L'adozione di soluzioni complete per la sicurezza delle API non è sufficiente
Secondo una recente ricerca condotta dal SANS Institute, nonostante l'aumento del numero di minacce che prendono di mira applicazioni e API, la maggior parte delle aziende ancora non utilizza controlli specifici per le API in grado di offrire una copertura diffusa.
Una notevole assenza di strumenti per i test della sicurezza delle API
Il sondaggio SANS 2023 sulla sicurezza delle API ha rilevato che meno del 50% degli intervistati dispone di strumenti per valutare il sistema di sicurezza delle API esistente. La percentuale si riduce ulteriormente (29%) per coloro che dispongono di strumenti di individuazione delle API. In aggiunta, il rapporto segnala che l'impiego dei controlli di sicurezza delle API inclusi nei servizi di protezione dagli attacchi DDoS ((Distributed Denial-of-Service) e di bilanciamento del carico non è sfruttato in maniera ottimale ed efficace: solo il 29% degli intervistati ha dichiarato di utilizzare queste funzioni.
Si tratta di una tendenza preoccupante, considerando l'aumento degli attacchi. Come è stato segnalato da Akamai nel suo recente rapporto sullo stato di Internet, dal titolo Sfruttare le falle nella sicurezza: Ia crescita degli attacchi alle applicazioni e alle API, il 2022 è stato un anno record per gli attacchi alle applicazioni e alle API. Forse la mancata adozione di strumenti per le API con copertura completa non dovrebbe sorprendere, considerando quelli che, secondo i partecipanti al sondaggio SANS, sono i rischi maggiori per le loro organizzazioni.
Il rapporto, pubblicato a luglio 2023, è basato su un sondaggio condotto su 231 intervistati, la maggior parte dagli Stati Uniti. Il 78% degli intervistati ricopre attualmente un ruolo nella sicurezza delle applicazioni, con un altro 15% che verrà coinvolto in futuro.
I rischi per le API non vengono presi in grande considerazione
Quando è stato chiesto loro di valutare i principali tre rischi per la loro organizzazioni, gli intervistati hanno citato con più frequenza gli attacchi di phishing per ottenere credenziali riutilizzabili, seguiti dai criminali che sfruttano la mancata applicazione delle patch e quelli che sfruttano applicazioni/API vulnerabili. Ultimi in questa classifica sono i rischi correlati ai server/servizi configurati in modo errato. È chiaro che, sebbene le aziende comprendano quali siano i rischi per le API, non danno la priorità ad investimenti in tal senso.
Controlli e processi di sicurezza multipli
"Il rilevamento, la valutazione e la mitigazione dei rischi per le API rappresentano un problema complesso che richiede più controlli e processi di sicurezza, al fine di garantire una copertura completa", scrive nel rapporto John Pescatore, direttore del reparto Emerging Security Trends del SANS Institute. "Gli strumenti a livello di applicazione già ampiamente in uso possono offrire una copertura parziale. I controlli specifici per la sicurezza delle API, in grado di offrire una copertura completa, non sono ancora molto diffusi".
Comprendere in che modo le API vengono eseguite (e quante ne vengono eseguite)
Il rapporto SANS suggerisce anche che le aziende non stanno facendo molto neanche per comprendere quante API sono in esecuzione nel loro ambiente. Più di due terzi degli intervistati stima che l'accuratezza del loro inventario delle API in esecuzione in produzione sia al di sotto del 75%.
Per anni le aziende hanno lottato per ottenere un inventario accurato delle risorse, tra cui reti, computer e applicazioni. Devono prestare più attenzione e capire in che modo le API vengono eseguite (e quante ne vengono eseguite). Il rapporto afferma: "... dal momento che le API vulnerabili stanno diventando il più comune punto di accesso per gli attacchi, deve aumentare l'accuratezza dell'inventario delle API e bisogna eseguire l'individuazione delle API con maggiore frequenza".
