Akamai 加大对 API Security 的投资力度
我们已于 6 月 24 日完成对 Noname Security 的收购,并很高兴能分享推进 API 保护的后续计划。Noname Security 是市场主流 API 安全供应商之一,此次收购将加速我们的能力升级,从而更好地满足不断增长的客户与市场需求。
具体而言,Akamai 将能够使情报扩展到 API 流量位置,并满足客户在业务、集成或部署方面的任何需求。
我们正在将 Noname API Security 与 Akamai API Security 中最出色的功能整合在一起,打造一款统一的产品:Akamai API Security。
为什么说 API 安全性极其重要
API 的使用呈爆炸式增长。API 为这个世界的发展提供了强大推动力,也让我们的体验得到了增强。当我们每天使用自己的设备时,我们常用的应用程序都在与多个 API 进行通信,以完成从社交媒体、购物、银行到查看孩子情况的一切事情。在家办公时,我们也会使用 API 与公司的应用程序和服务进行通信。
在数字化转型、移动和物联网 (IoT) 的采用以及开放银行等商业举措的推动下,API 几乎用在了全球所有垂直行业中。API 在 B2B 和 B2C 领域得到广泛应用,推动整个行业实现快速业务增长。几乎所有编写现代应用程序的企业都使用 API 来为这些应用程序提供支持,并实现跨企业的服务集成。
API 对攻击者极具诱惑力
因此,API 成为了对攻击者极具诱惑力的目标之一。Akamai 研究数据显示,API 攻击正在以年同比 109% 的速度增长。在一份 2023 年的报告中,78% 的客户表示自己在过去 12 个月内遭遇过一次 API 相关安全事件。API 安全性的优先级别正在日益提高,而 Akamai 正在加大对客户 API 保护产品的投资。
Akamai 收购 Noname Security 之后,客户对 Akamai API Security 的需求在本已非常惊人的 200% 增长率基础之上将进一步加速。Akamai 和 Noname 都是该领域公认的领军企业,此次收购将使我们的能力得到进一步增强,帮助我们成为 API 安全性赛道的领跑者。
为什么说仅有 WAAP 解决方案还不足够
网络应用程序和 API 保护 (WAAP) 平台发挥着重要的作用,有助于保护 Web 应用程序和 API 免受各类攻击,例如 OWASP 10 大 API 安全风险中所列攻击。但是,它们并不能完全解决问题。
其他一些供应商可能会说服您相信 WAAP 可以解决所有类型的 API 攻击,但现实是,大多数 WAAP 解决方案无法提供抵御攻击(尤其是滥用攻击)所需的监测能力和 API 安全性深度。这是因为 WAAP 解决方案缺乏上下文感知能力,无法理解 API 请求和响应之间的完整对话。
Web 应用程序和 API 并不相同
这并不让人意外,因为 API 的运行方式与 Web 应用程序有所不同。在 Web 应用程序中,其背后的业务逻辑是隐藏起来的,但 API 的业务逻辑则可能会在互联网上直接公布,这样就容易被滥用。相关案例曾在 TechCrunch 于 2024 年 5 月发布的一篇文章中有所阐述。WAAP 平台无法抵御这一类型的攻击。
基于这一原因,再加上其他因素的推动,Akamai 对 API 安全解决方案进行了重要投资,并借最近这次收购的东风,继续促进更具创新性的 API 保护发展。
Akamai API Security 可以解决多个关键问题
Akamai API Security 可以解决《开放全球应用程序安全项目 (OWASP) 十大 API 安全风险》中所列许多类型的攻击,这些攻击会导致收入损失、信誉下降、信息泄露和不合规。
我们的 API Security 解决方案可以解决多个方面的关键问题,包括 API 安全状况监测能力、检测和阻止威胁与异常,以及主动测试 API。
API 安全状况监测能力
就像老话所说:您无法保护看不见的资产。许多公司并不清楚自己真正有多少个 API,也就很难量化风险。Akamai API Security 首先会清点客户拥有的 API 总数,不仅识别已知且活跃的 API,还能全面摸排未知或隐蔽的遗留、影子或恶意 API。Noname Security 的数据表明,他们的 API Security 平台客户在各自环境中发现的 API 数量比最初预期数量平均高出 40%。
