Il riavvio gestito dall'AI per difendere meglio app web e API

Conoscere è fondamentale durante i cambiamenti. Nell'intento di condividere le nostre conoscenze, abbiamo pubblicato un nuovo rapporto sullo stato di Internet (SOTI) dal titolo Lo stato della sicurezza di app e API nel 2025: come l'AI sta cambiando lo scenario digitale. Il rapporto presenta un'analisi condotta da Akamai sulle tendenze che influiscono sulle applicazioni web e sulle API. In questo rapporto, vengono esaminati i confini di questo nuovo ambiente, spiegano come gli addetti alla sicurezza possono proteggere, nel contempo, i loro sistemi e dati più importanti.

Anche se gli attacchi sferrati contro le applicazioni web e le API sono interconnessi, non sono dipendenti tra loro. Infatti, tantissimi attacchi alle app web vengono sferrati all'esterno delle API e viceversa. Le tattiche e le metodologie di sfruttamento dipendono dalla motivazione e dall'abilità tecnica dei criminali.

• Gli attacchi alle applicazioni web prendono di mira i componenti rivolti all'utente, come le pagine di accesso disponibili al pubblico, e spesso utilizzano tecniche meno avanzate.

• Gli attacchi alle API tentano di sfruttare le vulnerabilità presenti negli endpoint delle API delle applicazioni, inclusi i collegamenti tra un sistema e l'altro, e richiedono una conoscenza più approfondita della struttura e del comportamento di ogni API.

Se gli attacchi non sono dipendenti l'uno dall'altro, non possono esserlo neanche i relativi sistemi di difesa. Le applicazioni moderne si basano sempre più sulle API per le loro funzionalità, quindi è fondamentale sviluppare strategia di cybersecurity adatte anche alle esigenze future in grado di contrastare sia gli attacchi alle applicazioni web che alle API.

Se trascurano questi aspetti, le organizzazioni possono diventare più vulnerabili agli attacchi multivettore sofisticati, che sfruttano i punti deboli presenti nel front-end e nel back-end delle applicazioni. Le funzionalità di automazione fornite dai grandi modelli linguistici (LLM) e dall'AI generativa consentono ai criminali di eseguire più facilmente una campagna di phishing o una botnet su larga scala.

L'Akamai Security Intelligence Group (SIG) è ben consapevole del fatto che il data science e la ricerca, per essere condotti in modo corretto, richiedono una rigorosa analisi degli output dei dati e un esame della provenienza dei dati non elaborati, oltre a rendersi perfettamente conto che le API sono, attualmente, il terreno di gioco preferito dai criminali. Questi due fattori ci hanno condotto all'ultima evoluzione che ha caratterizzato i dataset dei nostri rapporti (l'avanzato livello di analisi e ricerca sulle minacce per le API), da cui sono scaturiti alcuni interessanti risultati. Nel 2024:

• Gli incidenti correlati alle 10 principali vulnerabilità della sicurezza delle API riportate nell'elenco OWASP sono aumentati del 32%, mostrando falle nell'autenticazione e nell'autorizzazione che rendono vulnerabili funzionalità e dati sensibili

• Si è registrato un aumento del 30% nel numero di avvisi di sicurezza generati dal sistema MITRE perché i criminali utilizzano l'AI e l'automazione per sfruttare le API  

• Il 37% dei 116 miliardi di attacchi web registrati nell'area EMEA (Europa, Medio Oriente e Africa) ha preso di mira le API, eclissando la concentrazione riscontrata in tutte le altre aree geografiche a livello globale

Le API basate sull'AI dimostrano di essere meno sicure rispetto a quelle basate sugli utenti. Queste API sono, per la maggior parte, accessibili dall'esterno con meccanismi di autenticazione deboli e non sono state testate in modo appropriato, il che le rende più vulnerabili agli attacchi,

portando potenzialmente a conseguenze preoccupanti a seconda degli altri elementi a cui si connettono. Vi ricordate di quando alcuni criminali sono riusciti a violare l'API di un provider di firme elettroniche per inviare fatture fraudolente? Conseguenze preoccupanti, appunto.😬

Siamo ancora nella fase di conoscenza degli attacchi alle API, ma, nella realtà, si adotta un metodo di apprendimento basato sul concetto di "provare facendo". I consumatori richiedono prodotti innovativi e, in nome del profitto, l'innovazione deve essere rapida. 

La sicurezza deve necessariamente essere la fase condotta con maggiore attenzione nell'ambito di un processo di revisione del codice, il che, tuttavia, può creare più ostacoli al momento dell'immissione di un prodotto sul mercato. Sfortunatamente, per questo motivo, si riduce il numero dei test eseguiti e il codice viene sempre maggiormente creato anche senza l'esecuzione di test. 

I controlli di sicurezza sono, per loro natura, antitetici agli scopi degli sviluppatori, tuttavia, ridurre al minimo i test può condurre ad alcune situazioni tutt'altro che ideali.  

• Aumento del numero di avvisi di sicurezza: dalla nostra analisi è emerso che gli avvisi di sicurezza correlati con il PCI DSS Payment Card Industry Data Security Standard), il GDPR (General Data Protection Regulation) e l'ISO (International Organization for Standardization) 27001 sono aumentati, rispettivamente, del 16%, del 21% e del 22%.

