Quali prodotti Akamai mi servono per utilizzare API Security?

API Security è una soluzione di protezione dalle minacce alle API, neutra dal punto di vista del vendor, che non necessita dell'utilizzo di altre soluzioni Akamai. Va a completare le soluzioni di sicurezza delle API Akamai già esistenti e garantisce una protezione completa ai clienti, specialmente perché le API sono diventate molto più sofisticate e richiedono tecniche di rilevamento e risposte automatizzate nuove.

Come posso implementare API Security?

I clienti possono implementare API Security tramite il connettore nativo, che semplifica l'integrazione della soluzione con l'Akamai Connected Cloud. Inoltre, API Security dispone di connettori di nodo compatibili con le piattaforme più comuni (ossia, CDN, gateway API o ambienti cloud).

Posso integrare API Security con strumenti e workflow esistenti?

API Security si integra bene con le vostre origini dati pre-esistenti, come gateway API popolari, provider cloud, ambienti container e mesh, proxy inversi, CDN, WAF (Web Application Firewall), strumenti di gestione dei casi, SIEM (Security Information and Event Management) e strumenti SOAR (Security Orchestration Automation and Response).

Offrite una soluzione di test tempestiva come API Testing?

Sì. La nostra soluzione API Testing, ora nella versione beta, è parte integrante della piattaforma di API Security. L'integrazione della soluzione API Testing nella vostra pipeline SDLC è semplice grazie al motore di scansione di API Security. Distribuito rapidamente con un semplice comando, il motore di scansione vi consente di eseguire test dinamici sulle API ovunque si trovino nella rete. Gli sviluppatori possono eseguire facilmente test sui propri laptop per convalidare il codice prima di inserirlo nei vostri archivi di codice.

Come funziona il servizio gestito di ricerca delle minacce di API Security?

Il servizio gestito di ricerca delle minacce di API Security, API Security ShadowHunt, può aiutare il vostro team addetto alla sicurezza grazie alla presenza di analisti di Akamai esperti nella ricerca delle minacce alle API ed è l'ideale per team a corto di personale o con scarse competenze in tema di sicurezza delle API. Sebbene non si tratti di un tipico servizio SOCC (Security Operations Command Center) gestito 24 ore su 24, 7 giorni su 7, gli addetti all'identificazione delle minacce lavorano, quando ce n'è bisogno, come un'estensione del vostro team, al fine di rilevare e segnalare gli attacchi più clandestini e offuscati che si nascondono nel vostro traffico di API. Il nostro team API Security ShadowHunt offre una notifica immediata su qualsiasi minaccia nel vostro patrimonio di API, con un riepilogo completo sull'incidente, le raccomandazioni e i possibili rimedi. Vengono forniti anche rapporti mensili, con rapporti periodici sulle minacce emergenti, in grado di consigliare possibili azioni.

In che modo API Security gestisce i dati sensibili?

Prima dell'invio alla piattaforma API Security, i dati relativi alle attività delle API vengono tokenizzati per sostituire le informazioni sensibili, in modo da consentire solo agli utenti autorizzati di de-tokenizzarle e ripristinarle ai valori originali.

In che modo API Security aiuta a individuare e dare priorità alle API rilevate che comportano dei rischi?

API Security mette in evidenza le API che rendono accessibili i dati sensibili e li cataloga automaticamente in base al tipo (ad es. PII, e-mail), facilitandovi il compito di gestire elenchi a volte complessi. Vi consente anche di creare categorie di etichette (o classificazioni di dati) personalizzate, oltre a convenzioni sia per le API stesse che per i tipi di avviso. Ciò garantirà ai team che si occupano di API e sicurezza di parlare la stessa lingua, in linea con gli obiettivi e i problemi di sicurezza della vostra azienda.

API Security può proteggere da tutte le 10 principali vulnerabilità alle API riportate nell'elenco OWASP?

API Security protegge da tutte le 10 principali vulnerabilità alle API riportate nell'elenco OWASP.

Perché un data lake è importante per le funzionalità di indagine e ricerca delle minacce? API Security protegge da tutte le 10 principali vulnerabilità alle API riportate nell'elenco OWASP.

