O desafio de proteger as API de uma rede de hotéis de luxo
Dan Hotels é uma rede de hotéis de luxo com propriedades em Israel e na Índia. Quando a organização percebeu que seus parceiros estavam comprometidos, recorreu ao Akamai API Security para proteger suas diversas integrações de API do setor de viagens.
O desafio de proteger APIs
A rede Dan Hotels tem muitas integrações diferentes baseadas em API, para apoiar seu sistema interno de "business intelligence". A rede também tem uma coleção crescente de API externas com parceiros da indústria de viagens, incluindo grandes sites como Expedia e Booking.com, agências de viagens online e vários outros fornecedores e agentes menores.
Embora muitas dessas funções de API estejam centralizadas na plataforma de gerenciamento de propriedades Silverbyte da empresa, a equipe de segurança descobriu que faltava visibilidade sobre as formas específicas como os parceiros acessavam e interagiam com seus sistemas, e qualquer capacidade de controlar essas atividades.
Necessidades: Uma abordagem mais sofisticada e proativa
Depois que dois parceiros de viagens da empresa foram afetados, a equipe da Dan Hotels percebeu que uma abordagem mais sofisticada e proativa à segurança de API era necessária.
"Quando estávamos investigando o incidente com nossos parceiros, percebemos o pouco controle que temos sobre o uso de nossas API", diz Yossi Gabay, vice-presidente de sistemas de informação da Dan Hotels. "Ficou claro que parceiros menos seguros poderiam colocar nossos sistemas em risco."
Essa experiência aumentou o senso de urgência da empresa para implementar um conjunto mais sofisticado de recursos de segurança de API.
Fatores de sucesso das APIs seguras
A equipe de tecnologia da Dan Hotels enfrenta muitas pressões concorrentes diariamente, incluindo cibersegurança e outras funções operacionais essenciais. Por isso, a rede procurava uma solução que reduzisse o risco das API, sem sobrecarregar a equipe com alertas e trabalhos manuais demorados.
Também era importante que qualquer solução escolhida pudesse ir além dos ataques óbvios para cobrir formas mais diferenciadas de abuso de API originadas de parceiros (Figura).
API Security discovers, audits, and monitors all APIs and their activity using behavioral analytics to detect and respond to threats and abuse.
Por que a Dan Hotels selecionou o API Security
O API Security foi a melhor opção para a Dan Hotels devido à sua fácil integração, aos seus recursos avançados de análise em tempo real, à sua visualização intuitiva dos dados e aos seus serviços gerenciados.
Fácil integração
O modelo de software como serviço (SaaS) do API Security permitiu que a Dan Hotels iniciasse uma implementação em questão de horas. "Foi uma integração muito fácil sem qualquer atrito desnecessário", observa Yossi. "Não ficamos sobrecarregados com novas tarefas, por isso não houve qualquer interferência com as nossas operações diárias."
Quando o sistema entrou em funcionamento, a equipe do API Security colaborou com a equipe da Dan Hotels para ajustar as fontes de dados e a configuração para atender aos objetivos exclusivos da empresa.
Recursos avançados de análise em tempo real
Dado o foco da rede hoteleira na detecção de violações, os recursos de análise em tempo real do API Security o diferenciam de outras opções no mercado. A plataforma API Security conseguiu mapear as relações entre os usuários e recursos da API da empresa, fornecendo um contexto valioso.
"Em vez de se concentrar exclusivamente no bloqueio de ataques, o API Security nos ajudou a entender o que estava realmente acontecendo e a identificar comportamentos indesejáveis que, de outra forma, passariam despercebidos", diz Yossi.
Visualização intuitiva dos dados de tempo de execução
A equipe da Dan Hotels também ficou muito impressionada com a capacidade do API Security de apresentar grandes quantidades de informações sobre as atividades e as ameaças a APIs.
"Quando você não tem informações, não pode ter uma conversa ou corrigir as coisas", explica Yossi. "Assim que você tem uma compreensão do que uma API deve fazer e como isso se compara ao que realmente está acontecendo, pode envolver todas as partes relevantes para corrigir os problemas."
Serviços gerenciados
A Dan Hotels identifica um valor significativo nos serviços gerenciados do API Security.
"O foco da nossa equipe é frequentemente dividido entre segurança cibernética e suporte a atividades geradoras de receita", diz Yossi, "portanto, ser capaz de contratar um serviço gerenciado que nos alerta de forma proativa quando novos riscos de API são identificados é realmente importante para nós. Isso nos dá acesso a pessoas que estão na vanguarda dessas questões de segurança de API, que também são muito comprometidas e fáceis de trabalhar."
Confira
Quer explorar o que nosso produto de segurança de API pode fazer pela sua organização? Faça o teste — confira o Akamai API Security.
