La capacità di API Security di combinare il rilevamento delle anomalie con la ricerca delle minacce ci consente di ottenere tutte le informazioni di cui abbiamo bisogno per ridurre e concentrare i rischi in un'unica posizione IT. Apporta inoltre un valore significativo alla nostra organizzazione.Yossi Gabay, VP of Information Systems, Dan Hotels
Protezione delle API, una sfida complessa
La catena Dan Hotels dispone di numerose integrazioni basate su API che supportano al meglio il sistema di business intelligence interno, nonché di una crescente raccolta di API esterne con partner del settore viaggi, compresi i principali siti web dedicati a viaggi e turismo, come Expedia e Booking.com, agenzie di viaggi online (OTA), vari altri fornitori e agenti di minori dimensioni. Molte di queste funzioni API risultano centralizzate, dal momento che operano nell'ambito della piattaforma di property management Silverbyte dell'azienda. Tuttavia, il team di sicurezza ha scoperto di non avere la necessaria visibilità sulle modalità specifiche con cui i partner accedono e interagiscono con i sistemi informatici di Dan Hotels, e di non essere in alcun modo in grado di gestire simili attività. Il campanello di allarme è scattato definitivamente quando sono state compromesse le infrastrutture IT di due dei partner dell'azienda nel settore viaggi: il team ha così deciso di adottare un approccio più sofisticato e proattivo nei confronti della sicurezza delle API . "Proprio nel momento in cui stavamo investigando sull'incidente occorso ai nostri partner, ci siamo resi conto di quanto poco controllo avessimo sul modo in cui vengono utilizzate le nostre API. Era chiaro che i partner meno sicuri e protetti potevano mettere a rischio i nostri sistemi", afferma Yossi Gabay, Vice President of Information Systems, Dan Hotels. Questa experience ha spinto l'azienda a ricorrere urgentemente all'implementazione di un set più sofisticato di funzionalità di sicurezza API.
Fattori di successo delle API sicure
Il team tecnologico di Dan Hotels deve quotidianamente far fronte a forti pressioni in termini concorrenziali, che spaziano dalla sicurezza informatica ad altre funzioni operative critiche. Per questo motivo, era alla ricerca di una soluzione che riducesse i rischi collegati all'utilizzo delle API, senza sovraccaricare il team con ulteriori grattacapi e attività manuali. Nella circostanza, era importante adottare un approccio che si estendesse ben oltre gli attacchi "ordinari", per coprire forme più sofisticate e sottili di abuso delle API, generate dalle attività dei partner.
Perché Dan Hotels ha scelto API Security
Il modello SaaS (Software-as-a-Service) di API Security ha consentito a Dan Hotels di eseguire l'implementazione iniziale in poche ore. "Si è rivelata un'integrazione molto semplice, senza alcuna criticità", sottolinea Gabay. "Non siamo stati sovraccaricati con nuovi task, quindi non ci sono state interferenze con le nostre operazioni quotidiane". Una volta attivato il sistema, il team di API Security ha collaborato con il team di Dan Hotels per perfezionare le fonti e la configurazione dei dati, al fine di raggiungere gli obiettivi specifici dell'azienda.
Le funzionalità di analisi comportamentale implementate in API Security rappresentano uno dei principali tratti distintivi del prodotto rispetto alle altre opzioni presenti sul mercato. Questo elemento ha quindi determinato la scelta effettuata da Dan Hotels, azienda particolarmente focalizzata sul rilevamento degli abusi in relazione alle API. La piattaforma API Security è stata in grado di mappare le relazioni tra gli utenti e le risorse API della catena alberghiera, fornendo così un prezioso contesto su cui operare. "Invece di concentrarsi esclusivamente sul bloccare gli attacchi, API Security ci ha aiutato a capire cosa stava effettivamente accadendo e a individuare quei comportamenti indesiderati che altrimenti sarebbero passati inosservati", afferma Gabay.
Il team di Dan Hotels è rimasto davvero favorevolmente impressionato dalla capacità di API Security nel presentare grandi quantità di informazioni sulle attività e sulle minacce alle API. "Quando non si dispone delle necessarie informazioni, non è possibile avere un'utile conversazione, né risolvere i problemi", spiega Gabay. "Non appena si capisce cosa dovrebbe fare un'API e si paragona tutto questo con ciò che sta effettivamente accadendo, è possibile coinvolgere tutte le parti interessate per risolvere eventuali situazioni critiche."
Dan Hotels è in possesso di specifiche competenze in materia di sicurezza IT interna: ritiene tuttavia che il servizio gestito di ricerca delle minacce offerto da API Security rappresenti un notevole valore aggiunto. "Le attenzioni del nostro team si suddividono spesso tra sicurezza informatica e supporto delle attività che generano profitti. Quindi, essere in grado di coinvolgere un servizio gestito che ci avvisa in modo proattivo quando vengono identificati nuovi rischi API è qualcosa di davvero importante per noi", afferma Gabay. "Ci consente di collaborare con esperti realmente all'avanguardia in materia di problematiche di sicurezza delle API, che si impegnano costantemente e dimostrano grande disponibilità."
Dan Hotels è una catena di hotel di lusso con sede in Israele. L'azienda gestisce oltre 4.000 camere in 18 strutture alberghiere situate in Israele e in India, oltre a una vasta gamma di ulteriori offerte nel settore dell'hospitality, quali lounge e servizi di catering negli aeroporti.
