Cose da fare e da non fare per l'attuale sicurezza delle API
Molti responsabili della sicurezza si trovano a dover affrontare una tempesta perfetta quando si tratta di sicurezza delle API. Sebbene le API non siano nuove, negli ultimi anni hanno assunto un'importanza strategica decisamente maggiore per i seguenti fattori:
Gli utenti interagiscono con le applicazioni attraverso un set sempre più diversificato di interfacce utente e dispositivi, spesso abilitato da un set condiviso di API.
Le pratiche DevOps e altri processi aziendali in rapida evoluzione si affidano alle API per promuovere l'automazione.
Le integrazioni API tra i partner aziendali sono l'unico modo per soddisfare le aspettative dei clienti, offrendo esperienze online veloci e fluide.
Sviluppi del settore come l'IoT (Internet of Things) aumentano, in maniera esponenziale, il numero di dispositivi connessi che le aziende devono gestire in modo programmatico tramite le API.
API: fattore strategico e potenziale vulnerabilità
Questi sviluppi del settore sono avvenuti nel corso di molti anni sotto gli occhi di tutti. Tuttavia, molti leader della sicurezza si stanno rendendo conto solo ora che le API sono sia un fattore strategico che una possibile vulnerabilità in quasi tutte le loro funzioni aziendali critiche.
Riconoscere la necessità di un approccio strategico alla sicurezza delle API è un primo passo importante, ma predisporre la giusta protezione può sembrare un processo complesso. In primo luogo, le API sono dei bersagli in costante movimento. Vengono modificate in continuazione e i relativi processi di governance sono spesso incoerenti, se presenti.
Minacce alle API rispetto alle tradizionali minacce alla sicurezza
Le minacce alle API sono piuttosto diverse dalle tradizionali minacce alla sicurezza. Vulnerabilità tecniche e configurazioni errate, come quelle incluse nell'elenco OWASP con le 10 principali vulnerabilità per la sicurezza delle API, mostrano qualche somiglianza con i vettori di attacco che i team di sicurezza sono abituati a combattere. Ma le API sono anche soggette ad altri tipi di uso improprio e abusodella logica aziendale, come lo scraping aggressivo dei dati, che corrisponde a un tradizionale attacco di sicurezza.
Anche se approcciarsi alla sicurezza delle API da un punto di vista strategico non è necessariamente facile, è sicuramente possibile.
Abbiamo creato una breve guida denominata 8 cose da fare e da non fare per la sicurezza delle API che riassume alcuni dei concetti e delle best practice della nostra ricerca e del nostro engagement con alcune delle organizzazioni più sofisticate al mondo basate su API. Include alcune strategie essenziali da implementare (e le insidie da evitare) durante lo sviluppo di un approccio più sofisticato alla sicurezza delle delle API per la vostra organizzazione.
