La sfida della protezione delle API per una catena di hotel di lusso
Dan Hotels è una catena di hotel di lusso con proprietà in Israele e in India, che, quando si è resa conto che i sistemi dei suoi partner erano stati violati, si è rivolta ad Akamai API Security per proteggere le numerose integrazioni API che utilizza nel settore dei viaggi.
La sfida della protezione delle API
La catena Dan Hotels dispone di numerose integrazioni basate su API che supportano il suo sistema di business intelligence interno, nonché di una crescente raccolta di API esterne con partner del settore viaggi, compresi importanti siti web come Expedia e Booking.com, agenzie di viaggi online, vari altri fornitori e agenti di minori dimensioni.
Anche se molte di queste funzioni delle API risultano centralizzate nella piattaforma di gestione degli immobili Silverbyte dell'azienda, il team addetto alla sicurezza ha scoperto di non avere la necessaria visibilità sulle modalità specifiche con cui i partner accedono e interagiscono con i sistemi informatici di Dan Hotels e di non essere in alcun modo in grado di gestire simili attività.
La soluzione: un approccio più sofisticato e proattivo
Quando sono state violate le infrastrutture di due dei partner dell'azienda nel settore viaggi, il team di Dan Hotels si è reso conto di aver bisogno di un approccio più sofisticato e proattivo nei confronti della sicurezza delle API .
"Proprio nel momento in cui stavamo investigando sull'incidente occorso ai nostri partner, ci siamo resi conto di quanto poco controllo avessimo sul modo in cui vengono utilizzate le nostre API", afferma Yossi Gabay, vicepresidente del reparto Information Systems per Dan Hotels. "Era chiaro che i partner meno sicuri potevano mettere a rischio i nostri sistemi".
Questa experience ha spinto l'azienda a ricorrere urgentemente all'implementazione di un set più sofisticato di funzionalità di sicurezza API.
Fattori di successo delle API sicure
Il team tecnologico di Dan Hotels deve quotidianamente far fronte a forti pressioni in termini concorrenziali, tra cui la cybersicurezza e altre funzioni operative critiche. Per questo motivo, il team era alla ricerca di una soluzione in grado di ridurre i rischi collegati all'utilizzo delle API senza sentirsi sovraccaricato con avvisi e attività manuali.
Nella circostanza, era anche importante, per qualsiasi soluzione scelta, riuscire ad adottare un approccio che si estendesse ben oltre gli attacchi "ordinari", per coprire forme più sofisticate e sottili di abuso delle API, generate dalle attività dei partner (Figura).
Perché Dan Hotels ha scelto API Security
La soluzione API Security è stata la scelta preferita da Dan Hotels per le caratteristiche offerte: semplice integrazione, avanzate funzionalità di analisi in tempo reale, visualizzazione dei dati intuitiva e servizi gestiti.
Facile integrazione
Il modelloSaaS(Software-as-a-Service) di API Security ha consentito a Dan Hotels di iniziare la prima implementazione in poche ore. "Si è rivelata un'integrazione molto semplice, senza alcuna criticità", sottolinea Yossi. "Non siamo stati sovraccaricati con nuove attività, quindi non ci sono state interferenze con le nostre operazioni quotidiane".
Una volta attivato il sistema, il team di API Security ha collaborato con il team di Dan Hotels per perfezionare le fonti e la configurazione dei dati, al fine di raggiungere gli obiettivi specifici dell'azienda.
Avanzate funzionalità di analisi in tempo reale
Le funzionalità di analisi in tempo reale implementate in API Security rappresentano uno dei principali tratti distintivi del prodotto rispetto alle altre opzioni presenti sul mercato. Questo elemento ha quindi determinato la scelta effettuata dalla catena di hotel, azienda particolarmente focalizzata sul rilevamento degli abusi in relazione alle API. La piattaforma di API Security è stata in grado di mappare le relazioni tra gli utenti e le risorse API dell'azienda, fornendo così un prezioso contesto su cui operare.
"Invece di concentrarsi esclusivamente sul bloccare gli attacchi, API Security ci ha aiutato a capire cosa stava effettivamente accadendo e a individuare quei comportamenti indesiderati che altrimenti sarebbero passati inosservati", afferma Yossi.
Visualizzazione intuitiva dei dati di runtime
Il team di Dan Hotels è rimasto davvero favorevolmente colpito dalla capacità di API Security nel presentare grandi quantità di informazioni sulle attività e sulle minacce alle API.
"Quando non si dispone delle necessarie informazioni, non è possibile avere un'utile conversazione, né risolvere i problemi", spiega Yossi. "Non appena si capisce cosa dovrebbe fare un'API e si paragona tutto questo con ciò che sta effettivamente accadendo, è possibile coinvolgere tutte le parti interessate per risolvere eventuali situazioni critiche".
Servizi gestiti
Dan Hotels ritiene che i servizi gestiti offerti da API Security rappresentino un notevole valore aggiunto.
"Le attenzioni del nostro team si suddividono spesso tra cybersicurezza e supporto delle attività che generano profitti. Quindi, poter ricorrere ad un servizio gestito che ci avvisa in modo proattivo quando vengono identificati nuovi rischi per le API è davvero importante per noi. Questa soluzione ci consente di collaborare con esperti realmente all'avanguardia in materia di problematiche di sicurezza delle API, che si impegnano costantemente e dimostrano grande disponibilità", afferma Yossi.
Date un'occhiata
Volete scoprire i vantaggi offerti dai nostri prodotti per la sicurezza delle API alla vostra organizzazione? Provate voi stessi: date un'occhiata alla soluzione Akamai API Security.