Se non si ha un quadro completo sui dati cronologici, cosa che proprio un data lake è in grado di offrire, è impossibile comprendere davvero ciò che sia successo a un'API prima e dopo un avviso, così come capire il modo in cui una tale anomalia possa influire su altre API. In mancanza di queste informazioni cronologiche approfondite, offerte da API Security, è impossibile agire con la dovuta diligenza e ciò potrebbe portare a non rilevare le minacce nascoste nei vostri dati, sprecando, così, delle risorse nel tentativo di identificarne le cause, oltre a molte altre conseguenze. Le soluzioni per la sicurezza delle API che non sono in grado di offrirvi questa cronologia rispetto al contesto in esame non sono altro che semplici strumenti di avviso.

Perché per uno strumento di sicurezza delle API è importante essere una piattaforma basata su cloud?

Le soluzioni per la sicurezza delle API devono essere basate su cloud per via dei dati necessari a comprendere dove e perché si stiano verificando anomalie nelle API. Le soluzioni on-premise non sarebbero in grado di memorizzare il volume di dati richiesto per effettuare analisi comportamentali e gestire anche un data lake che possa fornire un contesto cronologico rispetto alle anomalie. I dati dovrebbero essere eliminati dopo le ispezioni, il che darebbe luogo soltanto a un avviso, ma non fornirebbe altre informazioni. Ciò renderebbe praticamente impossibile risalire alle cause. API Security utilizza tecniche di rilevamento e risposta collaudate ed è una soluzione SaaS basata su cloud e indipendente dalla piattaforma. Offre un'azione combinata tra funzionalità di analisi comportamentale e un data lake, al fine di offrire un contesto cronologico e visivo dal quale partire per tutte le analisi.

Le funzionalità XDR migliorano i rilevamenti di abusi delle API?

API Security ha integrato nel suo modello i principi XDR, ossia una tecnologia avanzata di rilevamento e risposta alle minacce. Le innovazioni apportate dall'approccio XDR hanno migliorato la sicurezza in tre modi importanti: I segnali di rilevamento e risposta di tutti i silos elencati sopra ora convergono in un unico modello. È stato possibile fare tesoro della scalabilità nel cloud e di tecniche come l'apprendimento automatico e l'analisi comportamentale, per monitorare grandi quantità di dati su orizzonti temporali più lunghi, fornire informazioni sulla sicurezza più complete e significative e, cosa forse più importante, stabilire un comportamento di riferimento per identificare le difformità. Adesso i team addetti alla sicurezza hanno a disposizione visualizzazioni comprensibili sugli incidenti di sicurezza, inclusi i tempi di registrazione, così da evitare falsi allarmi e poter rispondere in maniera più rapida, semplice e decisiva. Se implementate e adottate nel modo giusto, le funzionalità XDR hanno il potere di trasformare la produttività e l'efficacia dei team di sicurezza. La natura stessa del modello business-to-business o del traffico di API machine-to-machine suggerisce che l'applicazione dei principi dell'approccio XDR è necessaria, in quanto, in presenza di un'ampia quantità di traffico, soltanto un rilevamento altrettanto esteso potrà rilevare anche gli abusi di API meglio nascosti.

Vi serve il cloud computing? Iniziate subito

+1-8774252624

Prova Akamai

Siete sotto attacco?

+1-8774252624

Prodotti

Cloud computing
Sicurezza
Delivery dei contenuti
Tutti i prodotti e le versioni di prova
Servizi globali

+1-8774252624

Cloud computing

Computing

Create, rilasciate e scalate più rapidamente con le macchine virtuali per ogni carico di lavoro

Visualizza tutti

Rete

Proteggete le reti, bilanciate il traffico e controllate l'infrastruttura

Visualizza tutti

Container

Organizzate in modo efficiente le applicazioni containerizzate

Visualizza tutti

Strumenti di sviluppo

Sfruttate appieno le vostre applicazioni con avanzati strumenti di gestione

Visualizza tutti

Storage

Implementate funzioni di storage e gestione affidabili e facilmente accessibili

Visualizza tutti

Database

Scalate facilmente con database gestiti semplici e affidabili

Visualizza tutti

Create un account sul cloud

Sicurezza

Sicurezza di app e API

API Security

Scoprite e monitorate il comportamento delle API per rispondere alle minacce e agli abusi

App & API Protector

Proteggete app web e API dagli attacchi DDoS, dai bot e dalle 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP

Client-Side Protection & Compliance

Semplificate la conformità al PCI e la protezione dagli attacchi lato client

Sicurezza Zero Trust

La piattaforma Akamai Guardicore

Una piattaforma Zero Trust per un elevato livello di copertura, visibilità e controllo granulare.

