Un'azienda innovatrice nel settore del software per HR protegge le sue API

Dal 2015, HiBob si prefigge di trasformare il modo in cui le organizzazioni operano nel mondo lavorativo moderno. Questa azienda innovativa sta promuovendo questa trasformazione e il futuro dell'ambiente di lavoro grazie alla sua piattaforma HR, Bob, che riunisce tutte le complessità dei processi HR in uno strumento intuitivo e rivoluzionario che offre vantaggi a tutti i dipendenti dell'azienda. Le organizzazioni che utilizzano Bob possono accelerare il processo di assunzione, fidelizzare i talenti e aumentare il coinvolgimento dei dipendenti. Grazie a queste capacità trasformative, l'azienda è riuscita a superare i 100 milioni di dollari  di entrate annuali ricorrenti (ARR) neanche tre anni dopo aver celebrato il traguardo dei  10 milioni di dollari . Quando l'azienda ha riconosciuto la necessità di rafforzare la sicurezza dello sviluppo e della distribuzione delle API, ha trovato la soluzione al problema in Akamai API Security.

Come molti innovatori del settore, HiBob adotta un processo di sviluppo rapido basato sulle API. Questo approccio agile consente di offrire continuamente funzionalità nuove e aggiornate a più di 3.500 clienti. Tuttavia, a fronte dei cambiamenti continui che avvengono nell'intero ambiente aziendale, le sfide della sicurezza diventano sempre più complesse. Riconoscendo la necessità di affrontare questo rischio potenziale, HiBob ha reso gli sviluppatori e i team DevOps responsabili per la sicurezza tanto quanto il team addetto alla sicurezza.

Sebbene ciò abbia rappresentato un passo importante verso una migliore strategia di sicurezza, HiBob aveva anche bisogno di supportare il team addetto alla sicurezza, gli sviluppatori e il DevOps fornendo loro informazioni più approfondite sul patrimonio API dell'azienda. Come spiega Tamir Ronen, Global CISO di HiBob, le aziende utilizzano le API per collegare i servizi e trasmettere i dati, ma molte organizzazioni fanno fatica a proteggere le loro API.

"Gli attacchi alle API non si basano su modelli. Di conseguenza, i WAF (Web Application Firewall) forniscono poche informazioni e una sicurezza limitata quando si tratta della logica aziendale su cui si basano le API. Inoltre, i WAF non sono utili quando compare una nuova logica aziendale in un nuovo processo", ha dichiarato.

Poiché il trasferimento di dati sensibili dei clienti avviene tramite le API, Ronen ha ritenuto necessario trovare una soluzione progettata per comprendere la logica aziendale delle API e il trasferimento dei dati. "Un'azienda in rapida evoluzione come la nostra richiede una migliore comprensione delle nostre API e un modo per capire come apportare e implementare in modo sicuro le modifiche alla logica aziendale", sostiene Ronen.

Ronen ha trovato la soluzione che cercava in Akamai API Security. Secondo lui, la funzionalità più importante è la crittografia dei dati. "Possiamo crittografare i dati inviati ad Akamai Connected Cloud senza rischiare di esporre i dati a violazioni esterne, mentre API Security apprende in modo sicuro l'utilizzo delle API e la logica aziendale in base ai valori hash dei dati", ha affermato Ronen.

Inoltre, apprezza la funzionalità di rilevamento che identifica le API non protette e ne mostra un elenco aggiornato. "Il rilevamento in un ambiente dinamico è fondamentale, poiché un errore nel processo di sviluppo può creare una violazione qualora un'API dovesse restituire un payload con dati che non dovrebbero essere presenti. Lo stesso vale per gli endpoint ombra che possono essere potenziali canali di rischio non visibili ai nostri radar."

Altrettanto importante è la funzionalità di analisi del comportamento che consente di rilevare le minacce e l'abuso della logica nel patrimonio API di HiBob e di attivare le risposte adatte a una corretta mitigazione. "L'analisi del comportamento è fondamentale per tenere traccia dei problemi con le API nel nostro ambiente in continua evoluzione", spiega Ronen.

Altrettanto importante è la capacità di sfruttare i vantaggi di API Security ShadowHunt, un servizio gestito di ricerca delle minacce che si avvale degli analisti di Akamai specializzati in ricerca di minacce alle API.

Dopo aver implementato API Security, HiBob ne ha apprezzato il valore fin dal primo giorno. "La visibilità del nostro portafoglio di API è stata sorprendente", ha raccontato Ronen.

Inoltre, l'analisi del comportamento si è subito rivelata vantaggiosa. È importante che HiBob capisca se si verificano eventi sospetti nei flussi di lavoro aziendali. Grazie ad API Security, l'azienda è stata in grado di creare uno standard per le azioni utente accettabili. "Se un'azione non rientra nello standard, viene automaticamente inviato un avviso che suggerisce di indagare. Da quando utilizziamo API Security, non soltanto sappiamo quando procedere al follow-up di un problema, ma abbiamo anche ridotto del 25% i tempi di analisi dei problemi e gli eventi relativi alle API", prosegue.

Inoltre, lavorando fianco a fianco con gli esperti di ricerca delle minacce di Akamai , Ronen e il suo team hanno creato un avviso visualizzabile se qualcuno supera il WAF aziendale quando viene effettuata una chiamata API da un'API pubblica.

Ma non è tutto. La soluzione Akamai favorisce la collaborazione tra i team addetti alla sicurezza e i team DevOps, grazie a un linguaggio comune per la sicurezza delle API sulla rete e sugli endpoint. Pertanto, quando il team addetto alla sicurezza trasmette i dettagli e le statistiche di API Security su come funziona una determinata API in rapporto all'uso degli endpoint e al flusso di dati, il team di sviluppo può rispondere immediatamente. "Akamai API Security ci ha aiutato a proteggere il nostro importante patrimonio di API e a promuovere una collaborazione ancora più efficace tra i nostri team di sicurezza e sviluppo", conclude Ronen.

HiBob si prefigge di trasformare il modo in cui le organizzazioni operano nel mondo lavorativo moderno grazie alla sua piattaforma HR, Bob. In prima linea nell'innovazione del mondo del lavoro, Bob offre una tecnologia flessibile e resiliente che riunisce tutte le complessità dei processi HR in uno strumento intuitivo e rivoluzionario disponibile per ogni dipendente dell'azienda.

A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce. Per ulteriori informazioni sulle soluzioni di cloud computing, sicurezza e delivery di contenuti di Akamai, visitate il sito akamai.com/it o akamai.com/it/bloge seguite Akamai Technologies su X(in precedenza Twitter)  e LinkedIn.