Aflac fortalece seus negócios digitais contra ataques de API

As organizações de serviços financeiros têm a tarefa de inovar a um ritmo acelerado à medida que os consumidores continuam se afastando de experiências físicas em detrimento das interações digitais. Isso também se tornou a realidade para a Aflac. No entanto, cumprir seus objetivos de transformação digital exigiu que a Aflac buscasse uma abordagem distribuída em oposição à centralizada para implantar novos aplicativos. Embora essa abordagem tenha sido benéfica de uma perspectiva de gerenciamento de recursos, ela adicionou complexidade a um cenário de gerenciamento de ativos já desafiador.

Além disso, a empresa também dependia fortemente de seus gateways de API para ter visibilidade de seu patrimônio de APIs. Essa também era uma questão importante para a liderança. Apesar de serem componentes da pilha de entrega de APIs, os gateways de APIs não são projetados para fornecer os controles de segurança e a observabilidade necessários para proteger adequadamente as APIs. Além disso, as APIs que foram implementadas fora de um gateway apresentaram ainda mais desafios de visibilidade e segurança.

"Estávamos cientes de que nossa pegada de API era grande e queríamos ter certeza absoluta de que cada API era contabilizada, que tínhamos visibilidade total de suas operações e que elas estavam sendo continuamente testadas quanto a riscos de segurança. Isso era essencial para a nossa estratégia de abordar o risco de exploração em meio ao pano de fundo de uma expansão da pegada tecnológica", disse Goldsworthy.

Além de obter uma imagem completa de seu patrimônio de APIs, a Aflac também sabia que precisava ser capaz de defender suas APIs contra ataques. Considerando sua sólida reputação e alcance global, a empresa estava bem ciente de que poderia se tornar um alvo. Ela precisava de uma solução abrangente de segurança de APIs que lhe desse não apenas visibilidade, mas também a capacidade de deter vulnerabilidades e ataques para não acabar nos jornais novamente.

"A Noname (agora uma empresa Akamai) foi a solução de segurança de APIs mais avançada e completa que testamos, indo além de nossos requisitos iniciais. Não só a Noname (agora uma empresa Akamai) tem a tecnologia para atender às nossas necessidades atuais, mas também fiquei satisfeito com o que vi em seu roteiro para enfrentar os desafios de segurança emergentes", acrescentou Goldsworthy.

Depois de avaliar a plataforma de segurança de APIs da Noname (agora parte do Akamai API Security), a Aflac decidiu que ela era a solução mais abrangente para proteger suas APIs, muitas das quais residem em seu ambiente AWS. A solução fornece descoberta de APIs e proteção ao tempo de execução de APIs, permitindo que a empresa tenha visibilidade total de todos os tipos de APIs que possui, incluindo HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC e gRPC.

O módulo de descoberta de APIs também fornecerá insights sobre os tipos de dados que atravessam as APIs da empresa. Isso proporciona à Aflac visibilidade sobre quais de suas APIs podem acessar dados confidenciais e identificar quaisquer anomalias no acesso aos dados.

Isso também significa que a empresa terá proteção em tempo real para impedir quaisquer ataques a APIs. A solução usa detecção automatizada de IA e machine learning para realizar análises de tráfego em tempo real e fornecer insights contextuais sobre vazamento de dados, adulteração de dados, violações de políticas de dados, comportamento suspeito e ataques à segurança de APIs.

O Akamai API Security é executado fora da banda, aproveitando o espelhamento de tráfego em VPC para copiar o tráfego de APIs do AWS Application Load Balancer no ambiente da Aflac. Essa abordagem permite o monitoramento sem qualquer impacto no desempenho. Os dados são então encaminhados para mecanismos remotos da Akamai implantados em instâncias EC2 para análise adicional. A plataforma também recupera informações dos gateways de APIs da Aflac enviando registros de execução e registros de acesso ao Amazon CloudWatch. A variedade de integrações que a Akamai fornece em todo o ecossistema da AWS oferece à Aflac o suporte de que precisa para lidar com confiança com suas obrigações de segurança de dados.

A Aflac já está examinando como planeja expandir sua cobertura de segurança de APIs globalmente, especialmente no Japão. A Ásia é um mercado crescente para a empresa, e eles querem garantir que seus clientes em mercados emergentes tenham o mesmo nível de segurança. Isso não só continuará a diferenciá-los no mercado, mas também fortalecerá sua reputação como uma organização que prioriza o cliente.

A empresa também está implementando o módulo de teste da solução Akamai API Security, que capacita as organizações a identificar vulnerabilidades durante o desenvolvimento e a abordá-las antes que cheguem à produção. Fiel à abordagem shift-left (pré-produção), o módulo de teste fornece um conjunto de análises de segurança com foco em APIs em que as operações de segurança podem ser executadas sob demanda ou como parte de um pipeline de integração contínua/entrega contínua (Cl/CD) para garantir que as APIs sejam implementadas com segurança. A Aflac vê os recursos de teste do Akamai API Security como um benefício estratégico que permitirá que a empresa melhore os testes e aumente suas ferramentas de segurança de aplicações existentes com uma solução abrangente de testes de segurança de APIs.

"A Aflac está animada em ter um verdadeiro líder de mercado garantindo nosso patrimônio de APIs. Estamos confiantes na plataforma Noname Security (agora parte do Akamai API Security), em sua equipe e visão. Com tanto valor já reconhecido e dada a sua impressionante capacidade de inovar, estamos entusiasmados com o que o futuro da nossa parceria oferecerá", concluiu Goldsworthy.

A Aflac Incorporated é uma empresa da Fortune 500 que fornece proteção financeira a milhões de segurados e clientes por meio de suas subsidiárias nos EUA e no Japão. Quando um segurado adoece ou se machuca, a Aflac paga prontamente os benefícios em dinheiro, para os sinistros elegíveis, diretamente ao segurado (a menos que seja designado de outra forma). Por mais de seis décadas, as apólices de seguro voluntário da Aflac deram aos segurados a oportunidade de se concentrar em sua recuperação, não no estresse financeiro.