A inovadora empresa de software de RH protege suas APIs

Desde 2015, a HiBob tem a missão de transformar a forma como as organizações operam no mundo moderno do trabalho. A inovadora empresa facilita essa transformação e o futuro do local de trabalho com sua plataforma de RH, o Bob. O Bob engloba todas as complexidades dos processos de RH em uma ferramenta inovadora e fácil de usar que beneficia todos os funcionários em toda a empresa. As organizações que usam o Bob são capazes de acelerar a contratação, reter os melhores talentos e elevar o engajamento dos funcionários. Ao fornecer esses recursos transformadores, a empresa conseguiu ultrapassar US$ 100 milhões em receita anual recorrente (ARR) menos de três anos após celebrar seu marco de US$ 10 milhões em ARR. Quando a empresa reconheceu a necessidade de reforçar a segurança do desenvolvimento e da implantação de APIs, ela encontrou sua solução na Akamai API Security.

Como muitos inovadores do setor, a HiBob adota um processo de desenvolvimento rápido baseado em APIs. Essa abordagem ágil possibilita o fornecimento contínuo de recursos novos e atualizados para seus mais de 3.500 clientes. No entanto, com mudanças ininterruptas acontecendo em todo o ambiente da empresa, a segurança se torna mais desafiadora. Reconhecendo a necessidade de lidar com essa possível lacuna de segurança, a HiBob tornou suas equipes de desenvolvedores e DevOps tão responsáveis pela segurança quanto sua equipe de segurança.

Embora essa tenha sido uma etapa importante na elevação de sua postura de segurança, a HiBob também precisava dar suporte à sua equipe de segurança, desenvolvedores e DevOps com uma melhor visão do estado de APIs da empresa. Como explica Tamir Ronen, CISO global da HiBob, as empresas usam APIs como a principal tecnologia para conectar serviços e transmitir dados, mas muitas organizações encontram dificuldades para proteger suas APIs.

"Os ataques a APIs não são baseados em padrões. Como resultado, os WAFs (web application firewalls) fornecem poucos insights e segurança limitada quando se trata da lógica de negócios no coração das APIs. Além disso, WAFs não são úteis quando uma nova lógica de negócios aparece em um novo processo", diz ele.

Com os dados confidenciais dos clientes sendo transferidos por meio de suas APIs, Ronen viu a necessidade de uma solução de segurança projetada para entender a lógica de negócios de APIs e a transferência de dados. "Uma empresa de ritmo acelerado como a nossa necessita de melhor visibilidade de nossas APIs e de uma maneira de entender como fazer e implantar mudanças na lógica de negócios com segurança", continua.

Ronen encontrou sua solução na Akamai API Security. De acordo com ele, o recurso mais importante é a criptografia de dados. "Podemos criptografar os dados enviados para a Akamai Connected Cloud sem arriscar a exposição de dados a terceiros, e a API Security informa com segurança sobre o uso de APIs e a lógica de negócios com base nos valores em hash dos dados confinamento", diz Ronen.

Ele também aprecia o recurso de descoberta de API, que detecta APIs desprotegidas e mostra uma lista atualizada com frequência dessas APIs. "A descoberta em um ambiente de ritmo acelerado é fundamental, pois um erro no processo de desenvolvimento pode criar uma violação caso uma API retorne uma carga útil com dados que não deveriam estar lá. O mesmo vale para os pontos de extremidade sombra que podem ser possíveis condutores para riscos que passam despercebidos por nosso radar."

Tão importante quanto é o recurso de análise comportamental que detecta ameaças e abuso lógico no estado de APIs da HiBob e aciona respostas para mitigá-las. "A análise comportamental é fundamental para acompanhar os problemas com APIs em nosso ambiente em constante mudança", explica Ronen.

Igualmente valiosa é a capacidade de aproveitar as vantagens da API Security ShadowHunt, um serviço gerenciado de busca de ameaças desenvolvido por analistas especialistas da Akamai especializados em busca de ameaças de APIs.

Depois de uma implantação simples da API Security, a HiBob percebeu seu valor desde o primeiro dia. "Só a visibilidade do nosso portfólio de APIs já foi incrível", diz Ronen.

Além disso, a análise comportamental provou ser benéfica rapidamente. É importante que a HiBob entenda se algo suspeito acontece nos fluxos de trabalho de negócios. Com a API Security, a empresa conseguiu criar uma linha de base de ações de usuário aceitáveis. "Somos alertados automaticamente sobre qualquer ação que exceda essa linha de base, e somos solicitados a investigar. Além de saber quando acompanhar um problema, também reduzimos o tempo para analisar problemas e eventos relacionados a APIs em 25% desde que começamos a usar a API Security", continua.

Além disso, trabalhando lado a lado com os especialistas em buscas de ameaças da Akamai, Ronen e sua equipe criaram um alerta para serem notificados se alguém ignorar o WAF da empresa quando uma chamada de API é feita a partir de uma API pública.

Isso não é tudo. A solução da Akamai ajuda as equipes de segurança e DevOps a se agrupar em torno de uma linguagem comum quando se trata de segurança de APIs na rede e nos pontos de extremidade. Assim, quando a equipe de segurança transmite informações e estatísticas da API Security sobre como uma determinada API está se comportando em relação ao uso de ponto de extremidade e fluxo de dados, a equipe de desenvolvimento pode responder imediatamente. "A Akamai API Security nos ajudou a proteger nosso importante estado de APIs e, ao mesmo tempo, a promover uma colaboração ainda maior entre nossas equipes de segurança e desenvolvimento", conclui Ronen.

A HiBob tem a missão de transformar a forma como as organizações operam no mundo moderno do trabalho com sua plataforma de RH, o Bob. Liderando o caminho para o local de trabalho do futuro, o Bob oferece tecnologia ágil e resiliente que engloba todas as complexidades dos processos de RH em uma ferramenta inovadora e fácil de usar que envolve todos os funcionários em toda a empresa.

A Akamai potencializa e protege a vida online. As principais empresas do mundo escolhem a Akamai para criar, entregar e proteger suas experiências digitais, ajudando bilhões de pessoas a viver, trabalhar e se divertir todos os dias. A Akamai Connected Cloud, uma plataforma de edge e nuvem amplamente distribuída, aproxima as aplicações e as experiências dos usuários e mantém as ameaças mais distantes. Saiba mais sobre as soluções de computação em nuvem, segurança e entrega de conteúdo da Akamai em akamai.com/pt e akamai.com/pt/blogou siga a Akamai Technologies no X, antigo Twitter, e LinkedIn.