Precisa de computação em nuvem? Comece agora mesmo

API Security

Proteja todas as suas APIs contra ataques e roubos de dados cada vez mais frequentes.

Descubra e ganhe visibilidade de todas as APIs para se defender contra ameaças

O API Security oferece visibilidade total de todo o seu patrimônio de APIs por meio de descoberta contínua e análise em tempo real. Saiba como identificar vulnerabilidades e analisar o comportamento de APIs para detectar ataques e remediar os riscos nessa superfície de ataque em rápido crescimento.

Elimine um ponto cego comum de segurança

Conheça seu patrimônio completo de APIs

Identifique e registre todas as suas APIs, incluindo APIs sombra, zumbi e não autorizadas, através de detecção e monitoramento contínuos.

Identifique APIs vulneráveis

Faça verificações para descobrir vulnerabilidades e configurações incorretas que os invasores possam visar em suas APIs, incluindo os riscos do OWASP API Top 10.

Mitigue ataques de violação de lógica de negócios

Use insights contextuais para identificar riscos como vazamentos de dados, comportamentos suspeitos, bots mal-intencionados e ataques a APIs.

Como o API Security funciona

Descubra

Descubra

Gere um inventário abrangente e saiba quantas APIs você tem — e de que tipo.

Teste

Teste

Adicione segurança ao seu pipeline de CI/CD, sem sacrificar a velocidade, para proteger as APIs antes de colocá-las em produção.

Detecte

Detecte

Identifique vulnerabilidades e ataques a APIs com detecção automatizada e alimentada por machine learning.

Responda

Responda

Crie fluxos de trabalho avançados para corrigir problemas de APIs através da integração com seus WAFs, SIEMs e ferramentas de ITSM.

Qual é o impacto de um incidente à segurança de APIs?

Mais de 1.200 profissionais de segurança revelam como os incidentes com APIs impactam seus resultados, reputação e os níveis de estresse de suas equipes.

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Esteja à frente do próximo grande vetor de ataque: violações de APIs. Saiba mais sobre recursos de produtos, fornecedores, direção de mercado e muito mais.

Gartner® Market Guide for API Protection

Esteja à frente do próximo grande vetor de ataque: violações de APIs. Saiba mais sobre recursos de produtos, fornecedores, direção de mercado e muito mais.

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

Esteja à frente do próximo grande vetor de ataque: violações de APIs. Saiba mais sobre recursos de produtos, fornecedores, direção de mercado e muito mais.

Gartner® Market Guide for API Protection

Recursos

  • Avalie o tráfego de APIs com uma conexão nativa à CDN (Rede de Entrega de Conteúdo) da Akamai e integre com seus gateways de API, balanceadores de carga ou WAFs
  • Descubra APIs, domínios e problemas relacionados quanto a APIs HTTP, RESTful, GraphQL, SOAP, XML-RPC e JSON-RPC
  • Identifique os tipos de dados confidenciais que suas APIs podem acessar e monitore o acesso dos usuários a essas APIs
  • Analise APIs quanto às 10 principais ameaças à segurança de APIs segundo o OWASP e priorize as vulnerabilidades por impacto para uma rápida correção
  • Entenda o contexto da API com visualizações de lógica de negócios, infraestrutura de rede física e fluxos de tráfego de APIs

  • Monitore continuamente a conformidade com requisitos regulatórios, padrões do setor e políticas internas
  • Use aprendizado de máquina para identificar usos anômalos, ataques a APIs, vazamento de dados, adulteração e violações de políticas
  • Bloqueie ataques a APIs em tempo real e configure fluxos de trabalho avançados para acelerar a remediação e aumentar a eficácia do SOC (Centro de operações de segurança)
  • Integre totalmente com seus pipelines de CI/CD existentes e execute automaticamente mais de 200 testes que simulam tráfego mal-intencionado

FAQ (Frequently Asked Questions, Perguntas frequentes)

O API Security é uma solução de proteção contra ameaças de API independente de fornecedor que não requer o uso de outras soluções da Akamai. Ele complementa as soluções de segurança da Akamai e garante que os clientes obtenham proteção abrangente à medida que os ataques a APIs se tornaram muito mais sofisticados, exigindo novas técnicas de detecção e respostas automatizadas. 

API Security e App & API Protector são duas soluções diferentes que a Akamai oferece para proteger sua empresa.

  • O App & API Protector descobre e mitiga ameaças a APIs para todos os seus aplicativos da Web e APIs executados por meio da Akamai Connected Cloud. Ele é capaz de bloquear qualquer tráfego em linha que contenha possíveis ameaças à sua empresa.
  • O API Security não depende de plataforma e oferece descoberta e visibilidade abrangentes para todos os pontos de extremidade de APIs em toda a empresa. Ele oferece uma análise do tráfego da atividade de APIs em tempo real e determina respostas específicas que você deve adotar para mitigar o tráfego de APIs recém-explorado.

