La sicurezza delle API sotto esame da parte delle autorità federali: un campanello d'allarme per i CIO

In un caso, i criminali hanno sfruttato le vulnerabilità dell'architettura API di un provider globale di domini e servizi di hosting per estrarre informazioni sugli account dei clienti. L'indagine ha rivelato carenze nei controlli di autenticazione e la mancanza di un monitoraggio specifico per le API.

Analogamente, un'importante società di telecomunicazioni ha esposto dati sensibili degli utenti a causa di endpoint delle API non protetti. Il problema ha avuto origine da una convalida degli input insufficiente e restrizioni di accesso inadeguate, una svista che ha attirato l'attenzione delle agenzie di regolamentazione federali.

In entrambi i casi, queste organizzazioni avevano investito in sistemi di difesa tradizionali ma non avevano applicato lo stesso rigore alle API, che costituiscono un componente essenziale dei servizi digitali moderni.

Un requisito fondamentale di quasi tutti i framework di conformità è mantenere una visione chiara delle risorse disponibili e del tipo di dati gestiti da queste risorse. Poiché le API vengono sviluppate e aggiornate continuamente, spesso da team diversi o da terze parti, la maggior parte delle organizzazioni non dispone di un inventario delle API completo e aggiornato in tempo reale. 

Le organizzazioni devono essere in grado di dimostrare di sapere quali API sono presenti nel loro ambiente e come vengono utilizzate e, soprattutto, di individuare quelle che operano totalmente al di fuori della loro visibilità o dei processi aziendali.

Anche quando le API vengono individuate, non è sempre chiaro quali dati transitino attraverso di loro o se siano adeguatamente protette. Molte organizzazioni non sono in grado di determinare la proprietà delle API, né se il traffico passi attraverso controlli approvati come i Web Application Firewall (WAF) o i gateway API. 

Secondo il nostro studio sull'impatto della sicurezza delle API del 2024, solo il 27% dei professionisti della sicurezza IT con inventari delle API completi sa effettivamente quali delle loro API restituiscono dati sensibili, un dato in calo rispetto al 40% registrato nel 2023. 

Inoltre, spesso si riscontrano visioni diverse a seconda del ruolo: sebbene il 43% dei CIO intervistati ritenga di sapere quali API restituiscono dati sensibili, solo il 17% dei CISO condivide questa percezione. Queste lacune nella visibilità possono dare luogo a gravi violazioni della conformità se vengono esposti dati sensibili, come informazioni su carte di credito, dati personali identificabili o documenti sanitari.

Conformità non vuol dire solo conoscere le risorse, è fondamentale anche rilevare e gestire gli abusi in tempo reale. I team di sicurezza devono essere in grado di capire se qualcuno sta sfruttando un'API per estrarre i dati dei clienti o per ottenere privilegi di alto livello.

Ad esempio, le organizzazioni spesso non riescono a rilevare abusi della logica aziendale di lieve entità o prevenire minacce come la violazione dell'autorizzazione a livello di oggetto, inclusa tra i 10 principali rischi legati alla sicurezza delle API identificati dall'OWASP. Questi modelli di attacco sono sempre più diffusi e spesso sfuggono ai tradizionali strumenti perimetrali.

Molte organizzazioni si affidano solo ai test funzionali e sottovalutano l'importanza dei test di sicurezza. I framework di conformità richiedono sempre più spesso che la sicurezza venga integrata fin dall'inizio, rendendo essenziale testare le API per rilevare eventuali vulnerabilità prima dell'implementazione.

A causa di queste potenziali lacune, le autorità di regolamentazione stanno iniziando a considerare le falle nella sicurezza delle API come violazioni dirette delle leggi sulla protezione dei dati, con conseguenze che spesso includono azioni correttive, obblighi di mitigazione o sanzioni. I responsabili IT e della sicurezza statunitensi (CIO, CISO e CTO) intervistati ci hanno riferito che il costo medio stimato degli incidenti legati alla sicurezza delle API verificatisi nelle loro aziende negli ultimi 12 mesi è stato pari a 943.162 dollari.

Le aziende sono ora tenute a dimostrare di essere preparate non solo sotto il profilo della sicurezza, ma anche della conformità in tutti i loro ecosistemi API. Ecco come la sicurezza delle API si collega a diverse normative chiave.

