Blog

Akamai App & API Protector: Maximize a segurança por meio da simplicidade

Written by

Charles Choe

November 08, 2021

Charles Choe is a Senior Product Marketing Manager at Akamai Technologies. He brings more than fourteen years of product management and technical marketing experience. He writes about market trends, industry challenges, and solutions in the areas of web application, infrastructure, and API security.

Criar experiências digitais incríveis geralmente envolve o aproveitamento da Edge Computing sem servidor, de arquiteturas baseadas em microsserviços, ambientes de IaaS, funcionalidade no lado do cliente e APIs. Essas práticas de desenvolvimento modernas, projetadas para produzir experiências de usuário altamente personalizadas, rápidas e sempre disponíveis, também apresentam de maneira insolúvel novas vulnerabilidades e riscos. As equipes de TI e segurança também se esforçam para dar suporte aos negócios devido à alta velocidade das versões de código e à incapacidade de acompanhar as mudanças nas aplicações e APIs. Enquanto isso, os cibercriminosos podem realizar um ataque de credential stuffing de forma rápida e fácil, adquirindo credenciais roubadas e alugando um botnet. Depois de falar com nossos clientes, a solução para qualquer um desses desafios ou uma combinação deles pode exigir vários produtos de segurança de diferentes fornecedores que, se forem desconexos e difíceis de usar, podem, em última análise, prejudicar a conscientização cibernética situacional, aumentar os custos e ser a fonte de atritos intraorganizacionais e operacionais. 

Uma convergência de soluções tecnológicas

Vários produtos se traduzem em custos mais altos, mais complexidade e a necessidade de talentos qualificados, o que é insustentável para muitas organizações. O papel fundamental da proteção de aplicações Web e APIs no mundo empresarial global de hoje, em meio a ataques em evolução que vão de ataques à lógica de negócios de apps da Web até abuso de API e DDoS, requer segurança holística e extensível que você pode realmente usar. Na Akamai, nossa missão focada no cliente é maximizar o valor com aplicações onipresentes e poderosas e segurança de API automatizada e simples.

"Quando você está trabalhando em uma plataforma amplamente distribuída e depende muito das APIs, a segurança é um grande problema. Por isso, optamos pela proteção de edge da Akamai." – Analista de software, setor de serviços. Fonte: Gartner Peer Insights, 16 de julho de 2021.

Por vários anos consecutivos, empresas globais de análise do setor e clientes reconheceram a Akamai como fornecedora líder em segurança de aplicações e API.Como tal, estamos empolgados para revelar nossa solução WAAP (Web Application and API Protection, proteção de aplicações Web e APIs) de nível superior, projetada para reunir, em uma única solução, muitas de nossas principais tecnologias, como Web Application Firewall, mitigação de bots, segurança de API e proteção contra DDoS.

Introdução Akamai App & API Protector

Desenvolvido pelo novo mecanismo de segurança adaptável da Akamai, ele oferece uma abordagem moderna para proteger propriedades inteiras da Web e da API.

Mais proteções prontas para uso 

O App & API Protector fornece um conjunto holístico de proteções avançadas projetadas para gerar os mais altos resultados de segurança. Diferentemente das soluções que oferecem segurança "boa o suficiente", a simplicidade do App & API Protector contradiz algumas das tecnologias mais avançadas e sofisticadas. Não é nenhuma surpresa que mais de 92% dos clientes da Akamai usam nossos controles de segurança de aplicações e APIs no modo de negação.

  • Detecte até duas vezes mais ataques com uma redução de cinco vezes em falso-positivos: as novas detecções adaptáveis multidimensionais baseadas em ameaças combinam a inteligência de plataforma da Akamai com dados/metadados de cada solicitação da Web e de API. Esses dados são acionados com uma lógica de tomada de decisão que identifica e interrompe ataques com precisão cirúrgica. As detecções adaptáveis mostraram um aumento de até quatro vezes no número médio de ataques identificados em SQLi, XSS, RFI e CMDi, com uma redução de mais de cinco vezes em falso-positivos para máxima proteção, sem impactos para os usuários. 

  • Reduza sua área de superfície de risco de API com descoberta e segurança automáticas. Analise o tráfego de forma automática e contínua para descobrir APIs conhecidas, desconhecidas e em mudança, incluindo seus pontos de extremidade, definições e caraterísticas. Em seguida, use um fluxo de trabalho simples para proteger APIs contra ataques DDoS, de injeção e de credential stuffing. Cada solicitação de API é automaticamente inspecionada quanto a códigos mal-intencionados, independentemente de você optar por aplicar controles de segurança positivos. O relatório 2021 Critical Capabilities for Cloud Web Application and API Protection do Gartner concedeu à Akamai a melhor classificação entre todos os concorrentes para o caso de uso de segurança de API e DevOps. 

