Uno studio rileva che i team addetti alla sicurezza avvertono le conseguenze delle crescenti minacce alle API
Secondo il sondaggio 2024 API Security Impact Studycondotto da Akamai, gli episodi di abuso delle API stanno aumentando ad una velocità allarmante. Dal sondaggio, condotto su oltre 1200 professionisti della sicurezza e IT, è emerso che l'84% degli intervistati ha segnalato di aver subito un problema di sicurezza relativo alle API negli ultimi 12 mesi, passando da una percentuale del 78% registrata lo scorso anno. Nel frattempo, stanno diventando chiari gli effetti sulle organizzazioni, tra cui l'incremento dei costi di mitigazione e l'aumento dei livelli di stress.
Man mano che aumentano i problemi legati alle API, le organizzazioni si impegnano nell'intento di ottenere visibilità sui rischi
Non sorprende il fatto che i problemi di sicurezza delle API siano aumentati. Guardiamo alla situazione in questo modo: come i dipendenti di qualsiasi azienda, le API hanno un compito da svolgere, che consiste nello scambiare rapidamente i dati tra le tecnologie digitali. Questo lavoro è fondamentale: le API consentono a clienti e partner di ottenere i servizi di cui hanno bisogno. Tuttavia, questo lavoro è anche molto rischioso perché, a differenza dei dipendenti di un'azienda, le API gestiscono dati sensibili con una supervisione minima, se non addirittura nulla.
Molte API sono nascoste perché sono state create all'insaputa del reparto IT centrale di un'organizzazione e, frequentemente, non vengono rilevate dai tradizionali strumenti di sicurezza. I team addetti alla sicurezza, spesso, mancano di visibilità sui rischi anche per le API di cui possono essere a conoscenza.
È impossibile proteggere ciò che non si vede
Dal rapporto 2024 API Security Impact Study, è emerso che solo il 27% degli intervistati che ritengono di disporre di un inventario completo delle API conosce quali API restituiscono dati sensibili, con un calo dalla percentuale registrata l'anno scorso, pari al 40% Inoltre, si sono osservate incoerenze tra i ruoli: mentre il 43% dei CIO intervistati ritiene di sapere quali API restituiscono dati sensibili, solo il 17% dei CISO è d'accordo con questa opinione.
È impossibile proteggersi da ciò che non si vede. Questa mancanza di visibilità è preoccupante se si considera che:
sono stati registrati 108 miliardi di attacchi alle API da gennaio 2023 a giugno 2024, secondo un recente rapporto sullo stato di Internet (SOTI) di Akamai
Anche la violazione di una sola API può condurre al furto di considerevoli quantità di dati, causando danni al fatturato e sanzioni normative
L'impatto materiale causato dagli attacchi alle API aziendali
Gli intervistati del nostro studio (dai CISO al personale dei reparti AppSec) hanno fornito una stima dell'impatto finanziario complessivo causato dai problemi delle API, dai costi di mitigazione alle spese legali. In media, le aziende che hanno subito attacchi alla sicurezza delle API negli ultimi 12 mesi hanno riferito di aver sopportato un costo di 591.404 dollari.
Inoltre, gli intervistati hanno condiviso le principali conseguenze dei problemi di sicurezza delle API, secondo la loro opinione.
Cosa ci dicono i risultati di questo studio? Ogni forma di attacco desta inevitabilmente preoccupazione, tuttavia, c'è un particolare tipo di stress che deriva dal fatto di dover gestire un vettore di attacco che ci sembra di non conoscere. Molte organizzazioni stanno cercando di tenersi al passo con le complessità dei rischi per le API.. Inoltre, la pressione derivante dalle conseguenze di un attacco alle API aumenta ancor più quando i dirigenti chiedono la seguente domanda: "Come è successo?".
Le aziende esaminano le cause degli attacchi alle API maggiormente consapevoli dei loro rischi
Fortunatamente, i team addetti alla sicurezza hanno perlopiù acquisito una maggiore consapevolezza del modo con cui si verificano gli attacchi alle API. La maggior parte di essi sono, inoltre, consapevoli che gli strumenti comunemente usati per proteggere le API non sono più adeguati. Gli intervistati hanno citato le principali cause dei problemi delle API che hanno riscontrato in una combinazione dei seguenti aspetti:
Strumenti non progettati per vedere o proteggere un gran numero di API non gestite e, pertanto, per individuare eventuali problemi al di fuori della loro visibilità limitata
- Vulnerabilità riportate nell'elenco OWASP (Open Web Application Security Project) con i 10 principali rischi per la sicurezza delle API, come errori di codifica causati dalla fretta e mancanza di controlli di autenticazione
Le quattro aree su cui si focalizzano le organizzazioni che cercano di proteggere le loro API
Le odierne minacce alle API richiedono l'adozione di strategie e soluzioni basate sulle seguenti quattro aree principali:
Individuazione delle API
Gestione dei sistemi
Protezione del runtime
Esecuzione di test sulla sicurezza
Individuazione delle API
Aumentate la visibilità: fate luce sulle API ombra, specialmente quelle che, spesso, risultano non gestite con un accesso non controllato ai dati. Cercate strumenti che prevedono un approccio automatizzato all' individuazione delle API. Analizzate i rischi delle API e documentateli in un inventario completo.
Gestione dei sistemi
Rafforzate la strategia di sicurezza: fate chiarezza sui comportamenti normali delle API rispetto a quelli insoliti, ottenendo una maggiore visibilità sui tipi di avviso più comuni, che consentono alle organizzazioni di rilevare in modo proattivo i segnali indicatori di un attacco. Utilizzate le informazioni disponibili per ridurre i rischi, impostare le priorità e rafforzare la strategia di sicurezza delle API.
Protezione del runtime
Migliorate la visibilità e la protezione in fase di runtime integrando una soluzione completa per la sicurezza delle API con una suite esistente di prodotti (ad es., con una soluzione WAF (Web Application Firewall) o con strumenti per la sicurezza di applicazioni web e API ) per consentire di individuare i comportamenti molto rischiosi e di bloccare il traffico sospetto prima che possa accedere alle risorse critiche.
Esecuzione di test sulla sicurezza
Eseguite i test in modo tempestivo e continuo adottando un approccio Shift-Left che inserisce i test sulla sicurezza nelle fasi di sviluppo delle API. Eseguite i test delle API per verificare se sono codificate correttamente per eseguire le loro funzioni, se sono esposte a rischi e se risultano vulnerabili a metodi di attacco comuni ed emergenti.
Considerazioni finali: consapevoli dell'impatto per intraprendere le azioni appropriate
Pensiamo ai dati emersi in questo studio non come eccezionali o discordanti, ma come punto di partenza per conversazioni importanti. Man mano che aumentano i problemi di sicurezza delle API, il disagio avvertito dai CISO e dai loro team è palpabile. Il controllo dei dirigenti aziendali nei confronti dei team addetti alla sicurezza per garantire la protezione dagli attacchi alle API può risultare stressante per chiunque.
Garantite ai vostri team una formazione continua sulla sicurezza delle API. Acquisite le informazioni necessarie leggendo questo nuovo rapporto importante.