Quando implantados juntos, App & API Protector e API Security trabalham em linha e oferecem a visibilidade mais abrangente e contínua das APIs. Eles permitem descobrir, auditar, detectar e responder a situações relacionadas a APIs em todo o seu patrimônio. Além disso, a integração do API Security e App & API Protector permitirá a implementação mais robusta e simples do API Security.

Sim, nossa solução de teste de APIs foi desenvolvida especificamente para fornecer uma cobertura abrangente de vulnerabilidades específicas de APIs. Nossa solução pode ajudar você a usar uma abordagem "shift left" e a integrar testes de segurança de APIs a todas as fases do processo de desenvolvimento.

O API Security monitora e protege o tráfego leste-oeste e norte-sul, analisando todas as APIs em toda a empresa em busca de anomalias que possam indicar um risco de segurança.

O API Security identifica quais APIs contêm informações de identificação pessoal (PII), documentação interna, propriedade intelectual e muito mais, para que você possa automatizar as proteções dessas APIs especificamente. Todos as amostras de tráfego são ofuscadas, suspeitas ou não, e ficam visíveis apenas para administradores e colaboradores, simplificando suas iniciativas de privacidade e conformidade.

O API Security é uma solução independente de plataforma e funciona em todos os ambientes — SaaS, arquiteturas híbridas e no local —, incluindo aqueles que são complexos e têm várias CDNs, WAFs e gateways, bem como APIs amplamente distribuídas (tanto com tráfego norte-sul quanto leste-oeste). O API Security fornece visibilidade em toda a empresa sobre o comportamento de suas APIs, independentemente de onde sejam descobertas.

O Akamai API Security possui um conector nativo que permite que você envie uma cópia do seu tráfego da Akamai Connected Cloud para o Akamai API Security para análise. Essa integração é feita diretamente no API Security e na Akamai Connected Cloud, eliminando a latência e reduzindo o risco. O conector nativo descobre e rastreia automaticamente APIs em ambientes gerenciados pela Akamai, ajuda a detectar vulnerabilidades e permite que os clientes bloqueiem invasores na edge.

O API Security abrange todas as vulnerabilidades do OWASP API Top 10.

Histórias de clientes

Casos de uso do API Security

Saiba como o Akamai API Security pode proteger seus negócios digitais e seus dados de diversas maneiras.

Teste as APIs antes de colocá-las em produção

Teste as APIs antes de colocá-las em produção

O API Testing é essencial para sua estratégia de segurança de APIs porque ajuda as organizações a usar uma abordagem "shift left", detectando e corrigindo vulnerabilidades, como a violação de lógica de negócios, antecipadamente no ciclo de vida de desenvolvimento de software (SDLC), antes que as APIs passem para a fase de produção.

Com o API Testing, você pode executar automaticamente mais de 150 testes dinâmicos que simulam tráfego mal-intencionado, inclusive contra os riscos à segurança apresentados no OWASP API Top 10. Programe testes para serem executados automaticamente nos intervalos desejados em qualquer estágio de desenvolvimento.

Obtenha um inventário de suas APIs em toda a empresa

Obtenha um inventário de suas APIs em toda a empresa

A manutenção de um inventário abrangente e continuamente atualizado de todas as APIs de sua organização é crucial para uma estratégia eficaz de segurança de APIs. A descoberta diária ou sob demanda é insuficiente devido à gravidade dos riscos associados a ataques a APIs. Além disso, a visualização do comportamento real das APIs (chamadas de APIs) é necessária para permitir que os principais membros das equipes de segurança, desenvolvimento e operações entendam como elas estão sendo usadas. Isso facilita a comunicação e a investigação entre as equipes de sua organização. 

O API Security oferece detecção automatizada e contínua de APIs em várias tecnologias e infraestruturas. Ele também identifica APIs recém-implantadas e compara suas propriedades com a documentação existente. O API Security detecta APIs sombra frequentemente ignoradas e as vulnerabilidades conhecidas de APIs, como as descritas no OWASP API Security Top 10

A descoberta de APIs é um processo constante, e nosso monitoramento contínuo identifica novas APIs e alterações em APIs existentes 24 horas por dia. As equipes de segurança ganham visibilidade inigualável e são as primeiras a saber quando os desenvolvedores implantam uma nova API ou serviço.

Entenda sua postura de risco de API

Entenda sua postura de risco de API

As APIs são a base de todos os produtos e serviços digitais lançados por uma empresa. Por isso, não é surpresa que elas estejam crescendo em escopo e escala. Mas esse crescimento leva a uma proliferação de APIs que está remodelando sua superfície de ataque.

Os invasores modernos procuram vulnerabilidades de APIs, incluindo bugs de software ou erros de configuração, que possam explorar para:

  • Obter acesso a aplicativos confidenciais
  • Localizar, comprometer e/ou roubar dados confidenciais
  • Usar a API de forma mal-intencionada 

O OWASP API Security Top 10 apresenta um resumo útil sobre algumas das vulnerabilidades e ameaças mais exploradas em APIs, as quais as organizações devem tentar identificar e solucionar.