Akamai Guardicore Segmentation

Mitigate i rischi sulla vostra rete con una segmentazione granulare e flessibile

Secure Internet Access

Protezione proattiva da malware e phishing zero-day

Hunt

Bloccate le minacce più elusive con un'appropriata ricerca proattiva

Enterprise Application Access

Accesso granulare alle applicazioni in base alle identità e al contesto

Akamai MFA

Rafforzate le difese per evitare problemi di violazione dei dati e attacchi per il controllo degli account con l'MFA anti-phishing

Protezione dagli abusi e dai bot

Account Protector

Mitigate l'abuso degli account ed espandete le vostre attività digitali

Content Protector

Arrestate gli attacchi di scraping, salvaguardate la vostra proprietà intellettuale e aumentate i tassi di conversione

Brand Protector

Rilevate e mitigate le rappresentazioni fraudolente del vostro brand

Bot Manager

Accettate i bot che desiderate e mitigate quelli indesiderati

Identity Cloud

Aggiungete una gestione delle identità sicura e basata su cloud ai vostri siti web o alle vostre app

SICUREZZA DELL'INFRASTRUTTURA

Edge DNS

Una soluzione autoritativa esterna per l'infrastruttura del vostro DNS

Prolexic

Proteggete la vostra infrastruttura dagli attacchi DDoS (Distributed Denial-of-Service)

IP Accelerator

Potenziate le performance e la sicurezza della rete per le applicazioni basate su IP

Delivery dei contenuti

PERFORMANCE DELLE APPLICAZIONI

Ion

Migliorate le performance e l'affidabilità del vostro sito web su larga scala

API Acceleration

Migliorate la performance e l'affidabilità delle API su larga scala

IP Accelerator

Potenziate le performance e la sicurezza della rete per le applicazioni basate su IP

DISTRIBUZIONE DI MEDIA

Adaptive Media Delivery

Delivery di video di alta qualità su qualsiasi schermo per gli utenti in tutto il mondo

Download Delivery

Offrite facilmente download di file di grandi dimensioni, in ogni circostanza, su scala globale

APPLICAZIONI EDGE

EdgeWorkers

Eseguite codice JavaScript personalizzato sull'edge, vicino agli utenti, per ottimizzare le UX

EdgeKV

Distribuite un database di archiviazione chiave-valore sull'edge

Image & Video Manager

Ottimizzate automaticamente immagini e video per ogni utente, su qualsiasi dispositivo

Applicazioni cloudlet

App predefinite che vengono eseguite sull'edge in base alle specifiche esigenze aziendali

Cloud Wrapper

Utilizzate un livello di caching personalizzato per migliorare l'offload dell'origine

Global Traffic Management

Ottimizzate le performance con un bilanciamento del carico intelligente

MONITORAGGIO, GENERAZIONE DI RAPPORTI ED ESECUZIONE DI TEST

DataStream

Feed di dati a bassa latenza per un'acquisizione e una visibilità sugli strumenti di terze parti

mPulse

Misurate l'impatto aziendale sulle user experience effettive in tempo reale

CloudTest

Test di carico di siti e applicazioni su scala globale

Soluzioni

Casi di utilizzo
Soluzioni di settore

+1-8774252624

Casi di utilizzo

CLOUD COMPUTING

Media

Fornite experience video interattive e coinvolgenti

SaaS

Migliorate la portabilità, le performance e l'efficienza dal cloud al client

Gaming

Migliorate le experience dei giocatori con bassa latenza ed elevata disponibilità

SICUREZZA

App e API

Mettete al sicuro il vostro brand proteggendo app e API da minacce persistenti

Zero Trust

Le soluzioni per una copertura completa, una visibilità approfondita e un controllo granulare

Protezione dagli attacchi DDoS

Proteggete la vostra infrastruttura dagli attacchi DDoS e DNS

Protezione dagli abusi e dai bot

Fermate l'abuso degli account, i sofisticati attacchi bot e l'impersonificazione dei brand

