extrêmement difficile de différencier l'utilisation légitime des attaques et des exploitations.

Bien que l'approche des attaques par menaces API varie, voici quelques-unes des méthodes les plus courantes :

L'exploitation de logique métier. Il y a exploitation de logique lorsqu'un acteur malveillant exploite les failles de conception ou d'implémentation d'une application pour provoquer un comportement inattendu et non approuvé profitant aux attaquants. Les contrôles de sécurité hérités ne peuvent empêcher ce type d'exploitation, ce qui entraîne un stress et une pression considérables pour les RSSI et leurs équipes.
L'accès non autorisé aux données. Une autre forme courante d'exploitation d'API est l'utilisation de mécanismes d'autorisation brisés pour accéder aux données auxquelles les pirates ne devraient pas être autorisés à accéder. Ces vulnérabilités portent de nombreux noms, tels que BOLA (défaillance de l'autorisation au niveau de l'objet) et IDOR (accès direct non sécurisé à un objet), ainsi que BFLA (défaillance de l'autorisation au niveau de la fonction).
Le piratage de comptes. Après un vol d'informations d'identification ou même une attaque de script cross-site, un compte peut être piraté. Une fois que cela se produit, il est possible d'exploiter même l'API la mieux écrite et la mieux sécurisée. Après tout, si vous n'effectuez pas d'analyse comportementale, toute activité authentifiée est considérée comme légitime.
Extraction de données. À mesure que les entreprises mettent des ensembles de données à disposition via des API publiques, des acteurs malveillants peuvent interroger ces ressources de manière agressive pour effectuer une capture élargie d'ensembles de données volumineux et précieux.
Déni de service (DoS). En demandant au back-end d'effectuer des tâches lourdes, les attaquants ou les utilisateurs d'API peuvent provoquer une « érosion du service » ou un déni de service complet au niveau de la couche applicative (une vulnérabilité très courante dans GraphQL, mais qui peut arriver avec toute implémentation de point de terminaison d'API gourmande en ressources). Cela peut se produire par le biais d'une attaque intentionnelle ou d'une utilisation excessive par un partenaire qui provoque l'inaccessibilité de l'API pour d'autres partenaires.
L'exploitation de vulnérabilités. Les vulnérabilités techniques de l'infrastructure sous-jacente peuvent compromettre le serveur. Les exemples de ces types de vulnérabilités vont des vulnérabilités Apache Struts (CVE-2017-9791, CVE-2018-11776, et associées) aux vulnérabilités Log4j (CVE-2021-44228 et associées).

L'identification et l'atténuation de ces risques de sécurité et d'autres risques liés aux API nécessitent des contrôles de sécurité suffisamment sophistiqués pour faire face à cet écosystème des menaces complexe et en évolution rapide.

La solution API Security fournit un contexte opérationnel qui ne peut pas être obtenu en analysant uniquement des éléments techniques tels que les adresses IP et les jetons API. Grâce à l'analyse du trafic en temps réel informée par l'IA/ML, API Security génère des données métier contextuelles qui vous permettent de faire une analyse approfondie de ce qui s'est passé avant et après une alerte pour identifier sa cause profonde. API Security vous permet également de rechercher des API par entités spécifiques, telles que vos utilisateurs ou partenaires, ou même des entités de processus métier (facture, paiement, commande, etc.), pour vous permettre de trouver des anomalies qui, autrement, ne seraient pas détectées.

Apprenez-en plus auprès de nos experts en sécurité des API

Rejoignez-nous alors que nous approfondissons le côté technique de la sécurité des API dans notre série mensuelle If Your APIs Could Talk.

Voir les webinaires

Ressources

Infographie

Ensemble, nous sommes plus forts : App & API Protector + API Security d'Akamai

Découvrez pourquoi les menaces liées aux API nécessitent une nouvelle approche de la sécurité qui comprend des protections multicouches et des solutions connectées en mode natif.

Consulter l'infographie

Livre blanc

Comment se protéger contre les 10 principaux risques liés à la sécurité des API identifiés par l'OWASP

Les mises à jour des 10 principaux risques pour la sécurité des API montrent de nouvelles vulnérabilités qui exigent de nouvelles stratégies d'atténuation et de nouvelles défenses.

