Aflac rafforza le sue attività digitali per contrastare gli attacchi alle API

Le società di servizi finanziari si impegnano nell'intento di innovarsi ad un ritmo accelerato man mano che i consumatori continuano a passare dai punti vendita fisici alle interazioni digitali. Questa è diventata la realtà anche per Aflac. Tuttavia, per conseguire i propri obiettivi di trasformazione digitale, Aflac ha dovuto adottare un approccio distribuito anziché centralizzato per implementare le nuove applicazioni. Anche se questo approccio è risultato vantaggioso dal punto di vista della gestione delle risorse, ha aggiunto complessità ad uno scenario già impegnativo.

Inoltre, l'azienda dipendeva notevolmente dai suoi gateway API esistenti per ottenere visibilità sul proprio patrimonio delle API, un aspetto questo che ha destato l'attenzione da parte dei dirigenti. Anche se si tratta di componenti importanti per la delivery delle API, i gateway API non sono progettati per fornire i controlli di sicurezza e il livello di osservabilità richiesti per proteggere le API in modo adeguato. Inoltre, le APl implementate all'esterno di un gateway creavano problemi di sicurezza e visibilità persino maggiori.

"Eravamo consapevoli che il nostro patrimonio delle API fosse ampio e volevamo essere totalmente sicuri di conoscere ogni API, di avere piena visibilità sul loro funzionamento e di poterle sottoporre continuamente a test per individuare eventuali rischi per la sicurezza. Questo approccio si è rivelato essenziale per la nostra strategia perché ci ha consentito di affrontare il rischio di exploit in un contesto in cui la tecnologia prende sempre più piede", ha affermato Goldsworthy.

Oltre ad ottenere un quadro completo del suo patrimonio delle API, Aflac sapeva anche di dover essere in grado di difendere le sue APl dagli attacchi. Considerando la sua reputazione a prova di bomba e la portata globale e ben consapevole di poter diventare un bersaglio per i criminali, l'azienda ha così richiesto una soluzione olistica per la sicurezza delle API in grado di fornire non solo la visibilità, ma anche le capacità necessarie per mitigare le vulnerabilità e gli attacchi in modo da evitare di diventare un'altra vittima.

"Noname (ora acquisita da Akamai) è risultata la soluzione per la sicurezza delle API più avanzata e completa da noi provata, che ha superato di gran lunga i nostri requisiti iniziali. Non solo Noname (ora acquisita da Akamai) dispone degli strumenti tecnologici necessari per soddisfare le nostre attuali esigenze, ma anche il suo piano per risolvere i nuovi problemi di sicurezza ci ha entusiasmato", ha aggiunto Goldsworthy.

Dopo aver valutato la piattaforma Noname API Security (ora parte di Akamai API Security), Aflac ha deciso che si trattava della soluzione più completa per proteggere le sue API, molte delle quali risiedono nel suo ambiente AWS. La soluzione fornisce funzioni di individuazione e protezione del runtime delle API, che offrono all'azienda una piena visibilità su ogni tipo di API di cui dispongono, tra cui HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC e gRPC.

Il modulo di individuazione delle API fornirà anche informazioni sui tipi di dati trasmessi dalle API dell'azienda. In tal modo, Aflac potrà disporre della visibilità sui componenti delle sue APl in grado di accedere ai dati sensibili e di identificare eventuali anomalie nell'accesso ai dati.

Inoltre, all'azienda verrà fornita una protezione in tempo reale in grado di contrastare qualsiasi attacco alle API. La soluzione utilizza il rilevamento automatizzato con l'intelligenza artificiale e l'apprendimento automatico per condurre un'analisi del traffico in tempo reale e per fornire informazioni contestuali sulla fuga e sulla manomissione di dati, sulle violazioni delle policy relative ai dati, su comportamenti sospetti e attacchi alla sicurezza delle API.

Akamai API Security viene eseguito in modalità out-of-band, sfruttando il mirroring del traffico VPC per copiare il traffico delle API da AWS Application Load Balancer nell'ambiente di Aflac. Questo approccio consente di eseguire il monitoraggio senza influire sulle performance. I dati vengono quindi inoltrati ai motori remoti di Akamai che vengono implementati sulle istanze di EC2 per ulteriori analisi. La piattaforma recupera anche le informazioni dai gateway API di Aflac inviando i registri di esecuzione e accesso ad Amazon CloudWatch. La gamma delle integrazioni fornite da Akamai nell'ecosistema di AWS fornisce ad Aflac il supporto necessario per soddisfare in tutta sicurezza gli obblighi dell'azienda in materia di sicurezza dei dati.

Aflac sta già individuando il modo con cui intende espandere la copertura per la sicurezza delle sue API a livello globale e, soprattutto, in Giappone. L'Asia rappresenta un mercato fiorente per l'azienda, che desidera garantire ai suoi clienti nei mercati emergenti lo stesso livello di sicurezza come in altre aree geografiche. In tal modo, l'azienda potrà non solo continuare a distinguersi sul mercato, ma anche rafforzare la sua reputazione come organizzazione incentrata sul cliente.

L'azienda sta anche implementando il modulo per l'esecuzione dei test della soluzione Akamai API Security, che consente alle organizzazioni di identificare eventuali vulnerabilità durante lo sviluppo e mitigarle prima che raggiungano la fase di produzione. Seguendo l'approccio Shift-Left, il modulo per l'esecuzione dei test fornisce una serie di test sulla sicurezza delle API che il team SecOps può eseguire on-demand o come parte di un continuo processo di integrazione/delivery (CI/CD) per garantire l'implementazione delle API in modo sicuro. Aflac considera le funzionalità dei test di Akamai API Security come un vantaggio strategico che consentirà all'azienda di migliorare i test e ampliare gli strumenti esistenti per la sicurezza delle applicazioni con una soluzione completa per i test della sicurezza delle API.

"Aflac è entusiasta di affidarsi ad un'azienda leader del settore per la protezione delle proprie API. Abbiamo completa fiducia nella piattaforma Noname Security (ora parte di Akamai API Security), nel suo team e nella sua visione. Con l'enorme valore già riconosciuto e la sua straordinaria capacità di innovarsi, siamo entusiasti del futuro che la nostra partnership potrà offrirci", ha concluso Goldsworthy.

Aflac Incorporated è una società Fortune 500, che fornisce una protezione finanziaria a milioni di contraenti di polizze e clienti tramite le sue filiali negli Stati Uniti e in Giappone. In caso di malattia o infortunio del contraente di una polizza o di un assicurato, Aflac paga tempestivamente un capitale, per le richieste di risarcimento idonee, direttamente all'assicurato (a meno che non sia stato specificato diversamente). Per più di sei decenni, le polizze di assicurazione di Aflac hanno offerto ai contraenti l'opportunità di focalizzarsi sul loro recupero, non sui problemi finanziari.