DELIVERY DI CONTENUTI

Performance di app e API

Migliorate l'engagement degli utenti tramite l'ottimizzazione di app e API

Media delivery

Offrite eccellenti experience di download e streaming su qualsiasi dispositivo

Edge Computing

Create e implementate sulla piattaforma edge più distribuita al mondo

Soluzioni di settore

Perché Akamai

Alla scoperta dell'Akamai Connected Cloud

Ulteriori informazioni

La nostra piattaforma

Scoprite la nostra infrastruttura globale

Ulteriori informazioni

Azienda

Scoprite come potenziamo e proteggiamo la vita online

Ulteriori informazioni

Risorse

+1-8774252624

Libreria

Scoprite

Learning Hub

Formazione e risorse educative per i prodotti e i servizi Akamai

Glossario

I concetti principali nella sicurezza, nel cloud computing e nella delivery dei contenuti

Ricerca sulla sicurezza

Ricerca sulla sicurezza Akamai:

Informazioni e intelligence fornite dall'Akamai Security Intelligence Group

Rapporti sullo stato di Internet (SOTI)

Analisi approfondite sulle ultime tendenze e ricerche sulla cybersicurezza

Partner

Trova un partner
Diventa un partner
Marketplace di cloud computing

+1-8774252624

Trova un partner

Perché scegliere un partner Akamai?

Ulteriori informazioni sull'innovativo ecosistema dei nostri partner

Elenco dei partner

Trova un partner di canale o tecnologico

Diventa un partner

Contatti

Contatto vendite

Domande? Possiamo essere d'aiuto.

Contattateci

Assistenza clienti

Vi serve un supporto tecnico? Siamo disponibili 24/7.

Assistenza

API Security

Proteggete tutte le vostre API da attacchi sempre più frequenti e furti di dati.

Richiedete una demo

Individuazione e visibilità su tutte le API per difendersi dalle minacce

API Security vi offre una piena visibilità sull'intero patrimonio delle API, grazie a un rilevamento costante e ad analisi in tempo reale. Scoprite come identificare le vulnerabilità e analizzare il comportamento delle API per rilevare gli attacchi e mitigare i rischi in questa superficie di attacco in rapida espansione.

Visualizza la descrizione del prodotto

Eliminazione di un frequente punto debole della sicurezza

Scoprite il vostro patrimonio completo di API

Individuate e create un inventario di tutte le vostre API, comprese quelle nascoste, zombie e non autorizzate, con un rilevamento e un monitoraggio continui.

Identificate le API vulnerabili

Verificate le vulnerabilità e le configurazioni errate delle API che vengono prese di mira dai criminali, incluse le 10 principali vulnerabilità delle API riportate nell'elenco OWASP.

Mitigate l'abuso della logica aziendale

Utilizzate informazioni sul contesto per identificare i vari rischi, come la fuga di dati, il comportamento sospetto, i bot dannosi e gli attacchi alle API.

Come funziona API Security

Individuazione

Generate un inventario completo delle API, incluse le informazioni sul numero e sul tipo di API di cui disponete.

Test

Aggiungi la sicurezza alla pipeline CI/CD senza sacrificare la velocità per proteggere le API prima che entrino in fase di produzione.

Rilevamento

Identificate le vulnerabilità e gli attacchi alle API con un rilevamento automatizzato e basato sull'apprendimento automatico.

Risposta

Create workflow avanzati per risolvere i problemi delle API integrando i vostri strumenti WAF, SIEM e ITSM.

Qual è l'impatto esercitato da un problema di sicurezza delle API?

Più di 1.200 esperti di sicurezza riferiscono come i problemi relativi alle API incidono negativamente sul fatturato, sulla reputazione e sui livelli di stress dei team delle loro aziende.

Scaricate il rapporto

Gartner^® Market Guide for API Protection

Tenetevi un passo avanti rispetto al prossimo vettore di attacco: l'abuso delle API. Scoprite le funzionalità dei prodotti, i fornitori, la direzione del mercato e molto altro.

Scaricate il rapporto

Gartner^® Market Guide for API Protection

Tenetevi un passo avanti rispetto al prossimo vettore di attacco: l'abuso delle API. Scoprite le funzionalità dei prodotti, i fornitori, la direzione del mercato e molto altro.

Scaricate il rapporto

Gartner^® Market Guide for API Protection

Tenetevi un passo avanti rispetto al prossimo vettore di attacco: l'abuso delle API. Scoprite le funzionalità dei prodotti, i fornitori, la direzione del mercato e molto altro.

