Akamai sempre più incentrata sulla sicurezza delle API

L'utilizzo delle API sta crescendo in maniera esponenziale. Le API danno impulso al nostro mondo e alle nostre esperienze del mondo. Ogni giorno, quando utilizziamo i nostri dispositivi, le nostre applicazioni preferite comunicano con più API per effettuare qualsiasi operazione dai social media allo shopping fino al banking e al controllo dei bambini all'asilo. Utilizziamo le API quando lavoriamo da casa durante le comunicazioni con le applicazioni e i servizi della nostra azienda.

Le API vengono usate praticamente in ogni settore verticale al mondo e sono favorite da iniziative aziendali come la trasformazione digitale, l'adozione di dispositivi mobili e IoT (Internet of Things) e l'open banking. Le API vengono usate nelle aziende B2B e B2C per promuovere gli affari nella nostra economia in generale. Quasi tutte le aziende che scrivono applicazioni moderne utilizzano le API per potenziarle, nonché per integrare i servizi interaziendali.

Di conseguenza, le API sono uno dei vettori di attacco più allettanti per i criminali. Dai dati di Akamai, risulta che gli attacchi alle API stanno aumentando del 109% ogni anno. In un rapporto del 2023, il 78% dei clienti ha affermato di aver subito un problema di sicurezza relativo alle API negli ultimi 12 mesi. Poiché la sicurezza delle API è una priorità sempre più importante, Akamai si sta incentrando maggiormente sulla protezione delle API per i propri clienti.

L'acquisizione di Noname Security da parte di Akamai ci consente di accelerare la crescita già straordinaria del 200% che abbiamo registrato nella domanda della soluzione Akamai API Security. Sia Akamai che Noname sono note aziende del settore e questa acquisizione ci offre le ulteriori capacità necessarie per rimanere all'avanguardia nella sicurezza delle API.

Le piattaformeWAAP(Web Application and API Protection) svolgono un ruolo importante nella difesa delle app web e delle API da vari attacchi, come quelli riportati nell'elenco OWASP con le 10 principali vulnerabilità per la sicurezza delle API. Tuttavia, queste soluzioni non possono risolvere interamente il problema.

Altri vendor fanno credere che le soluzioni WAAP siano in grado di risolvere tutti i tipi di attacchi alle API, ma, in realtà, la maggior parte delle soluzioni WAAP non fornisce i livelli di visibilità e la profondità della sicurezza delle API necessari per difendersi dagli attacchi, specialmente dagli attacchi di abuso, perché una soluzione WAAP non ha la consapevolezza contestuale per comprendere la conversazione tra le richieste e le risposte delle API.

Non sorprende che il funzionamento delle API sia diverso da quello di un'applicazione web. In un'applicazione web, la logica aziendale su cui si basa l'app è nascosta, mentre la logica aziendale delle API può risultare visibile direttamente da Internet, il che la rende vulnerabile ad eventuali abusi. Un esempio in tal senso è stato condiviso in un articolo di TechCrunch del 2024. Una piattaforma AAP potrebbe non aver mitigato questo tipo di attacco.

Si tratta di un motivo per cui Akamai ha compiuto importanti investimenti per migliorare la propria soluzione per la sicurezza delle API e per cui continuiamo a spingere verso un maggior livello di innovazione e protezione delle API con quest'ultima acquisizione.

Akamai API Security riesce a gestire molti tipi di attacchi ora specificati nell'elenco OWASP con le 10 principali vulnerabilità per la sicurezza delle API, che causano perdita di ricavi, danni alla reputazione, esposizione di informazioni e violazioni di conformità.

La nostra soluzione per la sicurezza delle API risolve numerosi problemi critici, tra cui la visibilità sullo scenario delle API, il rilevamento e il blocco di minacce e anomalie e i test attivi delle API.

Come recita l'adagio: È impossibile proteggersi da ciò che non si vede. Molte aziende non sono neanche consapevoli di quante API dispongono effettivamente, quindi diventa difficile quantificare il rischio. Akamai API Security inizia a valutare quante sono le API di un cliente, non solo quelle attive di cui il cliente è a conoscenza, ma anche le API legacy, ombra o non autorizzate di cui non è consapevole o che non riesce a vedere. Dai dati di Noname Security, si evidenzia come i clienti della sua piattaforma per la sicurezza delle API rilevano, in media, il 40% di API presenti nel loro ambiente in più rispetto a quanto originariamente previsto dall'azienda.