Gli acquirenti cercano più soluzioni per la sicurezza delle API
C'è stato poco consenso sull'acquisto di nuovi strumenti per colmare alcune di queste lacune nella sicurezza delle API. Quando agli intervistati è stato chiesto quali soluzioni, non ancora in uso, la loro azienda ha intenzione di implementare nei prossimi due anni, le risposte hanno incluso un'ampia varietà di opzioni:
- Tecnologia SWG (Secure Web Gateway) (14%)
- Test dinamico delle vulnerabilità delle applicazioni (13%)
- Soluzioni WAF (Web Application Firewall) (13%)
- Funzioni per la sicurezza di app/API all'interno delle reti per la distribuzione dei contenuti (13%)
- Test di sicurezza delle API (12%)
- Individuazione delle API (10%)
Con gli acquirenti che cercano tante soluzioni diverse per la sicurezza di applicazioni e API, i fornitori come Akamai, che possono offrire soluzioni complete, diventano ancora più convincenti. Le aziende vedono vantaggi significativi se possono accedere alla gestione dei bot, alle soluzioni WAF (Web Application Firewall) e ad altri requisiti da un fornitore che vanta anche una robusta organizzazione di servizi che coprono più discipline.
Tecnologia avanzata di rilevamento e risposta alle minacce
D'altronde, l'emergere di una nuova tecnologia con avanzate funzionalità di rilevamento e risposta (XDR) per fornire visibilità sulle attività delle API, determinare la strategia riguardo ai rischi e comprendere il comportamento normale e degli abusi per bloccare le minacce rappresenta significativi vantaggi per la protezione delle API.
La recente acquisizione di Neosec da parte di Akamai incoraggia questa tendenza. Ora le aziende possono ottenere livelli di analisi del comportamento delle API senza precedenti, combinando l'analisi di (almeno) 30 giorni di attività delle API con la visibilità offerta dalla rete per la distribuzione dei contenuti di Akamai.
I risultati del sondaggio SANS forniscono anche un interessante background quando si esamina il nuovo elenco OWASP con i 10 principali rischi alla sicurezza delle API, che ha aggiunto ulteriori rischi, inclusi il consumo di risorse senza limitazioni e un utilizzo delle API non sicuro.
Accordo sui framework
A proposito dell'elenco OWASP, il sondaggio suggeriva un certo accordo sui framework che i professionisti della sicurezza considerano preziosi. Più della metà degli intervistati ha citato i principali 10 rischi per la sicurezza delle applicazioni web riportati nell'elenco OWASP (55%), il framework MITRE ATT&CK (55%) e i principali 10 rischi per la sicurezza delle API riportati nell'elenco OWASP (52%) come i metodi che utilizzano per definire i rischi per le applicazioni/API. La CSA (Cloud Security Alliance) (40%) e il Center for Internet Security Critical Security Controls (33%) completano i primi cinque posti.
La formazione sulla sicurezza per gli sviluppatori resta una priorità
Il rapporto segnala che, in generale, le aziende rimangono concentrate sull'impegno di fornire un'adeguata formazione sulla sicurezza ai loro sviluppatori: più del 75% delle organizzazioni ha dichiarato di fornire un'appropriata formazione sulla sicurezza al personale addetto allo sviluppo. D'altro canto, però, il rapporto segnala che più del 70% degli intervistati ha dichiarato di fornire formazione sulla sicurezza delle applicazioni ad almeno il 25% del personale addetto alla sicurezza.
Visibilità e difesa
Akamai App & API Protector offre una soluzione completa per la sicurezza di app e API per la protezione WAF (Web Application Firewall), la gestione dei bot, la sicurezza delle API e la protezione dagli attacchi DDoS, fornendo alle aziende visibilità sulle minacce presenti nel loro ambiente, oltre ad una solida difesa. La soluzione identifica rapidamente le vulnerabilità e mitiga le minacce nell'intero patrimonio web e nelle API, anche per le architetture distribuite più complesse.