Scaricate il rapporto

Caratteristiche

Valuta il traffico delle API con una connessione nativa alla rete CDN di Akamai da integrare con gateway API, strumenti di bilanciamento del carico o soluzioni WAF
Scopri le API, i domini e le questioni correlate per le API HTTP, RESTful, GraphQL, SOAP, XML-RPC e JSON-RPC
Identifica i tipi di dati sensibili accessibili tramite le API e tieni traccia degli utenti che accedono a queste API
Analizza le API alla ricerca dei 10 principali rischi per la sicurezza delle API identificati dall'OWASP e classifica le vulnerabilità in base al loro impatto per una rapida mitigazione
Scopri il contesto delle API con le visualizzazione della logica aziendale, dell'infrastruttura di rete fisica e i flussi del traffico delle API

Monitora continuamente la conformità con requisiti normativi, standard di settore e policy interne
Utilizza l'apprendimento automatico per identificare un uso anomalo, attacchi alle API, manomissione e fuga di dati e violazioni delle policy aziendali
Blocca gli attacchi alle API in tempo reale e configura avanzati workflow per accelerare la mitigazione e migliorare l'efficacia del SOC
Effettua una completa integrazione con le pipeline CI/CD esistenti ed esegui automaticamente più di 200 test che simulano il traffico dannoso

Domande frequenti (FAQ)

API Security è una soluzione di protezione dalle minacce alle API, neutra dal punto di vista del vendor, che non necessita dell'utilizzo di altre soluzioni Akamai. Va a completare le soluzioni per la sicurezza di Akamai già esistenti e garantisce una protezione completa ai clienti, specialmente perché le API sono diventate molto più sofisticate e richiedono tecniche di rilevamento e risposte automatizzate nuove.

API Security e App & API Protector sono due soluzioni diverse, che Akamai offre per proteggere la vostra azienda.

App & API Protector è in grado di individuare e mitigare le minacce alle API per tutte le vostre app web e API eseguite tramite Akamai Connected Cloud. È capace di bloccare qualsiasi tipo di traffico in linea, contenendo le potenziali minacce alla vostra azienda.
API Security è una soluzione indipendente dalla piattaforma, che consente di eseguire operazioni complete di rilevamento e offre una visibilità su tutti gli endpoint delle API a livello aziendale. Inoltre, fornisce un'analisi del traffico in tempo reale sulle attività delle API e stabilisce specifiche risposte da adottare per mitigare il traffico delle API sfruttato di recente.

Se utilizzate insieme, App & API Protector e API Security lavorano in linea e offrono il livello più completo e costante di visibilità sulle API. Vi consentono di individuare, controllare, rilevare e rispondere alle esigenze legate alle API nel vostro intero patrimonio. Inoltre, l'integrazione tra API Security e App & API Protector offre l'implementazione più solida e semplice della soluzione di sicurezza delle API.

Sì, la nostra soluzione API Testing è stata progettata per fornire una copertura completa delle vulnerabilità specifiche delle API, consentendo di preparare ed eseguire test tempestivi sulla sicurezza delle API in ogni fase di sviluppo.

API Security monitora e protegge sia il traffico est-ovest che nord-sud, rivedendo tutte le API nella vostra azienda, per cercare anomalie che possano indicare un rischio per la sicurezza.

API Security identifica le API che contengono informazioni di identificazione personale (PII), documentazione interna, proprietà intellettuale e molto altro per consentirvi di automatizzare i sistemi di protezione specificamente per queste API. Tutti i campioni di traffico sono offuscati (sospetti o meno) e sono visibili solo agli amministratori e ai collaboratori allo scopo di semplificare le operazioni di privacy e conformità.

API Security è indipendente dalla piattaforma e funziona in tutti gli ambienti (SaaS, ibridi e on-premise), compresi quelli complessi e con più CDN, WAF, gateway e API ampiamente distribuite in tutta l'azienda (sia da nord a sud e da est a ovest). API Security offre visibilità a livello aziendale sul comportamento delle API, a prescindere da dove vengano rilevate.

Akamai API Security presenta un connettore nativo che consente di inviare una copia del traffico sull'Akamai Connected Cloud alla soluzione Akamai API Security a scopo di analisi. Questa integrazione è incorporata direttamente in API Security e nell'Akamai Connected Cloud al fine di eliminare problemi di latenza e di ridurre i rischi. Il connettore nativo individua automaticamente e tiene traccia delle API negli ambienti gestiti da Akamai, aiuta a rilevare le vulnerabilità e consente ai clienti di bloccare i criminali sull'edge.

