Oltre le vulnerabilità: perché l'abuso delle API è una sfida di importanza critica

L'abuso delle API è un tipo diverso di problema

I primi tentativi di adottare un sistema strutturato per la sicurezza delle API si incentravano sulla protezione dagli attacchi in grado di sfruttare le vulnerabilità presenti nelle modalità di codifica o configurazione delle API.

L'abuso delle API, tuttavia, è un tipo diverso di problema. I criminali non sfruttano un tipo di vulnerabilità tecnica, ma utilizzano le API in modi non previsti dall'organizzazione che le ha create.

Difficile da rilevare con effetti devastanti

Gli effetti derivanti dall'abuso delle API possono essere devastanti. Dopotutto, molte organizzazioni rendono visibili la loro logica aziendale e i loro dati più importanti tramite le API. L'unica cosa che serve ad un criminale per rubare questa proprietà intellettuale è la giusta API con le giuste credenziali.

A complicare ulteriormente le cose è il fatto che l'abuso delle API è molto difficile da rilevare. Poiché i criminali utilizzano credenziali valide e interagiscono con le API in modi che sembrano simili a quelli legittimi, molti prodotti per la sicurezza delle API di prima generazione non sono in grado di rilevare un abuso delle API.

Ogni API ha il potenziale per subire un abuso

Ogni organizzazione che rende visibili le API deve prevedere che ogni API ha il potenziale per subire un abuso. Ad esempio, consideriamo i servizi e le applicazioni di online banking, gestione dei budget e pianificazione finanziaria che molti di noi usano ogni giorno. Le API sono fondamentali per farli funzionare. 

Un criminale con le credenziali a disposizione potrebbe facilmente trarre vantaggio dalla logica aziendale intrinseca e dai dati accessibili tramite queste API per scatenare questa proprietà intellettuale contro gli interessi finanziari dell'istituzione finanziaria e contro gli interessi personali del titolare del conto.

Come difendersi dalla crescente minaccia rappresentata dall'abuso delle API

Non perdete di vista le vulnerabilità delle API. Ora è più importante che mai costruire una base per la sicurezza delle API con funzioni di rilevamento, valutazione delle vulnerabilità e mitigazione. 

Tuttavia, estendere il sistema di sicurezza delle API in modo da includere la gamma complete delle minacce alle API, incluso l'abuso delle API, richiede altre tre importanti strategie: 

1. Espandere la concezione degli attacchi alle API
2. Analizzare accuratamente più dati sulle API 
3. Sfruttare le API per individuare eventuali abusi

Espandere la concezione della natura di un attacco alle API

Il nuovo elenco OWASP delle 10 principali vulnerabilità per la sicurezza delle API è un buon inizio per individuare ed eliminare le vulnerabilità delle API, tuttavia, non aiuta a comprendere l'abuso delle API. Finché non verrà delineato un framework per l'abuso delle API, è importante espandere la concezione della natura degli attacchi alle API da parte del vostro team.

Analizzare accuratamente più dati sulle API e sulle loro attività

Altre soluzioni per la sicurezza delle API si focalizzano sul monitoraggio delle singole chiamate API o, al più, delle loro sessioni a breve termine. Il problema è che, oltre a sembrare un'attività legittima, l'abuso delle API potrebbe rivelarsi dopo minuti, ore o giorni dal suo verificarsi. L'adozione di un approccio basato sulle soluzioni SaaS (Software-as-a-System) è l'unico modo per acquisire e analizzare dataset abbastanza grandi da far comprendere pienamente l'utilizzo delle API nel contesto e da individuare abusi e anomalie delle API ad attività bassa e lenta rispetto al comportamento normale.

Sfruttare le API per individuare eventuali abusi

La velocità e il volume delle attività delle API sono troppo elevati per essere monitorati e compresi attivamente dagli esseri umani. Nello stesso tempo, molte tecniche di sicurezza delle API non riescono a comprendere l'impatto aziendale di ciò che stanno osservando.

Si tratta di un'eccellente applicazione per le tecniche di apprendimento automatico e di intelligenza artificiale. Seguendo i consigli riportato in questo blog e adottando le soluzioni SaaS: Oltre a disporre di un maggior numero di dati da analizzare, potrete accedere alla potenza di elaborazione necessaria per eseguire analisi di big data.

Non saremo mai in grado di predire il futuro e anticipare completamente il prossimo modo innovativo con cui i criminali tenteranno di abusare di un'API, tuttavia, possiamo usare l'intelligenza artificiale per stabilire un comportamento standard, comprendere le entità aziendali coinvolte e individuare le anomalie che indicano un possibile abuso.

Controlli sofisticati per i rischi odierni

Persino le API perfette potrebbero essere utilizzate in modo improprio. Per identificare e mitigare i rischi per la sicurezza delle API, occorrono controlli di sicurezza abbastanza sofisticati da risolvere questo panorama di minacce complesso e in rapida evoluzione. Scoprite come la soluzione Akamai API Security può migliorare la protezione delle API.