需要云计算吗? 即刻开始体验

Akamai 加大对 API 安全的投资力度

Michael Kleef

寫於

Michael Kleef

June 25, 2024

Michael Kleef

寫於

Michael Kleef

Michael Kleef 是 Akamai 安全产品营销副总裁。

6 月 24 日,我们完成了对 Noname Security 的收购,同时很高兴能分享我们推进 API 保护的计划。

6 月 24 日,我们完成了对 Noname Security 的收购,同时很高兴能分享我们推进 API 保护的计划。Noname Security 是市场上的主要 API 安全供应商之一,此次收购将使我们快速提升能力,进而更好地满足不断增长的客户需求和市场需求。

具体而言,Akamai 将能够使情报扩展到 API 流量位置,并满足客户在业务、集成或部署方面的任何需求。

我们正在将 Noname API Security 与 Akamai API Security 中最出色的功能整合在一起,打造一款统一的产品: Akamai API Security

为什么说 API 安全性极其重要

API 的使用正在呈现爆发式增长。API 为这个世界的发展提供了强大推动力,也让我们的体验得到了增强。当我们每天使用自己的设备时,我们常用的应用程序都在与多个 API 进行通信,以完成从社交媒体、购物、银行到查看孩子情况的一切事情。在家办公时,我们也会使用 API 与公司的应用程序和服务进行通信。

在数字化转型、移动和物联网 (IoT) 的采用以及开放银行等商业举措的推动下,API 几乎用在了全球所有垂直行业中。API 在 B2B 和 B2C 领域得到广泛应用,推动整个行业实现快速业务增长。几乎所有编写现代应用程序的企业都使用 API 来为这些应用程序提供支持,并实现跨企的服务集成。

API 对攻击者极具诱惑力

因此, API 成为了对攻击者极具诱惑力的目标之一。Akamai 研究数据显示, API 攻击 正在以年同比 109% 的速度增长。在 一份 2023 年度报告中,78% 的客户表示自己在过去 12 个月内遭遇过一次 API 相关安全事件。API 安全性的优先级别正在日益提高,而 Akamai 正在加大对客户 API 保护产品的投资。

Akamai 收购 Noname Security 之后,客户对 Akamai API Security 的需求在本已非常惊人的 200% 增长 基础之上将进一步加速。Akamai 和 Noname 都是这一领域内的 公认领导者 ,此次收购将使我们的能力得到进一步增强,帮助我们成为 API 安全性赛道的领跑者。

为什么说仅有 WAAP 解决方案还不足够

Web 应用程序和 API 保护 (WAAP) 平台发挥着重要的作用,有助于保护 Web 应用程序和 API 免受各类攻击,例如 OWASP 十大 API 安全风险清单中列出的攻击。但是,它们并不能完全解决问题。

其他一些供应商可能会说服您相信 WAAP 可以解决所有类型的 API 攻击,但现实是,大多数 WAAP 解决方案无法提供抵御攻击(尤其是 滥用攻击)所需的 API 安全性监测能力和深度。这是因为 WAAP 解决方案并不具备背景信息,无法理解 API 请求和响应之间的对话。

Web 应用程序和 API 并不相同

这并不让人意外,因为 API 的运行方式与 Web 应用程序有所不同。在 Web 应用程序中,其背后的业务逻辑是隐藏起来的,但 API 的业务逻辑则可能会在互联网上直接公布,这样就容易被滥用。在 2024 年 5 月的一篇 TechCrunch 文章中,就分享了一个相关案例。WAAP 平台无法抵御这一类型的攻击。

基于这一原因,再加上其他因素的推动,Akamai 对 API 安全解决方案进行了重要投资,并借最近这次收购的东风,继续促进更具创新性的 API 保护发展。

Akamai API Security 可以解决多个关键问题

Akamai API Security 可以解决最新一期《OWASP API 安全十大风险清单》中所列许多类型的攻击,这些攻击会导致收入损失、信誉下降、信息泄露和不合规。

我们的 API Security 解决方案可以解决多个关键问题,包括 对 API 安全状况的监测能力、对威胁和异常的检测和阻止,以及对 API 的主动测试。

对 API 安全状况的监测能力

就像老话所说:我们无法保护看不见的资产。许多公司并不清楚自己真正有多少个 API,也就很难量化风险。Akamai API Security 首先会评估客户拥有多少个 API,不仅仅是他们知道正在活跃使用的 API,甚至还包括他们不知道或看不到的遗留、影子或恶意 API。Noname Security 的数据表明,他们的 API 安全平台客户在自身环境中发现的 API 比其最初预料的数量平均要多出 40%。