API Security protegge da tutte le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP.

Storie dei clienti

Netskope

Un'azienda leader nel settore della sicurezza utilizza Akamai API Security per garantire la conformità a migliaia di clienti e per proteggere decine di migliaia di API.

Leggi la storia del cliente

Storie dei clienti

Aflac

Aflac ottiene una piena visibilità delle API e la capacità di mitigare le vulnerabilità con API Security.

Leggi la storia del cliente

Storie dei clienti

DHgate

Un provider di piattaforme per l'e-commerce in Cina ha risolto i problemi di sicurezza relativi all'inventario delle API con la soluzione API Security.

Leggi la storia del cliente

Casi di utilizzo di API Security

Scoprite come Akamai API Security vi consente di proteggere le vostre attività aziendali digitali e i relativi dati su vari fronti.

Eseguite i test delle API prima di passarle alla fase di produzione
Ottenete un inventario delle vostre API a livello aziendale
Scoprite la posizione di rischio delle vostre API
Monitorate l'abuso delle API

Eseguite i test delle API prima di passarle alla fase di produzione

La soluzione API Testing è fondamentale per la vostra strategia di sicurezza delle API perché aiuta le organizzazioni ad eseguire test tempestivi, rilevando e correggendo varie vulnerabilità, come l'abuso della logica aziendale nelle fasi iniziali del ciclo di vita dello sviluppo del software (SDLC) prima che le API raggiungano la fase di produzione.

Con API Testing, potete eseguire automaticamente più di 150 test dinamici in grado di simulare il traffico dannoso, incluse le OWASP (Open Web Application Security Project) con i 10 principali rischi per la sicurezza delle API. Potete programmare l'esecuzione automatica dei test agli intervalli desiderati in qualsiasi fase del processo di sviluppo.

Ottenete un inventario delle vostre API a livello aziendale

Mantenere un inventario completo e sempre aggiornato di tutte le API utilizzate nella vostra organizzazione è cruciale per un'efficace strategia di sicurezza delle API. I rilevamenti on-demand o giorno per giorno non bastano, a causa della gravità dei rischi legati agli attacchi alle API. Inoltre, la capacità di poter effettivamente vedere il reale comportamento delle API (chiamate API) è necessaria per consentire ai membri principali dei team addetti alla sicurezza, allo sviluppo e alle operazioni di comprendere le modalità di utilizzo o abuso delle API, così da garantire la comunicazione e le analisi dei vari casi ai team dell'organizzazione.

API Security offre un rilevamento automatizzato e costante delle API mediante l'uso di varie tecnologie e infrastrutture. Rileva anche le API appena distribuite e confronta le loro proprietà con la documentazione esistente. API Security rileva le API ombra spesso ignorate e i casi noti di vulnerabilità delle API, proprio come quelli riportati nell'elenco OWASP con le 10 principali vulnerabilità per la sicurezza delle API.

Il rilevamento delle API è un processo continuo e il nostro monitoraggio costante individua nuove API, oltre alle eventuali modifiche apportate a quelle esistenti. I team addetti alla sicurezza hanno a disposizione una visibilità impareggiabile e sono i primi a sapere quando gli sviluppatori distribuiscono un'API o un servizio nuovi.

Scoprite la posizione di rischio delle vostre API

Le API sono alla base di tutti i servizi e i prodotti digitali implementati da un'azienda. Pertanto, non sorprende che le API stiano crescendo in termini di ambito e portata. Tuttavia, questa proliferazione conduce ad una diffusione delle API che sta riplasmando la superficie di attacco delle aziende.

Oggi, i criminali cercano eventuali vulnerabilità delle API, tra cui errori di configurazione o bug nei software, da poter sfruttare per:

Ottenere accesso alle funzionalità delle applicazioni sensibili
Individuare, violare e/o rubare dati sensibili
Abusare delle API per scopi illeciti

L'elenco OWASP con le 10 principali vulnerabilità per la sicurezza delle API offre un'utile riepilogo delle minacce e delle vulnerabilità delle API maggiormente sfruttate, che le organizzazioni dovrebbero tentare di identificare e correggere.

