L'adozione di soluzioni complete per la sicurezza delle API non è sufficiente
Secondo una recente ricerca condotta dal SANS Institute, nonostante l'aumento del numero di minacce che prendono di mira applicazioni e API, la maggior parte delle aziende ancora non utilizza controlli specifici per le API in grado di offrire una copertura diffusa.
Una notevole assenza di strumenti per i test della sicurezza delle API
Il sondaggio SANS 2023 sulla sicurezza delle API ha rilevato che meno del 50% degli intervistati dispone di strumenti per testare la sicurezza delle API . La percentuale si riduce ulteriormente (29%) per coloro che dispongono di strumenti di individuazione delle API. In aggiunta, il rapporto segnala che l'impiego dei controlli di sicurezza delle API inclusi nei servizi di mitigazioneDDoS) e di bilanciamento del carico non è "sfruttato in maniera ottimale ed efficace": solo il 29% degli intervistati ha dichiarato di utilizzare queste funzioni.
Si tratta di una tendenza preoccupante, considerando l'aumento degli attacchi. Come è stato segnalato da Akamai nel suo recente rapporto sullo stato di Internet, dal titolo Sfruttare le falle nella sicurezza: Ia crescita degli attacchi alle applicazioni e alle API, l 2022 è stato un anno record per gli attacchi alle applicazioni e alle API. Forse la mancata adozione di strumenti per le API con copertura completa non dovrebbe sorprendere, considerando quelli che, secondo i partecipanti al sondaggio SANS, sono i rischi maggiori per le loro organizzazioni.
Il rapporto, pubblicato a luglio 2023, è basato su un sondaggio condotto su 231 intervistati, la maggior parte dagli Stati Uniti. Il 78% degli intervistati ricopre attualmente un ruolo nella sicurezza delle applicazioni, con un altro 15% che verrà coinvolto in futuro.
I rischi per le API non vengono presi in grande considerazione
Quando è stato chiesto loro di valutare i principali tre rischi per la loro organizzazioni, gli intervistati hanno citato con più frequenza "Attacchi di phishing per ottenere credenziali riutilizzabili", seguiti da "Criminali che sfruttano le match mancanti" e "Criminali che sfruttano applicazioni/API vulnerabili". Ultimi in questa classifica sono i rischi correlati a "Server/servizi configurati in modo errato". È chiaro che, sebbene le aziende comprendano quali siano i rischi per le API, non danno la priorità ad investimenti in tal senso.
Controlli e processi di sicurezza multipli
"Il rilevamento, la valutazione e la mitigazione dei rischi per le API rappresentano un problema complesso che richiede più controlli e processi di sicurezza, al fine di garantire una copertura completa", scrive nel rapporto John Pescatore, ha affermato John Pescatore, Director of Emerging Security Trends del SANS Institute. "Gli strumenti a livello di applicazione già ampiamente in uso possono offrire una copertura parziale. I controlli specifici per la sicurezza delle API, in grado di offrire una copertura completa, non sono ancora molto diffusi."
Comprendere in che modo le API vengono eseguite (e quante ne vengono eseguite)
Il rapporto SANS suggerisce anche che le aziende non stanno facendo molto neanche per comprendere quante API sono in esecuzione nel loro ambiente. Più di due terzi degli intervistati stima che l'accuratezza del loro inventario delle API in esecuzione in produzione sia al di sotto del 75%.
Per anni le aziende hanno lottato per ottenere un inventario accurato delle risorse, tra cui reti, computer e applicazioni. Devono prestare più attenzione e capire in che modo le API vengono eseguite (e quante ne vengono eseguite). Il rapporto afferma: "... dal momento che le API vulnerabili stanno diventando il più comune punto di accesso per gli attacchi, deve aumentare l'accuratezza dell'inventario delle API e bisogna eseguire il rilevamento con maggiore frequenza".
Gli acquirenti cercano più direzioni per la sicurezza delle API
C'è stato poco consenso sull'acquisto di nuovi strumenti per colmare alcune di queste lacune di sicurezza delle API. Quando agli intervistati è stato chiesto quali soluzioni, non ancora in uso, la loro azienda ha intenzione di implementazione nei prossimi due anni, le risposte hanno incluso un'ampia varietà di opzioni:
- Secure Web Gateway (14%)
- Test dinamico delle vulnerabilità delle applicazioni (13%)
- Web Application Firewall (13%)
- Funzioni per la sicurezza di app/API all'interno delle reti per la distribuzione dei contenuti (13%)
- Test di sicurezza delle API (12%)
- Rilevamento delle API (10%)
Con gli acquirenti che cercano tante soluzioni diverse per la sicurezza di applicazioni e API, i fornitori come Akamai, che possono offrire soluzioni complete, diventano ancora più convincenti. Le aziende vengono vantaggi significativi se possono accedere alla gestione dei bot, alle soluzioni WAF (Web Application Firewall) e ad altri requisiti da un fornitore che vanta anche una robusta organizzazione di servizi che coprono più discipline.
Tecnologia avanzata di rilevamento e risposta alle minacce
D'altronde, l'emergenza di una nuova tecnologia che utilizzi un rilevamento e una risposta avanzate (XDR) per fornire visibilità nell'attività delle API, determinare la strategia riguardo ai rischi e comprendere il comportamento normale e di abuso per bloccare le minacce, rappresenta significativi vantaggi per la protezione delle API.
La recente acquisizione di Neosec da parte di Akamai incoraggia questa tendenza. Ora le aziende possono ottenere livelli di analisi del comportamento delle API senza precedenti, combinando l'analisi di (almeno) 30 giorni dell'attività delle API con la visibilità offerta dalla rete di distribuzione dei contenuti di Akamai.
I risultati del sondaggio SANS forniscono anche un interessante background quando si esamina il nuovo elenco OWASP (Open Web Application Security Project) con le 10 principali vulnerabilità per la sicurezza delle API, che aggiunge all'elenco ulteriori rischi, inclusi il consumo di risorse senza limitazioni e l'utilizzo delle API non sicuro.
Accordo sui framework
Parlando di OWASP: Il sondaggio suggeriva un certo accordo sui framework che i professionisti della sicurezza considerano preziosi. Oltre metà degli intervistati ha citato i 10 principali rischi OWASP per la sicurezza delle applicazioni Web (55%), il framework MITRE ATT&CK (55%) e l' elenco OWASP (Open Web Application Security Project) con le 10 principali vulnerabilità per la sicurezza delle API (52%) come i metodi che utilizzano per definire i rischi per le applicazioni/API. Il sistema CSA (Cloud Security Alliance) (40%) e il Center for Internet Security Critical Security Controls (33%) completano i primi cinque posti.
La formazione sulla sicurezza per gli sviluppatori resta una priorità
Il rapporto segnala che, in generale, le aziende restano incentrate sul fornire formazione sulla sicurezza ai loro sviluppatori: Più del 75% delle organizzazioni ha dichiarato di fornire formazione sulla sicurezza al personale di sviluppo. D'altro canto, però, il rapporto segnala che più del 70% degli intervistati ha dichiarato di fornire formazione sulla sicurezza delle applicazioni ad almeno il 25% del personale addetto alla sicurezza.
Visibilità e difesa
Akamai App & API Protector offre una soluzione per la sicurezza di app e API per la protezione WAF (Web Application Firewall), la gestione dei bot, la sicurezza delle API e la protezione dagli attacchi DDoS, dando alle aziende visibilità sulle minacce nel loro ambiente, oltre a una forte difesa. Identifica rapidamente le vulnerabilità e mitiga le minacce nell'intero patrimonio web e API, anche per le architetture distribuite più complesse.