对威胁和异常的检测和阻止

API Security 利用机器学习技术来检测和识别所有类型的 API 漏洞和滥用,包括数据篡改、泄露、错误配置、策略违规、行为异常和直接 API 安全攻击。

对 API 的主动检测

左移测试是应用程序开发的一个关键组成部分,可以从一开始就提升安全性。但迄今为止,仍然无法对正在开发当中的 API 进行测试。有了 API Security,我们就可以将 API 测试纳入到 CI/CD 管道中,从而确保在将 API 投入生产之前解决问题。

Noname 创造的附加价值

随着 API 安全领域市场领导者 Noname Security 的加入,Akamai API Security 为客户提供的安全防护将迅速得到扩展。凭借 Noname 广泛的集成和部署选项,我们现在能够提供覆盖整个供应商格局的支持。

无论企业使用的是云端、边缘原生、本地部署还是其他供应商平台,Akamai API Security 都能确保 API 环境的安全。随着 Noname 解决方案的加入,Akamai 将进一步扩展其接触和覆盖范围,为各类环境中的客户提供全面的 API 防护。

同样,我们很高兴能够增加:

  • 灵活的部署功能 ——跨云托管、自托管、混合型和分布式实例快速完成部署

  • 关键企业功能 ——包括基于角色的访问控制、自动服务配置、CI/CD 集成、仪表板和高级自动响应

  • 避免数据边界难题 ——对来自内存攻击的数据进行分析,确保您的数据绝对不会流出您的环境

  • 更多集成选项 ——提供涵盖整个行业、极其全面的集成选项,包括 NGINX、AWS、Azure、F5、Apigee、MuleSoft、GCP 等等。与现有技术的集成非常重要,而这一解决方案可以确保实现全面覆盖

  • 强大的 API 测试功能 ——集中力量查找和修补存在于 CI/CD 管道中的 API 安全漏洞(在软件开发生命周期的开发阶段),避免其被用于发起攻击

集所有优势功能于一身的产品

如前所述,我们的计划是将当前的 API 安全创新与 Noname 安全解决方案结合在一起。统一后的解决方案将为所有环境中的客户提供全面的 API 保护。

在集成过程中,我们将重点关注三个方面:

  1. 从 Akamai 边缘网络发起的连接

  2. 与 App & API Protector 建立的连接

  3. 威胁情报

从 Akamai 边缘平台发起的连接

Akamai 运营的专用网络规模在全球范围内都不遑多让。我们的大多数服务都在该平台上交付,包括我们表现出色的安全服务(例如,App & API Protector 和 Prolexic DDoS 防护)、性能优越的内容交付网络 (CDN),以及我们的公有云服务。我们的企业客户对直接在平台上使用服务的便利性深表赞赏,因此我们会将 Noname 集成到我们的网络中以方便部署。预计此次集成将在完成收购后的三周内完成。

与 App & API Protector 建立的连接

App & API Protector 是行业内表现优异的 WAAP 平台,在 Gartner® Peer Insights™ 和其他分析师评审中荣获 2024 年云端 WAAP 领域的“客户之选”称号 就是最好的证明,这也是该平台连续 5 年获得这一殊荣。这一连接将使 Noname 生成的行为情报能够在 App & API Protector 中触发 WAAP 规则,从而自动阻止连接。

威胁情报

Akamai 每天都会收集并分析超过 788 TB 的数据。所有这些数据都由大量攻击生成,主要涉及到我们所服务的企业客户群体(我们每个季度观察到的 Web 攻击超过了 120 亿次)。我们有超过 200 位安全研究人员对这些数据进行处理,为我们提供了极为精准的威胁情报。如同其他所有产品一样,我们还准备将这一数据源集成到 Akamai API Security 之中。

了解更多

我们对 Akamai API Security 的未来非常乐观,并且相信我们有能力为客户提供全面保护。 联系我们 以详细了解我们将如何满足您的 API 安全需求。



Michael Kleef

寫於

Michael Kleef

June 25, 2024

Michael Kleef

寫於

Michael Kleef

Michael Kleef 是 Akamai 安全产品营销副总裁。