Lire le livre blanc

Article de blog

Sécurité des API : Meilleures pratiques pour l'acquisition de données sur l'activité des API

Il vous faut des données pertinentes pour comprendre et défendre les API. Ces meilleures pratiques accélèrent la découverte des API et la détection des menaces avancées.

Lire le blog

Découvrez les fonctionnalités essentielles d'API Security

Découvrez quelles fonctionnalités d'API Security peuvent vous aider à prévenir les attaques à l'aide d'exemples pratiques, notamment :

Détection et surveillance : Détectez et répondez instantanément aux menaces grâce à notre système de surveillance 24h/24, 7j/7
Alertes : Étudiez comment les alertes de posture et d'exécution sont gérées
Intégration facile : Intégration en toute transparence à votre pile technologique existante, quelle que soit la complexité

Programmez votre démonstration en deux étapes simples :

Envoyez le formulaire
Réservez un créneau avec notre équipe

Nous vous remercions de votre demande ! Un expert d'Akamai vous contactera sous peu.

Produits

Cloud Computing

Cloud Computing

Sécurité

Sécurité

Sécurité des applications et des API

Sécurité Zero Trust

Protection contre la fraude et l'usurpation

SÉCURITÉ DE L'INFRASTRUCTURE

Diffusion de contenu

Diffusion de contenu

PERFORMANCES DES APPLICATIONS

MEDIA DELIVERY

APPLICATIONS EDGE

SURVEILLANCE, RAPPORTS ET TESTS

Solutions

Cas d'utilisation

CLOUD COMPUTING

SÉCURITÉ

DIFFUSION DE CONTENU

Solutions industrielles

Pourquoi Akamai

Ressources

Bibliothèque

Bibliothèque

Apprenez

Recherche sur la sécurité

Partenaires

Trouver un partenaire

Devenir partenaire

Nous contacter

API Security

Découvrez et bénéficiez d'une visibilité sur toutes les API pour vous défendre contre les menaces

Éliminez une zone d'ombre commune en matière de sécurité

Découvrez votre parc d'API complet

Identifiez les API vulnérables

Atténuez les exploitations de logique métier

Fonctionnement d'API Security

Découvrir

Découvrir

Tester

Tester

Détecter

Détecter

Répondre

Résoudre

Rapport : The API Security Disconnect

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Fonctionnalités

Foire aux questions (FAQ)

De quels produits Akamai ai-je besoin pour utiliser API Security ?

En quoi API Security est-elle différente d'App & API Protector d'Akamai ?

Proposez-vous des fonctionnalités de test d'API ?

API Security protège-t-elle le trafic est-ouest ?

Comment API Security gère-t-elle les données sensibles ?

API Security protège-t-elle les API qui ne passent pas par un réseau de diffusion de contenu (CDN) ?

API Security peut-il détecter le trafic API sur Akamai Connected Cloud ?

API Security couvre-t-elle toutes les 10 principales vulnérabilités des API de l'OWASP ?

Témoignages clients

Netskope

Aflac

DHgate

Cas d'utilisation d'API Security

Testez les API avant de les mettre en production

Testez les API avant de les mettre en production

Obtenez un inventaire de vos API à l'échelle de l'entreprise

Obtenez un inventaire de vos API à l'échelle de l'entreprise

Comprenez votre posture de risque API

Comprenez votre posture de risque API

Surveillez les exploitations d'API

Surveillez les exploitations d'API

Apprenez-en plus auprès de nos experts en sécurité des API

Ressources

Ensemble, nous sommes plus forts : App & API Protector + API Security d'Akamai

Comment se protéger contre les 10 principaux risques liés à la sécurité des API identifiés par l'OWASP

Sécurité des API : Meilleures pratiques pour l'acquisition de données sur l'activité des API

Découvrez les fonctionnalités essentielles d'API Security

Produits

Gartner^® Market Guide for API Protection

Gartner^® Market Guide for API Protection

Gartner^® Market Guide for API Protection