A Akamai investe na segurança de APIs

O uso de APIs está explodindo. Elas alimentam nosso mundo e nossas experiências do mundo. Todos os dias, à medida que usamos nossos dispositivos, nossos aplicativos favoritos se comunicam com várias APIs para fazer tudo, desde as mídias sociais, compras, transações bancárias e para ver como estão nossos filhos na creche. Usamos APIs quando trabalhamos em casa ao nos comunicarmos com os aplicativos e serviços da nossa empresa.

As APIs são usadas em quase todos os setores verticais do mundo, impulsionadas por iniciativas de negócios, como a transformação digital, adoção de dispositivos móveis e Internet das coisas (IoT) e serviços bancários abertos. As APIs são usadas em B2B e B2C para possibilitar negócios em nossa economia em geral. Quase todas as empresas que escrevem aplicativos modernos usam APIs para alimentar esses aplicativos, bem como para a integração de serviços entre empresas.

Como resultado, as APIs são um dos vetores mais atraentes para os invasores. Os dados da Akamai mostram que na Web estão aumentando em 109% ano a ano. Em termos de um relatório de 2023, 78% dos clientes disseram que sofreram um incidente de segurança relacionado à API nos últimos 12 meses. A segurança de APIs é uma prioridade cada vez mais urgente, e a Akamai está investindo nas proteções de APIs para nossos clientes.

A aquisição da Noname Security pela Akamai nos permite acelerar o que já é incrível , o crescimento de 200% que já tínhamos em demanda de clientes pela Akamai API Security. Tanto a Akamai quanto a Noname são líderes reconhecidos neste espaço, e essa aquisição nos fornece os recursos adicionais necessários para nos tornarmos a precursora em segurança de APIs.

Plataformas de proteção de aplicativos da Web e de APIs (WAAP) desempenham um papel importante na defesa de aplicativos da Web e APIs de classes de ataques como os do OWASP API Security Top 10. Mas elas não estão resolvendo todo o problema.

Outros fornecedores teriam que acreditar que as WAAPs podem resolver todos os tipos de ataques a APIs, mas a realidade é que a maioria das soluções WAAP não oferece a visibilidade e a profundidade da segurança de APIs necessárias para se defender contra ataques, especialmente ataques de abuso. Isso se dá porque uma solução WAAP não tem consciência contextual para entender a conversa entre solicitações e respostas de APIs.

Isso não surpreende, pois as APIs operam de forma diferente de um aplicativo da Web. Em um aplicativo da Web, a lógica de negócios por trás do aplicativo da Web fica oculta, mas a lógica de negócios de uma API pode ser exposta diretamente à Internet, deixando-a aberta a abusos. Um exemplo disso foi compartilhado em um artigo da TechCrunch de maio de 2024. Uma plataforma WAAP não poderia ter mitigado esse tipo de ataque.

Esse é um motivo pelo qual a Akamai fez investimentos significativos para avançar nossa solução de segurança de APIs e pelo qual continuamos a impulsionar mais inovações e proteções de APIs com essa aquisição mais recente.

Akamai API Security aborda muitos dos tipos de ataques agora especificados no OWASP API Security Top 10 que levam à perda de receita, danos à reputação, exposição de informações e violações de conformidade.

Nossa solução API Security resolve vários problemas críticos, incluindo visibilidade do cenário de APIs, detecção e bloqueio de ameaças e anomalias e testes ativos de APIs.

Como diz o ditado: Não há como proteger o que não se pode ver. Muitas empresas nem sequer sabem quantas APIs realmente têm, por isso, torna-se difícil quantificar o risco. O Akamai API Security começa com a avaliação de quantas APIs um cliente tem, e não apenas aquelas em uso ativo das quais ele está ciente, mas até mesmo as APIs legadas, de sombra ou de invasores que não conhece ou não consegue ver. Os dados da Noname Security sugerem que seus clientes de plataforma de segurança de APIs descobrem, em média, 40% mais APIs em seu ambiente do que esperavam originalmente.