  • Identifique e impeça bots ruins. Detecte e mitigue bots indesejados com recursos de visibilidade e mitigação de bots incorporados diretamente no App & API Protector. As detecções de bots da Akamai serão automaticamente dimensionadas à medida que o tráfego de bots continuar a constituir uma porcentagem maior do tráfego geral, protegendo seus negócios conforme eles crescem. Ganhe visibilidade para entender o impacto dos bots nas propriedades digitais e bloqueie bots ruins quando necessário. Diferentemente de outras soluções, a Akamai tem tecnologia de bots líder do setor com um amplo diretório de mais de 1.500 bots conhecidos, permitindo que você crie suas próprias definições de bots e monitore e mitigue ataques de bots proativamente. 

Figura 1: Recursos de visibilidade e mitigação de bots incluídos no App & API Protector Figura 1: Recursos de visibilidade e mitigação de bots incluídos no App & API Protector

Mais inteligente e mais forte com automação

Os produtos que são difíceis de usar apresentam risco e sobrecarga operacional. É por isso que projetamos o App & API Protector com o máximo de automação possível para aliviar e simplificar as tarefas diárias e reservar o que requer análise humana para os humanos. A automação não é apenas um benefício único que se degrada ao longo do tempo, ela continua melhorando e evoluindo à medida que a Akamai lança inovações.

  • Autoajuste para reduzir a demanda de sua equipe: todos os acionadores de segurança (incluindo ataques verdadeiros e aqueles identificados incorretamente como ataques) são analisados de forma automática e contínua com aprendizado de máquina e recomendações de ajuste política por política. Você pode receber alertas quando novas recomendações estiverem disponíveis e aceitá-las facilmente com apenas um clique através da interface do usuário ou automatizá-las com APIs, a interface de linha de comando (CLI) ou o provedor Terraform.

  • Os pesquisadores de segurança da Akamai atualizam automaticamente as proteções: implemente uma abordagem totalmente prática à segurança de aplicações e APIs com proteções adaptáveis completamente gerenciadas pela Akamai. Mais de 330 pesquisadores de segurança de classe mundial usam técnicas avançadas de aprendizado de máquina e mineração de dados para analisar continuamente mais de 300 TB de dados de ataques diários e atualizar automaticamente as proteções contra as ameaças mais recentes.

  • Integração de DevOps que acompanha os negócios: integre-se às APIs da Akamai usando a CLI, o Terraform ou scripts da Akamai em seu pipeline de automação de CI/CD. Permite rápida integração de aplicações, cria um gerenciamento uniforme de políticas de segurança em grandes portfólios de aplicações e APIs, centraliza a aplicação da segurança em infraestruturas híbridas e multinuvem e melhora a colaboração entre as equipes de DevOps e segurança em um fluxo de trabalho do GitOps para oferecer cobertura ideal com o objetivo de garantir a segurança que acompanha o ritmo acelerado de desenvolvimento de hoje.

Figura 2: exemplo de código HCL para gerenciar nomes de host protegidos pelo App & API Protector usando o Terraform Figura 2: exemplo de código HCL para gerenciar nomes de host protegidos pelo App & API Protector usando o Terraform

"Simples é melhor do que complexo", Zen of Python

Com uma lição sobre simplicidade proporcionada pelos desenvolvedores, as organizações também precisam repensar como sua solução WAAP não apenas proporciona proteções mais fortes, mas também agrega valor com facilidade de uso. Esse fluxo de trabalho mais fácil, em última análise, ajudará a reduzir os riscos e fornecerá uma percepção contextual melhor para permitir uma compreensão melhor do cenário de ameaças virtuais. O App & API Protector, que substituirá o Kona Site Defender e o Web Application Protector, foi projetado com uma mentalidade que "prioriza a simplicidade" para ajudar os líderes a tomar decisões baseadas em risco mais bem fundamentadas em tempo real e realizar atividades de missão crítica sem sofrer de paralisia operacional. Desenvolvido especificamente para as aplicações e APIs modernas atuais, ele conta com flexibilidade de configuração e automação e direitos de camada livre para otimização de imagem e vídeo, aceleração de API e Edge Computing, não apenas para operacionalizar a segurança WAAP, mas também para impulsionar a velocidade de desenvolvimento.

Potente, automatizado e simples. Para saber mais sobre o App & API Protector, baixe o resumo do produto ou fale com seu representante da Akamai hoje mesmo.

Gartner, Critical Capabilities for Cloud Web Application and API Protection, Watts, Hils, D’Hoinne, and Handa, 20 de setembro de 2021

O Gartner não recomenda fornecedores, produtos nem serviços retratados em suas publicações de pesquisa, bem como não aconselha que usuários de tecnologias escolham somente fornecedores com as classificações mais altas ou outras designações. As publicações de pesquisas do Gartner consistem em opiniões das organizações de pesquisas do Gartner e não devem ser interpretadas como declarações de fatos. O Gartner se isenta de todas as garantias, expressas ou implícitas, com relação a esta pesquisa, abrangendo quaisquer garantias de comerciabilidade ou adequação para uma finalidade específica.



Written by

Charles Choe

November 08, 2021

Charles Choe is a Senior Product Marketing Manager at Akamai Technologies. He brings more than fourteen years of product management and technical marketing experience. He writes about market trends, industry challenges, and solutions in the areas of web application, infrastructure, and API security.