• Difficoltà nel rilevamento degli abusi delle API: questi problemi evidenziano la necessità di monitorare le anomalie e i comportamenti in tempo reale per identificare le minacce preventivamente.

• API ombra e zombie non gestite: queste due cause principali alla base dei problemi di sicurezza delle API determinano le difficoltà riscontrate dai team addetti alla sicurezza nella gestione di inventari delle API completi.

Come abbiamo detto in precedenza, gli attacchi sferrati contro le applicazioni web e le API sono interconnessi, ma non sono dipendenti tra loro. E questo è il punto in cui sono interconnessi: dalla nostra ricerca, è emerso un notevole incremento nel numero di attacchi sferrati contro le applicazioni web e le API negli ultimi due anni a livello globale.

I problemi si sono presentati in modo diverso a seconda delle varie aree geografiche, quindi abbiamo deciso di analizzare specifici settori, aree geografiche e tendenze degli attacchi per fornire diverse informazioni sull'impatto esercitato dalle violazioni del livello 7. Tra i risultati più significativi che sono presenti nel rapporto, figurano i seguenti:

• Si è registrato un aumento del 65% nel numero di attacchi sferrati contro le applicazioni web e le API dal 1° trimestre 2023 al 4° trimestre 2024, che sono passati da 14 miliardi a più di 29 miliardi.

• Si è registrato un aumento del 94% nel numero di attacchi DDoS (Distributed Denial-of-Service) al livello 7 nello stesso periodo, in cui questi attacchi sono balzati da poco più di 500 miliardi al mese ad oltre 1100 miliardi.

• Si è registrato un aumento del 73% nel numero di attacchi web sferrati contro l'area Asia-Pacifico e il Giappone, che è passato da 29 miliardi nel 2023 a 51 miliardi nel 2024.

• L'e-commerce continua a rimanere il bersaglio principale, contro cui sono stati sferrati più di 230 miliardi di attacchi web nel 2024, quasi il triplo del secondo obiettivo più colpito, ossia il settore dell'high-tech. 

Cosa può fare un criminale utilizzando l'AI è un argomento ampiamente discusso. Quando si tratta di utilizzare i sistemi dell'AI in modo dannoso, si trova essenzialmente questo menu à la carte:

• Analisi delle vulnerabilità automatizzate ad una velocità in precedenza impensabile
• Codice dannoso generato dall'API
• Attacchi automatizzati con bot basati sull'AI
• Attacchi DDoS volumetrici automatizzati
• Attacchi basati sul comportamento (attacchi ad attività bassa e lenta che eludono il rilevamento e prendono di mira le vulnerabilità delle API più comuni)

In tal caso, l'aspetto positivo è che non solo i criminali si divertono con l'AI. L'AI aiuta anche a contrastare le minacce correlate con i nuovi sistemi WAF (Web Application Firewall) basati sull'AI per identificare e mitigare minacce informatiche come bot, attacchi DDoS, scraper e strumenti di scansione.

La conformità influisce notevolmente sul sistema complessivo di gestione dei rischi di un'organizzazione, quindi in questo rapporto SOTI abbiamo descritto anche le normative che la riguardano. Non tutte le minacce alle aziende sono di tipo informatico, tuttavia garantire la conformità alla miriade di normative sulla sicurezza che cambiano in continuazione in tutto il mondo è di per sé un lavoro a tempo pieno.

In questo rapporto SOTI, abbiamo descritto i nuovi requisiti sulla cybersecurity e quelli aggiornati per le varie aree geografiche, come il CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act) negli Stati Uniti e la direttiva NIS2 (Network and Information Systems) in vigore in Europa. Le varie aree geografiche presentano diversi livelli di normative più o meno sofisticate, il che crea lievi disparità nella conformità a livello globale.

Ad esempio, mentre il Nord America è focalizzato su una gestione completa dei rischi e sulla segnalazione obbligatoria degli incidenti riscontrati, l'Europa sta ampliando le sue normative vigenti per includere i servizi mobili.

• Gli addetti alla sicurezza devono automatizzarsi e innovarsi al livello e alla velocità dei criminali, rispettando, al contempo, anche gli standard imposti dai governi, gestendo gli incidenti ed eseguendo tutte le altre attività richieste dal team.  

• Gli enti normativi stanno rispondendo attivamente alle crescenti minacce per le app e le API, quindi più riuscite a prepararvi per il futuro, meglio è. Ecco perché focalizzarvi su una difesa proattiva può aiutarvi a garantire la conformità e la sicurezza (ovviamente, se le relative normative sono state stilate in modo corretto).

La chiave per garantire la sicurezza nell'epoca dell'AI è stabilire un piano di sicurezza completo, che sia incentrato sul fatto di aspettarsi le violazioni e proteggere i componenti fondamentali. Anche se non siete motivati dal potenziale potere delle normative, è sempre il momento giusto per riesaminare le attuali pratiche di revisione e rafforzare le nozioni fondamentali.

Quante violazioni e quanti attacchi su larga scala sono stati causati dall'aver semplicemente fatto clic su un'e-mail di phishing? I criminali sfruttano le falle presenti nei sistemi di protezione di base perché continuano a raggiungere il loro intento.

Enfatizzare l'importanza di migliorare la verifica dell'input, di adottare pratiche di sviluppo sicure e di eseguire regolari audit di sicurezza non è mai abbastanza e offre una sicurezza nel lungo termine anziché una protezione estemporanea che può condurre in futuro a risultati imprevisti.