A API Security usa o machine learning para detectar e identificar todos os tipos de vulnerabilidades e abusos de APIs, incluindo violação de dados, vazamento, configurações incorretas, violações de políticas, anomalias comportamentais e ataques diretos à segurança de APIs.

O teste de “shift-left” é um componente essencial do desenvolvimento de aplicativos, que traz segurança desde o início. Mas, até agora, as APIs não podiam ser testadas enquanto estavam sendo desenvolvidas. Com o API Security, podemos incorporar testes de APIs ao pipeline de CI/CD para garantir que os problemas sejam resolvidos antes que a API seja lançada na produção.

A adição da Noname Security, uma das líderes de mercado em segurança de APIs, expandirá instantaneamente as proteções que o Akamai API Security oferece aos nossos clientes. Com a variedade de integrações e de opções de implantação da Noname, agora podemos oferecer suporte em todo o cenário de fornecedores.

Quer uma organização use plataformas na nuvem, nativas da edge, no local ou outras plataformas de fornecedores, o Akamai API Security pode proteger o ambiente de APIs. Com a adição da solução Noname, a Akamai terá o alcance e a cobertura necessários para oferecer proteção abrangente de APIs para clientes em todos os ambientes.

Também estamos animados em adicionar:

• recursos flexíveis de implantação , que implantam rapidamente em instâncias hospedadas na nuvem, auto-hospedadas, híbridas e distribuídas

• Recursos empresariais críticos , que incluem controle de acesso baseado em funções, configuração de autoatendimento, integração de CI/CD, painéis e respostas automatizadas avançadas

• Sem desafios de limite de dados , com análise dos dados do ataque na memória, o que garante que seus dados nunca saiam do seu ambiente

• Mais integrações , que fornecem a mais abrangente coleção de integrações do setor, incluindo NGINX, AWS, Azure, F5, Apigee, MuleSoft, GCP e muito mais; a integração com o que você já tem é importante, e essa solução garante uma cobertura abrangente

• Testes de APIs robustos , que se concentram em encontrar e corrigir vulnerabilidades de segurança de APIs integradas ao pipeline de CI/CD (durante a fase de desenvolvimento do ciclo de vida de desenvolvimento de software) antes que possam ser exploradas

Como dito, nosso plano é combinar nossas inovações do API Security atuais com a solução de segurança da Noname. A solução unificada fornecerá proteção abrangente de APIs para clientes em todos os ambientes.

Nosso processo de integração se concentrará em três áreas:

1. Conexão da rede de edge da Akamai

2. Conexão ao App & API Protector

3. Inteligência de ameaças

A Akamai opera uma das maiores redes privadas do mundo. É a plataforma a partir da qual a maioria de nossos serviços é fornecida, incluindo nossos serviços de segurança líderes de mercado (como o App & API Protector e a Proteção Prolexic contra DDoS), nossaCDN (Rede de Entrega de Conteúdo)) e nossos serviços de nuvem pública. Nossos clientes empresariais adoram a facilidade de usar os serviços diretamente de nossa plataforma, portanto, iremos oferecer a integração do Noname em nossa rede para facilitar a implantação. Esperamos que a integração seja concluída três semanas após a aquisição.

O App & API Protector é a melhor plataforma WAAP do setor, o que é evidenciado ao ser nomeada como a escolha dos clientes para WAAP na nuvem pelo quinto ano consecutivo no Gartner® Peer Insights™ e por outras avaliações de analistas. Essa conexão permitirá que a inteligência comportamental gerada pela Noname acione as regras de WAAP no App & API Protector para bloquear automaticamente a conexão.

A Akamai coleta e analisa mais de 788 terabytes de dados todos os dias. Todos esses dados são gerados pelo enorme volume de ataques que vemos em toda a base de clientes predominantemente empresarial que atendemos (vemos mais de 12 bilhões de ataques na Web a cada trimestre). Esses dados, juntamente com mais de 200 pesquisadores de segurança que trabalham com eles, nos proporcionam uma incrível inteligência contra ameaças. E vamos integrar esse feed de dados ao Akamai API Security, como fazemos em todos os nossos produtos.