Blog

Akamai App & API Protector: la sicurezza potenziata e semplificata

Written by

Charles Choe

November 08, 2021

Charles Choe is a Senior Product Marketing Manager at Akamai Technologies. He brings more than fourteen years of product management and technical marketing experience. He writes about market trends, industry challenges, and solutions in the areas of web application, infrastructure, and API security.

Creare straordinarie experience digitali, spesso, richiede l'utilizzo dell'Edge Computing senza server, di architetture basate su microservizi, di ambienti IaaS, di funzionalità lato client e delle API. Queste pratiche di sviluppo moderne, anche se progettate per realizzare user experience altamente personalizzate, rapide e always-on, introducono, inoltre, vulnerabilità e rischi del tutto nuovi. Anche i team IT e gli addetti alla sicurezza si impegnano nell'intento di supportare le aziende considerando l'elevata velocità con cui vengono rilasciati i codici e l'impossibilità di tenere il passo con le applicazioni e le API in continua evoluzione. I cybercriminali, nel frattempo, possono lanciare un attacco di credential stuffing in modo rapido e semplice acquistando credenziali rubate e noleggiando una botnet. Dopo aver parlato con i nostri clienti, la risoluzione di una o più di queste sfide potrebbe richiedere diverse soluzioni di sicurezza prodotte da diversi fornitori, che, se non correlate tra loro e difficili da usare, possono, in definitiva, ostacolare la consapevolezza della situazione attuale, incrementare i costi e favorire la nascita di criticità operative e intraorganizzative. 

Una convergenza di soluzioni tecniche

Diversi prodotti implicano un incremento dei costi, un aumento delle complessità e la necessità di talenti competenti, ossia caratteristiche insostenibili per molte organizzazioni. Nell'odierno mondo aziendale, il ruolo fondamentale svolto dalla protezione di applicazioni web e API da attacchi in continua evoluzione (dagli attacchi di logica di business alle app web e all'abuso di API fino agli attacchi DDoS) richiede una sicurezza olistica ed estensibile. In Akamai, la nostra missione incentrata sui clienti consiste nel massimizzare il valore offerto con una sicurezza di API e applicazioni onnipresente, potente, semplice e automatizzata.

"Quando si lavora su una piattaforma distribuita in modo massiccio e ci si basa notevolmente sulle API, la sicurezza rappresenta un problema importante. Ecco perché abbiamo scelto la protezione dell'edge di Akamai". - Software Analyst nel settore dei servizi, fonte: Gartner Peer Insights,16 luglio 2021.

Per molti anni consecutivi, società di analisi e clienti hanno riconosciuto Akamai come azienda leader nel settore della sicurezza di applicazioni e API. Ecco perché siamo entusiasti nel presentare la nostra innovativa soluzione WAAP (Web Application and API Protection) concepita per riunire molte delle nostre importanti tecnologie, come la tecnologia WAF (Web Application Firewall), la mitigazione dei bot, la sicurezza delle API e la protezione DDoS in un uni prodotto.

Presentazione di Akamai App & API Protector

Dotata del nuovo motore di sicurezza adattiva di Akamai, la soluzione offre un approccio moderno per proteggere l'intero patrimonio di applicazioni web e API.

Altri sistemi di protezione immediatamente disponibili 

App & API Protector offre un set olistico di potenti protezioni progettate per ottenere il massimo livello di sicurezza. A differenza di altre soluzioni che offrono un livello di sicurezza "abbastanza buono", la semplicità della soluzione App & API Protector si basa su alcune delle più avanzate e sofisticate tecnologie attualmente disponibili. Non meraviglia che oltre il 92% dei clienti Akamai utilizzi i nostri controlli di sicurezza di applicazioni e API in modalità Rifiuta.

  • Capaci di rilevare il doppio degli attacchi e ridurre di cinque volte i falsi positivi, i nuovi sistemi di rilevamento adattivi basati sulle minacce utilizzano un modello multidimensionale che combina l'intelligence della piattaforma di Akamai con i dati/metadati di ogni richiesta di applicazioni web e API. Questi dati vengono quindi analizzati con una logica decisionale progettata per identificare e fermare gli attacchi con una precisione chirurgica. I sistemi di rilevamento adattivi hanno consentito di identificare un numero medio di attacchi SQLi, XSS, RFI e CMDi superiore di quattro volte, con una riduzione dei falsi positivi di cinque volte per raggiungere la massima protezione, senza influire sugli utenti. 

  • Riducete la superficie di rischio delle API con funzioni automatiche di rilevamento e sicurezza: analizzate, in modo automatico e continuativo, il traffico per rilevare API note, sconosciute e in continua evoluzione, inclusi i relativi endpoint, definizioni e caratteristiche, e utilizzate un semplice workflow per proteggere le API da attacchi DDoS, injection e credential stuffing. Ogni richiesta di API viene automaticamente ispezionata alla ricerca di codice dannoso, indipendentemente dal fatto che si sia scelto o meno di applicare controlli di sicurezza positivi. Il rapporto Gartner 2021 Critical Capabilities for Cloud Web Application and API Protection ha posizionato Akamai al primo posto tra le aziende concorrenti per la categoria API Security and DevOps. 