Con API Security, potrete evitare di esporre la vostra azienda ad attacchi sferrati da API vulnerabili e configurate in maniera errata, allertando immediatamente i team addetti alla sicurezza, allo sviluppo e alle API della presenza di potenziali rischi, configurazioni errate e vulnerabilità. Potrete anche stabilire facilmente se un partner ha configurato in maniera errata una vostra API o se ci sono vulnerabilità nel codice.

Gli avvisi legati al contesto e alle condizioni si integrano perfettamente nell'ambito dei vostri workflow esistenti, ad esempio mediante la creazione automatica di un ticket Jira, rendendo, perciò, rapida la risoluzione di qualunque problema.

Monitorate l'abuso delle API

Le API sono progettate per essere utilizzate in modo programmatico, pertanto, è estremamente difficile distinguere gli utilizzi legittimi dagli attacchi e dalle violazioni.

Anche se gli attacchi alle API vengono sferrati in diversi modi, alcuni di quelli più comuni sono:

Abuso della logica aziendale. Si verifica un abuso della logica aziendale quando un criminale sfrutta i difetti di progettazione o implementazione delle applicazioni per dare origine a un comportamento imprevisto e non autorizzato a suo vantaggio. I controlli della sicurezza tradizionali non possono impedire questo tipo di abuso, il che causa un enorme livello di stress e pressione sui CISO e sui loro team.
Accesso non autorizzato ai dati. Un'altra forma comune di abuso di API è lo sfruttamento di meccanismi di autorizzazione non funzionanti per accedere a dati ai quali i criminali non dovrebbero essere autorizzati ad accedere. Queste vulnerabilità hanno molti nomi diversi, come BOLA (Broken Object Level Authorization), IDOR (Insecure Direct Object Reference) e BFLA (Broken Function Level Authorization).
Controllo degli account. Dopo un furto di credenziali o persino un attacco XSS (Cross-Site Scripting), è possibile assumere il controllo di un account. Quando questo accade, è possibile abusare persino delle API meglio scritte e accuratamente protette. Dopotutto, se non si effettua un'analisi comportamentale, qualunque attività svolta dopo l'autenticazione può essere considerata legittima.
Scraping dei dati. Quando le organizzazioni rendono disponibili i loro dataset tramite le API pubbliche, i criminali possono interrogare queste risorse in maniera aggressiva per acquisire in modo indiscriminato enormi dataset preziosi.
Attacco DoS (Denial-of-Service) alle aziende. Chiedendo al back-end di svolgere le attività gravose, gli autori di attacchi API o gli utenti possono causare danni o un'interruzione completa dei servizi a livello di applicazione (una vulnerabilità molto comune in GraphQL, ma può verificarsi con qualunque implementazione in endpoint API dispendiosa in termini di risorse). Ciò può verificarsi in caso di attacco non voluto o eccessivo utilizzo da parte di un partner, caso, quest'ultimo, che comporta guasti all'API per gli altri partner.
Sfruttamento delle vulnerabilità. Le vulnerabilità tecniche dell'infrastruttura sottostante possono causare la compromissione del server. Esempi di questo tipo di vulnerabilità spaziano da vulnerabilità Apache Struts (CVE-2017-9791, CVE-2018-11776 e simili) a vulnerabilità Log4j (CVE-2021-44228 e simili).

Per identificare e mitigare questi ed altri rischi per la sicurezza delle API, occorrono controlli di sicurezza abbastanza sofisticati da risolvere questo panorama di minacce complesso e in rapida evoluzione.

La soluzione API Security offre a un'azienda un quadro altrimenti non ottenibile analizzando soltanto elementi tecnici come indirizzi IP e token API. Utilizzando l'analisi del traffico in tempo reale con le informazioni dell'AI/ML, API Security vi consente di conoscere il vostro contesto aziendale per effettuare un'analisi approfondita su ciò che è successo prima e dopo un avviso, al fine di identificarne la causa di fondo. API Security vi consente anche di ricercare le API in base a entità specifiche, come i vostri utenti o partner, oppure persino i processi aziendali (ad es. fatture, pagamenti, ordini, ecc.), per permettervi di rilevare anomalie che altrimenti passerebbero inosservate.

Ascoltate i nostri esperti di sicurezza delle API

Seguite la nostra serie mensile If Your APIs Could Talk (Se le vostre API potessero parlare) per approfondimenti tecnici sulla sicurezza delle API.

