Un'importante società di assicurazione colma un'enorme lacuna nella sicurezza delle API

Fondata a Israele nel 1978, Clal Insurance & Finance è un'importante società che offre piani di assicurazione e di risparmio a lungo termine con un patrimonio totale di 332 miliardi di NIS* (equivalenti a circa 90,87 miliardi di dollari). Tramite tre divisioni separate, la società offre una gamma di servizi e prodotti a clienti privati e aziendali. Clal impiega circa 4.400 dipendenti che collaborano con 3.700 agenti assicurativi, tutti impegnati nell'intento di offrire ai clienti un supporto professionale e servizi della massima qualità.

L'azienda ha intrapreso un processo di trasformazione digitale basata sulle API, che sta promuovendo una semplice innovazione e il vantaggio pionieristico nello scambio di dati con i partner aziendali, altre società di tecnofinanza e i clienti. Tuttavia, questo ecosistema delle API introduce anche un nuovo canale che può favorire potenziali minacce. Questo argomento è particolarmente sentito in Israele, una nazione frequentemente presa di mira dagli attacchi informatici. Implementando Akamai API Security, Clal Insurance & Finance ha conseguito tre obiettivi:

1. Automazione dell'individuazione e dell'inventario di tutte le API
2. Automazione del processo di mitigazione
3. Miglioramento del sistema di sicurezza delle API

Per proteggere i suoi siti web, la società Clal utilizzava uno strumento di gestione del traffico di un'altra azienda, una soluzione di gestione delle informazioni e degli eventi di sicurezza e un WAF (Web Application Firewall). Tuttavia, queste misure di sicurezza non si sono rivelate all'altezza per quanto riguarda l'esteso inventario delle API della società.

L'ecosistema della Clal si basa su strumenti innovativi, come Clal Express, un servizio web gestito e protetto dalla società, in seguito alla proliferazione delle API al suo interno, che consente ai clienti di evitare costi vivi.

Durante la pandemia di COVID-19, la Clal ha implementato un gateway API per centralizzare l'ecosistema delle API che aveva iniziato a realizzare. "È stato questo il momento in cui ho capito che non avevamo una chiara visione delle oltre 600 API esposte tramite i nostri siti web e delle migliaia di API interne alla nostra società", spiega Haim Inger, CTO della Clal. 

Anche se il gateway API fornisce informazioni parziali sull'ambiente delle API, non è una soluzione di sicurezza. In realtà, le aziende che utilizzano un gateway API devono assicurarsi di proteggerlo. "Quando abbiamo iniziato a cercare soluzioni adatte per proteggere il nostro gateway API, ho notato il divario esistente tra la nostra situazione attuale e lo scenario che ci proponevamo di realizzare con API Security", continua Inger.

Dovendo disporre della visibilità sull'intero patrimonio delle API e della capacità di rilevare eventuali minacce o abusi contro le API della società, Inger e il suo team addetto alla sicurezza hanno vagliato varie soluzioni disponibili. Oltre ad offrire alla società la capacità di individuare eventuali anomalie nelle transazioni e di ridurre la necessità di cambiare le regole in base al comportamento delle API, la soluzione doveva essere anche semplice da implementare.

Dopo aver valutato tre diverse soluzioni, Inger ha scelto la soluzione Akamai API Security basata sul cloud. "Mi sarei aspettato che la soluzione richiedesse mesi di lavoro per la sua implementazione, invece sono rimasto favorevolmente sorpreso dal fatto che l'integrazione in F5, Splunk e tutte le nostre API sia avvenuta in soli quattro giorni", afferma Inger.

Subito dopo l'implementazione di API Security, la società Clal si è resa conto del suo valore. A differenza di altre soluzioni che avrebbero richiesto al team addetto alla sicurezza della Clal di riesaminare ogni API e scrivere nuove regole per consentire solo il comportamento desiderato, la soluzione di Akamai ha inventariato e valutato automaticamente lo stato dell'ecosistema delle API della Clal.

"Non abbiamo dovuto fare nulla per comprendere lo stato del nostro patrimonio delle API. Dopo aver acquisito i dati tokenizzati sulle nostre API, la soluzione di Akamai ci ha fornito automaticamente le informazioni su ciò che era necessario correggere e come farlo", spiega Inger.