检测和阻止威胁和异常
API Security 利用机器学习技术检测并识别各类 API 漏洞和滥用行为,包括数据篡改、数据泄露、配置错误、策略违规、行为异常以及直接遭受的 API 安全攻击。
主动检测 API
左移测试是应用程序开发的一个关键组成部分,可以从一开始就提升安全性。但迄今为止,仍然无法对正在开发中的 API 进行测试。有了 API Security,我们就可以将 API 测试纳入到 CI/CD 管道中,从而确保在将 API 投入生产之前解决问题。
Noname 创造的附加价值
随着 API 安全领域市场领导者之一 Noname Security 的加入,Akamai API Security 为客户提供的安全防护范围将迅速得到扩展。凭借 Noname 广泛的集成和部署选项,我们现在能够提供覆盖整个供应商环境的支持。
无论企业使用的是云端、边缘原生、本地还是其他供应商平台,Akamai API Security 都能确保 API 环境的安全。随着 Noname 解决方案的加入,Akamai 将具备所需触达范围与服务覆盖面,为各类环境中的客户提供全面的 API 防护。
同样,我们很高兴能够增加:
灵活的部署功能——跨云托管、自托管、混合型和分布式实例快速完成部署
关键企业功能——包括基于角色的访问控制、自助配置、CI/CD 集成、仪表板及高级自动响应
避免数据边界难题——对攻击内存的数据进行分析,确保您的数据绝对不会流出您的环境
更多集成选项——提供业界最全面的集成选项,覆盖 NGINX、AWS、Azure、F5、Apigee、MuleSoft、GCP 等等。鉴于客户部署安全产品时,最担心的便是与现有技术的集成,这一解决方案恰好可以确保实现全面覆盖
强大的 API 测试功能——集中力量查找和修补软件开发生命周期的开发阶段 CI/CD 管道中的 API 安全漏洞,在攻击者利用它们发起攻击之前将其消除
集所有优势功能于一身的产品
如前所述,我们的计划是将当前的 API 安全创新与 Noname 安全解决方案结合在一起。统一后的解决方案将为所有环境中的客户提供全面的 API 保护。
在集成过程中,我们将重点关注三个方面:
从 Akamai 边缘网络发起的连接
与 App API Protector 建立的连接
威胁情报
从 Akamai 边缘平台发起的连接
Akamai 运营的专用网络规模在全球范围内都不遑多让。我们的大多数服务都在该平台上交付,包括我们市场领先的安全服务(例如,App 和 API Protector 以及 Prolexic DDoS Protection)、内容交付网络 (CDN),以及公有云服务。我们的企业客户对直接在平台上使用服务的便利性深表赞赏,因此我们会将 Noname 集成到我们的网络中以方便部署。预计此次集成将在收购完成后的三周内推进完毕。
与 App API Protector 建立的连接
App & API Protector 是业界领先的 WAAP 平台,在 Gartner® Peer Insights™ 和其他分析师评审中连续 5 年荣获 2024 年云端 WAAP 领域的“客户之选”称号。这一连接将使 Noname 生成的行为情报能够在 App & API Protector 中触发 WAAP 规则,从而自动阻止连接。
威胁情报
Akamai 每天都会收集并分析超过 788 TB 的数据。所有这些数据都由大量攻击生成,主要涉及到我们所服务的企业客户群体(我们每个季度观察到的 Web 攻击量超过了 120 亿次)。我们有超过 200 位安全研究人员对这些数据进行处理,为我们提供了极为精准的威胁情报。如同其他所有产品一样,我们还准备将这一数据源集成到 Akamai API Security 之中。
了解更多
我们对 Akamai API Security 的未来非常乐观,并且相信我们有能力为客户提供全面保护。 联系我们以详细了解我们将如何助力满足您的 API 安全需求。