  • Individuate e fermate i bot dannosi: rilevate e mitigate i bot indesiderati con funzionalità di visibilità e mitigazione dei bot integrate direttamente nella soluzione App & API Protector. I sistemi di rilevamento dei bot di Akamai scalano automaticamente man mano che il traffico dei bot continua a rappresentare una percentuale più ampia del traffico complessivo, proteggendo le attività aziendali durante la loro espansione. Guadagnate visibilità per comprendere l'impatto dei bot sulle proprietà digitali e bloccate i bot dannosi al momento opportuno. A differenza di altre soluzioni, l'innovativa tecnologia dei bot di Akamai presenta una vasta directory di oltre 1.500 bot noti, offrendo ai clienti la capacità di creare proprie definizioni dei bot per monitorare in modo proattivo e mitigare gli attacchi bot. 

Figura 1: Funzionalità di visibilità e mitigazione dei bot incluse nella soluzione App & API Protector Figura 1: Funzionalità di visibilità e mitigazione dei bot incluse nella soluzione App & API Protector

Più intelligenti e potenti con l'automazione

La difficoltà di utilizzo di alcuni prodotti aumenta i rischi e i costi operativi. Ecco perché abbiamo progettato la soluzione App & API Protector con il massimo livello di automazione per semplificare le attività quotidiane, lasciando agli operatori l'analisi che richiede un intervento umano. L'automazione non è vantaggiosa una sola volta e destinata a peggiorare nel tempo, ma continua a migliorare e ad evolversi man mano che Akamai sviluppa nuove innovazioni.

  • Ottimizzazione automatica per ridurre la domanda sul team: tutti i trigger di sicurezza (inclusi gli attacchi reali o erroneamente identificati come tali) vengono analizzati automaticamente e di continuo con gli algoritmi di apprendimento automatico per fornire consigli sull'ottimizzazione in base alle policy. Potete ricevere avvisi quando sono disponibili nuovi consigli e accettarli con un solo clic tramite l'interfaccia utente o automatizzarli con le API, l'interfaccia della riga di comando (CLI) o il provider Terraform.

  • I ricercatori sulla sicurezza di Akamai aggiornano automaticamente i sistemi di protezione: un approccio totalmente pratico alla sicurezza di applicazioni e API con sistemi di protezione adattivi interamente gestiti da Akamai. Più di 330 eccellenti ricercatori sulla sicurezza utilizzano avanzate tecniche di apprendimento automatico e di data mining per analizzare continuamente oltre 300 TB di dati sugli attacchi giornalieri e aggiornare automaticamente i sistemi di protezione in base alle ultime minacce.

  • Integrazione DevOps al passo con le esigenze aziendali: integrazione con le API di Akamai tramite Akamai CLI, Terraform o gli script nella pipeline di automazione CI/CD. Potete velocizzare l'onboarding delle applicazioni, uniformare la gestione delle policy di sicurezza su un'ampia gamma di applicazioni e API, centralizzare l'applicazione della sicurezza su infrastrutture ibride e multi-cloud e migliorare la collaborazione tra i team addetti alla sicurezza e DevOps in un workflow GitOps per garantire che la sicurezza sia sempre adeguata al rapido ritmo dello sviluppo di oggi.

Figura 2 - Esempio di codice HCL per la gestione degli hostname protetti da App & API Protector tramite Terraform Figura 2 - Esempio di codice HCL per la gestione degli hostname protetti da App & API Protector tramite Terraform

"Semplice è meglio di complesso" - Zen di Python

Dopo aver appreso la lezione sulla semplicità dagli sviluppatori, le organizzazioni devono anche ripensare il modo con cui la loro soluzione WAAP non solo rafforza i sistemi di protezione, ma aggiunge valore con la facilità di utilizzo. Questo semplice workflow contribuisce a ridurre i rischi, fornendo maggiori informazioni contestuali per migliorare la comprensione del panorama delle minacce informatiche. La soluzione App & API Protector, che sostituisce la precedente Kona Site Defender and Web Application Protector, è stata concepita mettendo al primo posto la semplicità per aiutare i responsabili a prendere in tempo reale decisioni più informate in base ai rischi e ad eseguire attività mission-critical senza subire una paralisi operativa. Appositamente concepita per le moderne applicazioni e API, la soluzione offre caratteristiche di flessibilità per la configurazione e l'automazione e include diritti gratuiti per l'ottimizzazione dei video e delle immagini, l'accelerazione delle API e l'Edge Computing, non solo per rendere operativa la sicurezza WAAP, ma anche per favorire la velocità di sviluppo.

Potente, semplice e automatizzata. Per ulteriori informazioni su App & API Protector, potete scaricare la descrizione del prodotto o contattare il rappresentante Akamai oggi stesso.

Gartner, Critical Capabilities for Cloud Web Application and API Protection, Watts, Hils, D’Hoinne e Handa, 20 settembre 2021

Gartner non promuove nessuno dei fornitori, dei prodotti o dei servizi descritti nelle sue pubblicazioni, e non consiglia agli utenti del settore tecnologico di scegliere i fornitori con le valutazioni più elevate o con altri riconoscimenti. Le pubblicazioni relative alle ricerche di Gartner rappresentano le opinioni dell'organizzazione legata alla ricerca di Gartner e non devono perciò essere interpretate come dichiarazioni di fatto. Gartner declina ogni responsabilità in merito a qualsiasi garanzia, esplicita o implicita, relativa alla presente ricerca, comprese le garanzie di commerciabilità o idoneità a uno scopo particolare.



Written by

Charles Choe

November 08, 2021

Charles Choe is a Senior Product Marketing Manager at Akamai Technologies. He brings more than fourteen years of product management and technical marketing experience. He writes about market trends, industry challenges, and solutions in the areas of web application, infrastructure, and API security.