Com o API Security, você pode impedir que APIs vulneráveis e configuradas incorretamente exponham sua empresa a ataques a APIs pela notificação imediata de equipes de segurança, desenvolvimento e APIs quanto a possíveis riscos, erros de configuração e vulnerabilidades. Você também pode determinar facilmente se um parceiro configurou sua API incorretamente ou se há vulnerabilidades no código. 

Os alertas contextuais e condicionais funcionam perfeitamente em seus fluxos de trabalho existentes, como pela criação automática de um tíquete do Jira, por exemplo, permitindo que você resolva quaisquer problemas rapidamente.

Monitore o abuso de API

Monitore o abuso de API

As APIs são projetadas para serem usadas de forma programática, o que torna extremamente desafiador diferenciar o uso legítimo de ataques e violações.

Embora os ataques a APIs variem de abordagem, algumas das maneiras mais comuns incluem:

  • Violação de lógica de negócios. A violação de lógica de negócios é quando um agente malicioso explora falhas de design ou de implementação de aplicativos para incitar comportamentos inesperados e não autorizados, beneficiando os invasores. Os controles de segurança legados não podem impedir esse tipo de violação, causando enorme estresse e pressão aos CISOs e suas equipes.
  • Acesso não autorizado a dados. Outra forma comum de abuso de API é explorar mecanismos de autorização quebrados para acessar dados que os invasores não devem ter permissão para acessar. Essas vulnerabilidades têm muitos nomes, como BOLA (Broken Object Level Authorization, autorização interrompida em nível de objeto) e IDOR (Insecure Direct Object Access, acesso direto a objeto inseguro), bem como BFLA (Broken Function Level Authorization, autorização interrompida em nível de função).
  • Aquisição de contas. Depois de um roubo de credenciais ou até mesmo de um ataque de script entre sites, uma conta pode ser assumida. Quando isso acontece, é possível que até mesmo a API mais bem escrita e protegida seja violada. Afinal, se você não estiver realizando uma análise de comportamento, qualquer atividade autenticada será considerada legítima.
  • Captura de dados. Conforme as organizações disponibilizam conjuntos de dados por meio de APIs públicas, os agentes maliciosos podem consultar esses recursos de forma agressiva para fazer a captura indiscriminada de grandes conjuntos de dados valiosos.
  • Negação de serviço (DoS) comercial. Ao solicitar que o back-end execute tarefas pesadas, os invasores ou usuários de API podem causar "erosão do serviço" ou uma negação completa de serviço na camada de aplicação (uma vulnerabilidade muito comum em GraphQL, mas algo que pode acontecer com qualquer implementação de endpoint de API com uso intenso de recursos). Isso pode acontecer por meio de um ataque intencional ou por uso excessivo de um parceiro que faz com que a API seja desativada para outros parceiros. 
  • Exploração de vulnerabilidade. Vulnerabilidades técnicas na infraestrutura subjacente podem levar a comprometimento do servidor. Exemplos desses tipos de vulnerabilidades vão desde as vulnerabilidades do Apache Struts (CVE-2017-9791, CVE-2018-11776 e outras) até as vulnerabilidades do Log4j (CVE-2021-44228 e outras).

A identificação e a mitigação desses e de outros riscos de segurança de API exigem controles de segurança sofisticados o suficiente para lidar com esse cenário complexo e em rápida evolução de ameaças. 

A solução do API Security fornece um contexto de negócios que não pode ser obtido analisando elementos técnicos, como endereços IP e tokens de API. Usando a análise de tráfego em tempo real com base em IA/ML, o API Security gera o contexto de negócios que permite uma análise completa do que aconteceu antes e depois de um alerta, permitindo a identificação de uma causa raiz. O API Security também permite pesquisar APIs por entidades específicas, como usuários ou parceiros, ou até mesmo entidades de processos de negócios (por exemplo, fatura, pagamento, pedido etc.), para possibilitar a localização de anomalias que, de outra forma, não seriam detectadas.

Aprenda com nossos especialistas em segurança de APIs

Junte-se a nós enquanto nos aprofundamos no lado técnico da segurança de API em nossa série mensal "If Your APIs Could Talk".

Recursos

Descubra os recursos críticos de segurança de API

Saiba quais recursos do API Security podem ajudar você a evitar ataques por meio de exemplos práticos, incluindo:

  • Detecção e monitoramento: detecte e responda instantaneamente às ameaças com nosso sistema de monitoramento 24 horas por dia, 7 dias por semana
  • Alertas: investigue como os alertas de postura e tempo de execução são tratados
  • Fácil integração: integre perfeitamente à sua pilha técnica existente, independentemente da complexidade

Agende sua demonstração em duas etapas fáceis:

  1. Envie o formulário
  2. Agende um horário com nossa equipe

Agradecemos sua solicitação! Um especialista da Akamai entrará em contato em breve.