Visualizza webinar

Risorse

Infografica

Migliori insieme: Akamai App & API Protector + API Security

Scoprite perché le minacce alle API richiedono un nuovo approccio alla sicurezza che include più livelli di protezione e soluzioni connesse in modo nativo.

Guardate l'infografica

White paper

Protezione dai 10 principali rischi alla sicurezza delle API identificati dall'OWASP

Gli aggiornamenti ai 10 principali rischi per la sicurezza delle API mostrano le nuove vulnerabilità che richiedono nuove difese e strategie di mitigazione.

Leggete il white paper

Post del blog

Sicurezza delle API: le best practice per l'acquisizione dei dati sulle attività delle API

Vi servono i dati appropriati per comprendere e difendere le API. Queste best practice accelerano il rilevamento delle API e l'individuazione delle minacce avanzate.

Leggete il blog

Scoprite le funzionalità più importanti di API Security

Scoprite le funzionalità di API Security che possono aiutarvi a prevenire gli attacchi tramite esempi pratici, tra cui:

Individuazione e monitoraggio: rilevate e rispondete alle minacce con il nostro sistema di monitoraggio 24/7
Avvisi: esaminate il modo di gestione degli avvisi di sistema e runtime
Facile integrazione: semplice integrazione con le vostre tecnologie esistenti, indipendentemente dalla loro complessità

Pianificate una demo in due semplici passaggi:

Inviate il modulo
Prenotate un orario con il nostro team

Grazie per la richiesta! Un esperto Akamai vi contatterà a breve.

Prodotti

Cloud computing

Cloud computing

Sicurezza

Sicurezza

Sicurezza di app e API

Sicurezza Zero Trust

Protezione dagli abusi e dai bot

SICUREZZA DELL'INFRASTRUTTURA

Delivery dei contenuti

Delivery dei contenuti

PERFORMANCE DELLE APPLICAZIONI

DISTRIBUZIONE DI MEDIA

APPLICAZIONI EDGE

MONITORAGGIO, GENERAZIONE DI RAPPORTI ED ESECUZIONE DI TEST

Soluzioni

Casi di utilizzo

CLOUD COMPUTING

SICUREZZA

DELIVERY DI CONTENUTI

Soluzioni di settore

Perché Akamai

Risorse

Libreria

Libreria

Scoprite

Ricerca sulla sicurezza

Partner

Trova un partner

Diventa un partner

Contatti

API Security

Individuazione e visibilità su tutte le API per difendersi dalle minacce

Eliminazione di un frequente punto debole della sicurezza

Scoprite il vostro patrimonio completo di API

Identificate le API vulnerabili

Mitigate l'abuso della logica aziendale

Come funziona API Security

Individuazione

Individuazione

Test

Test

Rilevamento

Rilevamento

Risposta

Risposta

Qual è l'impatto esercitato da un problema di sicurezza delle API?

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Caratteristiche

Domande frequenti (FAQ)

Quali prodotti Akamai mi servono per utilizzare API Security?

Quali sono le differenze tra API Security e Akamai App & API Protector?

Offrite funzionalità di test delle API?

API Security protegge il traffico est-ovest?

In che modo API Security gestisce i dati sensibili?

API Security protegge le API che non attraversano una CDN?

API Security è in grado di individuare il traffico delle API sulla piattaforma Akamai Connected Cloud?

API Security può proteggere da tutte le 10 principali vulnerabilità alle API riportate nell'elenco OWASP?

Storie dei clienti

Netskope

Aflac

DHgate

Casi di utilizzo di API Security

Eseguite i test delle API prima di passarle alla fase di produzione

Eseguite i test delle API prima di passarle alla fase di produzione

Ottenete un inventario delle vostre API a livello aziendale

Ottenete un inventario delle vostre API a livello aziendale

Scoprite la posizione di rischio delle vostre API

Scoprite la posizione di rischio delle vostre API

Monitorate l'abuso delle API

Monitorate l'abuso delle API

Ascoltate i nostri esperti di sicurezza delle API

Risorse

Migliori insieme: Akamai App & API Protector + API Security

Protezione dai 10 principali rischi alla sicurezza delle API identificati dall'OWASP

Sicurezza delle API: le best practice per l'acquisizione dei dati sulle attività delle API

Scoprite le funzionalità più importanti di API Security

Prodotti

Gartner^® Market Guide for API Protection

Gartner^® Market Guide for API Protection

Gartner^® Market Guide for API Protection