Dopo aver inizialmente inventariato e analizzato le API della Clal, Akamai API Security ha eseguito queste stesse operazioni continuamente sull'intero ecosistema della società. "Il processo di individuazione è molto importante perché fornisce informazioni attuali sul tipo e sulla modalità di utilizzo delle API e perché ci consente di chiudere le API non più utilizzate", afferma Inger.

La soluzione di Akamai, inoltre, fa emergere e segnala continuamente le vulnerabilità e le anomalie riscontrate tramite un controllo dei rischi e un'analisi comportamentale. Tra gli esempi, figurano i dati delle carte di credito trasferiti in modo non protetto all'interno di un'API o un partner di tecnofinanza che utilizza un'API in modo non autorizzato. In ogni caso, API Security consente alla Clal di garantire che nessuna delle sue API possa condurre ad eventuali attacchi.

Inger e il suo team hanno anche apprezzato la capacità di associare la soluzione con API Security ShadowHunt, un servizio gestito per la ricerca delle minacce che si avvale della presenza degli analisti di Akamai esperti nella ricerca delle minacce alle API. 

"Riceviamo avvisi, ad esempio, circa schemi insoliti nel modo o nella frequenza con cui viene effettuato l'accesso alle nostre API. Queste notifiche ci consentono di mitigare immediatamente eventuali vulnerabilità e di impedire l'accesso e la violazione dei dati dei nostri clienti", afferma Inger.

Un'accurata visibilità sull'ecosistema delle API e notifiche immediate su potenziali problemi non solo aiutano a rafforzare il sistema di sicurezza della Clal, ma anche a fortificare le partnership instaurate e a garantire un'operatività ininterrotta. "In precedenza, potevamo soltanto interrompere i rapporti commerciali con un nostro partner di tecnofinanza che aveva subito un attacco. Ora, possiamo affrontare la vulnerabilità delle API e mantenere le nostre partnership più importanti", spiega Inger.

Al secondo anno di adozione della soluzione API Security e dei servizi di ShadowHunt,  Inger e il suo team sono piacevolmente soddisfatti. "La soluzione e i servizi che abbiamo adottato hanno mantenuto le loro promesse. Inoltre, poiché la soluzione API Security è basata sul cloud, non dobbiamo occuparci della sua manutenzione o degli aggiornamenti", continua Inger.

Infine, la visibilità completa offerto da Akamai sugli ambienti di sviluppo e produzione della Clal, insieme agli avvisi di sicurezza, è impareggiabile. "Akamai ci aiuta a garantire il più solido sistema di sicurezza possibile nel nostro ambiente delle API", conclude Inger. 

Clal Holdings è una holding a cui fanno capo principalmente la società Clal Insurance & Finance e la compagnia di carte di credito MAX. Le azioni della Clal Insurance Enterprises Holdings sono a partecipazione pubblica, senza azionisti di controllo principali, e sono quotate nella Borsa di Tel Aviv. Alrov Real Estate & Hotels Ltd. Detiene il 14,1% delle azioni societarie, mentre Phoenix Group detiene il 7,0%, Harel Group il 6,6% e Mr. Shalom Shai (Dona Engineering & Construction Co. Ltd.) il 5,1%. In termini di fatturato lordo guadagnato, le quote di mercato del gruppo sono pari al 15% del mercato delle assicurazioni (nel 2022), mentre il volume delle risorse gestite dal gruppo supera i 332 miliardi di NIS (a far data da settembre 2023). A marzo 2023, la Clal ha acquisito la società Max da Warburg Pincus, un fondo di investimenti negli Stati Uniti, e dai suoi partner. Il gruppo Clal opera in diversi settori offrendo piani di assicurazione e di risparmio a lungo termine, come fondi pensionistici, previdenziali e accademici, assicurazioni generali, ad esempio, per autoveicoli e abitazioni, assicurazioni sanitarie e carte di credito. Inoltre, il gruppo svolge un'attività esclusiva tra le compagnie assicurative nel settore dei mutui e delle carte di credito. Dal 2023, il gruppo è stato anche attivo nel settore delle carte di credito. Il gruppo Clal possiede agenzie assicurative, fondi pensionistici, previdenziali e accademici e una compagnia assicurativa per carte di credito. A far data da dicembre 2022, il gruppo conta 4.403 dipendenti, impiegati nella Clal Insurance & Finance e nelle sue agenzie assicurative, e 1.337 dipendenti impiegati nella società Max, che rendono la Clal uno dei principali gruppi in Israele che offrono piani di assicurazione e di risparmio a lungo termine.