知名保险公司补齐 API 安全方面的重大短板

Clal Insurance and Finance 于 1978 年在以色列成立，是一家知名的保险和长期储蓄公司，管理着总计 3,320 亿新谢克尔*（908.7 亿美元）的资产。公司设有三个不同的部门，为私人和企业客户提供一系列服务和产品。Clal 有 4,400 名员工和 3,700 名保险代理人，共同致力于为客户提供优质的服务和专业的支持。

该公司正在推动基于 API 的 数字化转型 ，以促进无缝创新，并在与业务合作伙伴、其他金融科技公司和客户的数据交换中取得先发优势。然而，这种 API 生态系统也引入了潜在的新型威胁渠道，这种威胁在以色列这个经常成为网络攻击目标的国家尤为紧迫。通过部署 Akamai API Security，Clal Insurance and Finance 实现了三个目标：

1. 自动发现并建立所有 API 的清单
2. 自动修复流程
3. 改善 API 安全态势

Clal 曾经使用另一家公司的流量管理器、安全信息和事件管理解决方案以及 Web 应用程序防火墙来保护其网站。但这些安全措施存在短板，即不能很好地监控和保护该公司至关重要且影响深远的 API 清单。

Clal 的生态系统为 Clal Express 网络服务等各种创新型服务提供支持，Clal Express 可以避免客户自付费用。随着整个企业内 API 数量的激增，该公司希望加强对这项服务的管理和保护。

新冠疫情爆发时，Clal 部署了 API 网关 解决方案来集中管理他们打造的 API 生态系统。Clal 首席技术官 Haim Inger 解释道：“那时我才意识到，对于通过我们网站公开的 600 多个 API 和整个企业范围内的数千个 API，我们缺乏清晰的了解。”

尽管 API 网关使我们能够对 API 环境有一个大致的了解，但它并非安全解决方案。事实上，使用 API 网关的公司必须确保其安全。Inger 继续说道：“在我们开始寻找保护 API 网关的解决方案时，我通过 API 安全性看到了我们的现状与想要达到的目标之间的差距。”

为了监测其 API 产品组合并拥有检测 API 威胁或滥用的能力，Inger 和他的安全团队评估了一些解决方案。他们希望找到这样一款解决方案，即该解决方案能够检查交易异常并最大限度减少影响 API 行为的规则更改，同时还要易于部署。

在评估三款解决方案后，Inger 选择了基于云的 Akamai API Security。Inger 表示：“我原本预计该解决方案可能需要几个月时间才能完成部署，但令我惊讶的是，短短四天便完成了与 F5、Splunk 和所有 API 的集成。”

部署 API Security 后，Clal 立即看到了该解决方案的价值。与其他解决方案不同，Akamai 的这款解决方案不需要 Clal 的安全团队检查每个 API 并编写正确的规则来确保行为符合预期，而是会自动清查并评估 API 生态系统的状态。

Inger 解释道：“我们只需等待该 Akamai 解决方案为我们提供 API 资产的状态即可。在获取关于 API 的令牌化数据后，该解决方案会自动提供相关分析数据，帮助我们了解需要修复的问题和修复方式。”

自从对 Clal 的 API 进行初始清查和分析以来，Akamai API Security 不断清查和分析他们的整个生态系统。Inger 表示：“API 发现过程非常重要，因为我们便可持续监测正在使用哪些 API 以及这些 API 的使用情况，并且可以关闭不再使用的 API。”

Akamai 解决方案还通过风险审计和行为分析不断发现并报告漏洞和异常情况。这类情况包括信用卡数据在 API 内的不安全传输，或者金融科技合作伙伴对 API 的使用方式未经批准。针对每一种情况，API Security 都会确保 Clal 的 API 不会成为攻击渠道。

Inger 和他的团队非常赞赏的地方还在于，该解决方案能够搭配 API Security ShadowHunt使用，而这项托管式威胁搜寻服务还有擅长 API 威胁搜寻的 Akamai 专业分析师提供支持。

Inger 表示：“我们会收到异常情况的告警，例如 API 访问方式或访问频率中的异常模式。这些通知让我们能够立即修复任何漏洞，并防止客户的数据遭到访问和泄露。”

准确了解 API 生态系统并及时获得潜在问题的通知不仅能帮助 Clal 强化安全态势，还有助于巩固合作伙伴关系并确保业务不间断。Inger 解释道：“以前，对于受到攻击的金融科技合作伙伴，我们只能停止与其开展业务合作。但现在我们可以修复 API 漏洞，从而维持重要的合作伙伴关系。”

今年，他们已采用 API Security 和 ShadowHunt 两个年头，Inger 及其团队都感到非常满意。Inger 继续说道：“解决方案和服务如约交付。而且，由于 API Security 是基于云的解决方案，我们不需要进行维护或升级。”

此外，Akamai 帮助 Clal 实现了对开发和生产环境的全方位可见性，并提供安全告警，这方面的价值无可估量。Inger 总结道：“Akamai 帮助我们充分增强了 API 环境的安全态势。”

Clal Holdings 是一家控股公司，主要持有 Clal Insurance and Finance 和 MAX 信用卡公司。Clal Insurance Enterprises Holdings 的股份由公众持有，无控股股东核心团队，并且在特拉维夫证券交易所上市。Alrov Real Estate and Hotels Ltd. 持有公司 14.1% 的股份，Phoenix Group 持有 7.0%，Harel Group 持有 6.6%，Mr. Shalom Shai (Dona Engineering & Construction Co. Ltd.) 持有 5.1%。按毛收入计算，集团的市场份额占到了保险市场的 15%（2022 年），管理的资产规模超过 3,320 亿新谢克尔（截至 2023 年 9 月）。2023 年 3 月，Clal 从合作伙伴 Warburg Pincus（一家美国投资基金）手中收购了 Max。Clal 集团在保险和长期储蓄领域经营着多种业务，例如养老金、公积金和高级培训基金、汽车和房屋等一般保险，以及健康保险和信用卡。此外，集团的抵押贷款和信用保险业务在众多保险公司中也独具优势。自 2023 年起，集团也开始积极涉足信用卡行业。Clal 集团旗下有保险机构、养老基金、公积金、培训基金和信用保险公司。截止 2022 年 12 月，集团在 Clal Insurance and Finance 和保险机构拥有 4,403 名员工，在 Max 拥有 1,337 名员工。这些数据都表明，Clal 是以色列知名的长期保险和储蓄集团之一。