API Security utilizza l'apprendimento automatico per rilevare e identificare tutti i tipi di vulnerabilità e abuso delle API, tra cui manomissione e fuga di dati, errori di configurazione, violazione delle policy, anomalie dei comportamenti e attacchi diretti alla sicurezza delle API.

I test Shift-Left sono un componente fondamentale dello sviluppo delle applicazioni, che consentono di adottare procedure di sicurezza già nelle fasi iniziali. Tuttavia, finora, non si riusciva ad eseguire i test delle API durante il loro sviluppo. Con API Security, possiamo incorporare i test delle API nella pipeline CI/CD per garantire che eventuali problemi vengano risolti prima di rilasciare le API nella fase di produzione.

L'acquisizione di Noname Security, una delle aziende leader nel settore della sicurezza delle API, espanderà immediatamente il livello di protezione offerto da Akamai API Security ai clienti. Considerando l'ampia gamma di integrazioni e di opzioni di implementazione di Noname, ora possiamo offrire il supporto necessario per la scelta dei vendor.

Qualunque sia la piattaforma utilizzata da un'organizzazione (nel cloud, edge-native, on-premise o di altri vendor), Akamai API Security può proteggere l'ambiente delle API. Con l'aggiunta della soluzione Noname, Akamai potrà usufruire della portata e della copertura necessarie per offrire ai clienti una protezione delle API completa in qualsiasi ambiente.

Siamo anche entusiasti di poter aggiungere:

• Funzionalità di implementazione flessibili : la soluzione consente di implementare rapidamente le istanze distribuite, ibride, ospitate nel cloud o gestite in modo indipendente

• Funzionalità aziendali cruciali : la soluzione include il controllo degli accessi in base ai ruoli, una configurazione self-service, l'integrazione CI/CD, le dashboard e avanzate risposte automatizzate

• Nessun problema di confine dei dati : la soluzione analizza i dati ricavati dalla memoria dell'attacco per garantire che i dati rimangano sempre nel vostro ambiente

• Più integrazioni : la soluzione fornisce la raccolta di integrazioni più completa del settore, che include NGINX, AWS, Azure, F5, Apigee, MuleSoft, GCP e molto altro; l'integrazione con i sistemi esistenti è importante e questa soluzione garantisce una copertura completa

• Efficienti test delle API : la soluzione si focalizza sull'individuazione e sulla mitigazione delle vulnerabilità che mettono a rischio la sicurezza delle API e che sono integrate nella pipeline CI/CD (durante la fase di sviluppo del ciclo di vita del software) prima che vengano sfruttate

Come abbiamo detto, ci proponiamo di combinare le nostre attuali innovazioni in termini di sicurezza delle API con la soluzione per la sicurezza di Noname. La soluzione unificata fornirà ai clienti una protezione completa delle API in tutti gli ambienti.

Il nostro processo di integrazione si focalizzerà su tre aree:

1. Connessione dalla rete edge di Akamai

2. Connessione alla soluzione App & API Protector

3. Intelligence sulle minacce

Akamai gestisce una delle reti private più grandi al mondo. La nostra piattaforma consente di distribuire la maggior parte dei nostri servizi, inclusi i nostri servizi di sicurezza leader del settore (come App & API Protector e Prolexic, la piattaforma di protezione dagli attacchi DDoS), la nostra rete per la distribuzione dei contenuti leader del settore (CDN) e i nostri servizi cloud pubblici. I nostri clienti aziendali adorano la facilità d'uso dei servizi direttamente dalla nostra piattaforma, pertanto forniremo un'integrazione della soluzione Noname nella nostra rete per agevolare le operazioni di implementazione. A partire dall'acquisizione, prevediamo di completare l'integrazione nel giro di tre settimane.

App & API Protector è la migliore piattaforma WAAP del settore come dimostrato dal fatto di essere stata insignita del riconoscimento 2024 Customers' Choice for Cloud WAAP per il quinto anno consecutivo su Gartner® Peer Insights™ e da altre recensioni di analisti. Questa connessione consentirà all'intelligence comportamentale generata da Noname di attivare le regole WAAP in App & API Protector per bloccare automaticamente la connessione.

Akamai raccoglie e analizza più di 788 terabyte di dati ogni giorno. Tutti questi dati sono generati dall'enorme numero di attacchi da noi osservati, che vengono sferrati contro i nostri clienti perlopiù aziendali (oltre 12 miliardi di attacchi web ogni trimestre). Questi dati, insieme agli oltre 200 ricercatori della sicurezza che li utilizzano, ci forniscono una straordinaria intelligence sulle minacce. Inoltre, prevediamo di integrare questo feed di dati in Akamai API Security, come facciamo in tutti i nostri prodotti.