• PCI DSS v4.0: richiede l'identificazione e la documentazione di tutte le API correlate ai pagamenti, la protezione delle stesse con solidi meccanismi di autenticazione, il monitoraggio continuo e la limitazione dell'accesso ai dati dei titolari di carte di credito

• GDPR: impone la minimizzazione dei dati, il controllo degli accessi e la notifica delle violazioni dei dati. Tutti questi aspetti dipendono dalla protezione delle API che gestiscono i dati personali

• HIPAA: richiede che le informazioni sanitarie riservate accessibili tramite API siano protette mediante crittografia, accesso basato sui ruoli e registri di audit

• DORA: richiede test di resilienza e rilevamento degli incidenti su tutti i canali digitali, incluse le API, che devono essere monitorate per rilevare anomalie e scenari di malfunzionamento

Un'API non protetta o non documentata può dare luogo a problemi di mancata conformità, sia esponendo i dati relativi ai titolari di carte di credito o ai documenti sanitari sia non rilevando anomalie in settori regolamentati.

I CIO che guidano iniziative legate all'infrastruttura digitale e al rischio devono adottare un approccio consapevole e strutturato alla sicurezza delle API. La priorità assoluta: ottenere una visibilità totale dell'ambiente API. Senza un inventario in tempo reale che includa ambienti cloud, on-premise e ibridi, è quasi impossibile proteggere o verificare l'uso delle API in modo efficace.

Il secondo passo è integrare la sicurezza fin dalla progettazione. Ciò include l'implementazione di solidi meccanismi di autenticazione, la convalida di tutti gli input e l'applicazione dell'accesso basato sul privilegio minimo in ogni API presente all'interno dell'organizzazione. L'osservabilità è altrettanto essenziale. Il monitoraggio del traffico API in tempo reale consente ai team di rilevare tempestivamente le anomalie e intervenire prima che i rischi si aggravino, un requisito importante per molti framework normativi.

Anche le misure di sicurezza devono essere mappate direttamente ai requisiti di conformità. Mantenere un allineamento chiaro tra i controlli delle API e framework come PCI DSS, GDPR, HIPAA e DORA permette alle organizzazioni di dimostrare i progressi compiuti, fornire prove documentali e prepararsi agli audit con maggiore sicurezza.

Infine, è necessario testare continuamente la resilienza. Le API devono essere parte integrante di una strategia più ampia di test sulla sicurezza e della pianificazione della resilienza operativa, non un elemento secondario. Soprattutto per le organizzazioni nell'UE soggette al DORA, la capacità di simulare attacchi, valutare scenari di malfunzionamento e garantire la continuità operativa sta diventando un requisito di base.

Akamai API Security aiuta le organizzazioni a semplificare la conformità e ridurre l'esposizione ai rischi fornendo un approccio completo alla protezione delle API. Supporta i principali requisiti di conformità grazie a:

• Individuazione e inventario di tutte le API: individua e classifica continuamente tutte le API, incluse quelle nascoste e zombie, per mantenere la visibilità e soddisfare i requisiti di documentazione richiesti da framework come PCI DSS e GDPR

• Valutazione del livello di rischio: esegue la mappatura dei risultati ai principali framework di conformità (come PCI DSS, ISO 27001, GDPR, HIPAA) per identificare errori di configurazione o vulnerabilità che potrebbero dare luogo a mancata conformità

• Rilevamento delle minacce comportamentali: individua anomalie comportamentali, abusi della logica aziendale ed esposizione impropria dei dati, aspetti spesso non rilevati dagli strumenti tradizionali, supportando gli obiettivi di resilienza operativa del DORA

• Visibilità centralizzata grazie a un dashboard per la conformità: offre una vista centralizzata delle API conformi e non conformi, monitorando il livello di rischio nel tempo e semplificando la preparazione agli audit

• Integrazione perfetta con l'ecosistema di sicurezza: si integra con sistemi SIEM (Security Information and Event Management), sistemi di creazione dei ticket e strumenti di workflow per generare prove di conformità e semplificare la risposta agli incidenti

Gli incidenti correlati alle API non sono più considerati problemi tecnici isolati, ma casi di mancata conformità con conseguenze di carattere normativo. Con l'intensificarsi dei controlli da parte delle autorità federali, i CIO con responsabilità tecniche devono garantire che la sicurezza delle API non sia solo implementata, ma anche pienamente operativa e verificabile. Considerando le API una parte integrante dei vostri programmi di sicurezza e conformità, potete non solo ridurre i rischi, ma anche garantire la resilienza a lungo termine della vostra organizzazione di fronte a normative e minacce emergenti.