©2024 Akamai Technologies
除了为我们提供对 API 组合卓越的监测能力外,API Security 还利用令牌化数据来审查 API 行为和业务逻辑。也就是说,该解决方案不仅使我们能够更好地确保 API 的安全,而且还确保了数据的安全性。
HiBob 全球首席信息安全官 Tamir Ronen
持续演变的 HR 和员工体验
自 2015 年起,HiBob 便致力于改变企业在现代工作环境中的运作方式。这家充满创新精神的公司正通过其 HR 平台 Bob 来实现这一转变并满足未来工作场所的需求。Bob 化繁为简,将所有复杂繁琐的 HR 流程整合到一个具有创新性的户友好型工具当中,惠及企业中的每一位员工。通过使用 Bob,企业不仅能够加速推进招聘流程,留住优秀人才,还能提升员工的敬业度。通过提供这样的变革能力,该公司在庆祝年度经常性收入 (ARR) 突破 1000 万美元的里程碑后,不到三年时间便实现了 ARR 超过 1 亿美元的壮举。当该公司意识到需要增强 API 开发和部署的安全性时,他们发现 Akamai API Security正是其理想的解决方案。
需要保护 API 业务逻辑和数据传输
与许多行业创新者一样,HiBob 采用了基于 API 的快速开发流程。这种敏捷方法使 HiBob 能够一如既往地为超过 3,500 名客户提供新功能和更新功能。但是,随着公司环境的不断变化,安全问题愈发具有挑战性。为了消除这一潜在的安全隐患,HiBob 让其开发人员和 DevOps 团队与安全团队一样负责安全。
虽然这一举措对于提升 HiBob 的安全态势至关重要,但为了确保其安全团队、开发人员和 DevOps 团队能够更好地了解公司的 API 资产,HiBob 仍需提供必要的支持。HiBob 全球首席信息安全官 Tamir Ronen 解释道,如今,API 已成为企业连接服务和传输数据的主要技术,但许多企业在保护其 API 方面仍感到吃力。
他说道:“防火墙无法基于模式来发现 API 攻击。因此,当涉及到 API 的核心业务逻辑时, Web 应用程序防火墙 (WAF) 所提供的洞察力和安全性显得相对有限。而且,在面对新流程中出现的新业务逻辑时,WAF 往往无法提供有效的保护。”
鉴于敏感的客户数据通过其 API 进行传输,Ronen 认为有必要采用一种专门设计的安全解决方案,以便理解 API 的业务逻辑以及数据传输。他继续说道:“作为一家快速发展的公司,我们需要更好地监测 API,并通过一种有效方式了解如何才能以安全方式对业务逻辑进行更改和部署。”
我们可以对传输给 Akamai Connected Cloud 的数据进行加密,避免数据外泄,而 API Security 则可基于数据的哈希值安全地了解 API 的使用情况和业务逻辑。
HiBob 全球首席信息安全官 Tamir Ronen
Akamai API Security 刚好符合这个要求
Akamai API Security 正是 Ronen 要找的理想解决方案。他认为,数据加密是最重要的功能。Ronen 表示:“我们可以对传输给 Akamai Connected Cloud 的数据进行加密,避免数据外泄,而 API Security 则可基于数据的哈希值安全地了解 API 的使用情况和业务逻辑。”
此外,他还特别赞赏 API 发现功能,该功能可发现未受保护的 API,并显示这些 API 的频繁更新列表。“在快节奏的工作环境中,发现功能至关重要,因为在开发流程中一旦出错,就会出现漏洞,导致 API 返回攻击载荷,包含本不应存在的数据。同样,影子端点也是潜在的风险渠道,可能会在我们的监控之外造成安全威胁。”
行为分析功能同样至关重要,它能够实时监测 HiBob 所有 API 资产的潜在威胁和逻辑滥用行为,并在发现异常情况时触发响应机制,从而减轻潜在风险。Ronen 解释道:“在不断演变的环境中,行为分析在追踪 API 问题方面发挥着至关重要的作用。”
同样重要的是,可以利用 API Security ShadowHunt,这是由 Akamai 擅长 API 威胁搜寻的专业分析师提供的一项托管威胁搜寻服务。
获得监测能力并快速分析问题
在轻松部署 API Security 之后,HiBob 从第一天起就体验到了其真正的价值。Ronen 表示:“单是对我们 API 组合的监测能力就足以令人惊叹。”
此外,行为分析的好处很快也体现出来了。对于 HiBob 而言,了解业务工作流中是否存在可疑活动至关重要。借助 API Security,该公司能够建立一套可接受的用户操作基准。他继续说道:“该产品会自动发出告警,提示我们调查任何超出此基准的操作。自从采用 API Security 以来,我们不仅知道何时跟进问题,而且还将分析 API 相关问题和事件的时间减少了 25%。”
此外,Ronen 及其团队与 Akamai 的威胁搜寻专家紧密合作,共同设立一个告警系统。当有人通过公共 API 调用 API 以绕过公司的 WAF 时,该系统将立即发送告警。
自从采用 API Security 以来,我们分析 API 相关问题和事件的时间减少了 25%。
HiBob 全球首席信息安全官 Tamir Ronen
提升整体安全态势
这还不是全部优势。在网络和端点的 API 安全方面,Akamai 解决方案帮助安全和 DevOps 团队形成了一种共通的语言。因此,当安全团队通过 API Security 发送关于特定 API 与端点使用情况及数据流的相关行为的详细信息和统计数据时,开发团队能够迅速做出响应。Ronen 总结道:“Akamai API Security 不仅保护了我们重要的 API 资产,还促进了安全团队与开发团队之间的协作。”
HiBob 简介
HiBob 致力于利用其 HR 平台 Bob 改变企业在现代工作环境中的运作方式。Bob 通过提供恢复能力强且敏捷的技术,将所有复杂繁琐的 HR 流程整合到一个具有创新性的户友好型工具当中,惠及企业中的每一位员工,并满足未来工作场所的需求。
关于 Akamai
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud 是一种大规模分布式边缘和云平台,可使应用程序和体验更靠近用户,帮助用户远离威胁。 如需详细了解 Akamai 的云计算、安全和内容交付解决方案,请访问 akamai.com/zh 和 akamai.com/zh/blog,或者扫描下方二维码,关注我们的微信公众号。