一文解鎖Dan Hotels化解API安全風(fēng)險(xiǎn)的四大“核心策略”！

旅行已成為當(dāng)代人生活的重要組成部分，隨著人們對(duì)住宿品質(zhì)要求的持續(xù)提升，在預(yù)定酒店前，游客通常會(huì)通過(guò)大型旅游網(wǎng)站、旅行社等渠道查詢關(guān)于酒店的各類(lèi)信息。

因此，Dan Hotels等很多連鎖酒店都會(huì)集成多種API，支持內(nèi)部商業(yè)系統(tǒng)的同時(shí)，又能與Expedia和Booking.com等大型旅游網(wǎng)站、在線旅行社（OTA）以及其他各家供應(yīng)商和小型代理商合作搭建更多外部API。

API搭建雖然給Dan Hotels業(yè)務(wù)發(fā)展帶來(lái)了更多可能，但隨著API多樣性和復(fù)雜性的增加，若無(wú)法對(duì)搭建的外部API進(jìn)行實(shí)時(shí)監(jiān)控，全面掌握API的運(yùn)行狀況，則可能成為惡意攻擊者竊取企業(yè)敏感信息的一把“利刃”。

關(guān)于Dan Hotels

Dan Hotels是一家總部位于中東地區(qū)的豪華連鎖酒店，在中東地區(qū)和印度擁有18家酒店，管理的客房數(shù)量超過(guò)4000間。此外，該公司還在機(jī)場(chǎng)休息室和配餐中心等提供其他各種餐飲服務(wù)。

尋根溯源，直面API安全挑戰(zhàn)

Dan Hotels業(yè)務(wù)遍及不同國(guó)家，與合作伙伴共同搭建的API數(shù)量持續(xù)增加，目前主要集中部署于Silverbyte財(cái)產(chǎn)管理平臺(tái)上，但API搭建后，Dan Hotels的技術(shù)團(tuán)隊(duì)無(wú)法掌握每個(gè)API接口的訪問(wèn)和交互的具體方式；難以實(shí)時(shí)掌握每個(gè)API接口的運(yùn)行和傳輸情況；更不能確認(rèn)API接口是否存在濫用或被攻擊的風(fēng)險(xiǎn)。

當(dāng)Dan Hotels得知兩家旅游渠道伙伴被入侵后，安全團(tuán)隊(duì)意識(shí)到，他們需要主動(dòng)出擊，尋找一種更安全的API解決方案，優(yōu)化對(duì)各類(lèi)API的管理，提升系統(tǒng)的安全性，應(yīng)對(duì)當(dāng)下面臨的挑戰(zhàn)：

·系統(tǒng)的防護(hù)能力不足，安全風(fēng)險(xiǎn)較高

·阻止來(lái)自合作伙伴不同形式的API濫用

·技術(shù)團(tuán)隊(duì)工作壓力大，手動(dòng)工作繁多

突破求變，構(gòu)筑更可靠的網(wǎng)絡(luò)安全防線

Dan Hotels在與合作伙伴共同調(diào)查入侵事件的過(guò)程中，他們更迫切地想部署一套更復(fù)雜、更主動(dòng)的API安全功能。Dan Hotels安全團(tuán)隊(duì)，經(jīng)過(guò)對(duì)技術(shù)、性價(jià)比等多方對(duì)比，綜合內(nèi)外部API管理需求，最終選擇了Akamai API Security的軟件即服務(wù)（SaaS）模式。

效能上，Akamai API Security平臺(tái)可全天候洞察API威脅，幫助Dan Hotels安全團(tuán)隊(duì)全面掌握企業(yè)API資產(chǎn)狀態(tài)；該平臺(tái)內(nèi)置的隱私保護(hù)功能，也能標(biāo)記敏感數(shù)據(jù)；同時(shí)，它還能根據(jù)條件制定響應(yīng)策略，消除了Dan Hotels常見(jiàn)的安全盲點(diǎn)。

高效集成，

提升Dan Hotels系統(tǒng)“安全系數(shù)”

Akamai API Security集成非常簡(jiǎn)單，既不會(huì)因處理新任務(wù)而增加工作負(fù)荷，也不會(huì)給日常運(yùn)營(yíng)帶來(lái)任何干擾。Dan Hotels僅用了幾個(gè)小時(shí)，就完成初步實(shí)施。系統(tǒng)正式啟動(dòng)后，Akamai API Security團(tuán)隊(duì)與Dan Hotels團(tuán)隊(duì)合作對(duì)數(shù)據(jù)源和配置進(jìn)行了優(yōu)化，不僅滿足了Dan Hotels檢測(cè)API濫用等需求，還為Dan Hotels提供了更全面的網(wǎng)絡(luò)安全服務(wù)。

一目了然，一切API運(yùn)行盡在掌控中

“Akamai API Security擁有異常檢測(cè)和威脅搜尋能力，可將我們降低風(fēng)險(xiǎn)所需的所有見(jiàn)解集中于一處，為我們的企業(yè)帶來(lái)重要價(jià)值。

——Dan Hotels信息系統(tǒng)副總裁

Yossi Gabay

整體而言，Akamai API Security則能對(duì)實(shí)時(shí)監(jiān)測(cè)的每個(gè)API進(jìn)行風(fēng)險(xiǎn)審計(jì)，識(shí)別常見(jiàn)漏洞，并通過(guò)執(zhí)行行為分析檢測(cè)，在快速增長(zhǎng)的攻擊面中，洞察實(shí)時(shí)威脅和邏輯濫用，降低對(duì)象級(jí)授權(quán)以及錯(cuò)誤配置等重大API安全風(fēng)險(xiǎn)發(fā)生的可能，全力保護(hù)企業(yè)API安全。