Con la sempre maggiore digitalizzazione delle organizzazioni le API (Application Programming Interface) sono diventate fondamentali per la condivisione dei dati e l'integrazione delle applicazioni. Ecco perché rappresentano un terreno fruttuoso per gli attaccanti i quali sottopongono le organizzazioni a continue minacce sempre più evolute.
Infatti le organizzazioni stanno aprendo rapidamente il proprio ecosistema attraverso le API garantendo un accesso continuo ai dati e l'interazione con componenti e servizi software esterni. Le API sono il gateway per fornire l'elevata sicurezza dei dati in un'organizzazione. La capacità di un'API di consentire la comunicazione tra diverse applicazioni semplifica la vita, in particolare la capacità di automatizzare le attività. Tuttavia, le organizzazioni devono affrontare la costante necessità di proteggere queste API dagli attacchi in modo da poter proteggere i propri dati.
Con l'aumento dell'uso delle API, il numero di attacchi API negli ultimi 12 mesi è aumentato del 681%. L'ecosistema API è diventato un redditizio obiettivo di attacco per i malintenzionati; pertanto, una tecnologia mirata e una strategia di sicurezza dovrebbero essere implementate per anticipare e prevenire con successo questi attacchi.
Per creare correttamente una strategia di sicurezza nella protezione delle API, è necessario comprendere quali sono gli attacchi più comuni alle API. Ecco un elenco dei primi 10 attacchi API più comuni, come determinato dall'Open Web Application Security Project (OWASP):
· Controllo accessi interrotto
· Errori crittografici
· Iniezione
· Design insicuro
· Errata configurazione della sicurezza
· Componenti vulnerabili e obsoleti
· Errori di identificazione e autenticazione
· Errori di integrità del software e dei dati
· Registrazione di sicurezza e monitoraggio degli errori
· Falsificazione della richiesta lato server.
Comprendere in dettaglio questi attacchi è prezioso per lo sviluppo e l'implementazione di strumenti e processi per garantire la sicurezza dei dati dell'organizzazione e dei clienti.
Le API sono difficili da proteggere e le soluzioni di sicurezza tradizionali non sono sufficienti per gestire i tecnicismi dell'ecosistema API.
Di seguito alcuni suggerimenti e best practice utili a migliorare la posizione di sicurezza e a proteggere le API e di conseguenza l’organizzazione.
Dare priorità alla sicurezza
La sicurezza delle API non dovrebbe essere un ripensamento. Dare priorità alla sicurezza dall'ideazione e sviluppo di un'API fino alla sua integrazione e distribuzione è fondamentale per garantire la sicurezza dell'API. Delineare i requisiti di sicurezza durante la creazione e l'integrazione delle API seguendo uno strumento di sicurezza API appositamente creato per migliorare la sicurezza delle API.
Promuovere la progettazione e lo sviluppo di API sicure
Il design insicuro è uno dei vettori di attacco evidenziati da OWASP. È necessario creare una pratica di codifica e configurazione sicura per lo sviluppo di API. Questo può essere fatto seguendo lo standard di verifica della sicurezza delle applicazioni OWASP.
Documentare le API
Prima di poter proteggere le API, bisogna prima essere a conoscenza di tutte le API in esecuzione. L'approccio migliore è uno strumento di sicurezza API che fornisce una scansione continua del traffico API, creando un inventario dinamico.
Il team L7 Defense di esperti in bioinformatica, machine learning, architetture aziendale e tecnologie di sicurezza, ispiratosi alla capacità di auto-apprendimento del sistema immunitario “innato” umano, ha sviluppato una soluzione INLINE basata sull'Intelligenza Artificiale con un alto livello di accuratezza e una risoluzione a livello di singolo Endpoint API.
L7 Defense è pioniera nell’applicazione di una nuova tecnologia di “apprendimento senza supervisione” denominata Ammune ™.
Ammune™ contiene un modello di apprendimento non supervisionato che monitora e analizza i dati in tempo reale, identificando e bloccando anche attacchi subdoli e furtivi e mitigandoli efficacemente senza una previa conoscenza dei parametri del modello di attacco.
Implementare soluzioni di autenticazione e autorizzazione avanzate
Gli errori di identificazione e autenticazione, un tipico attacco API come affermato da OWASP, derivano da un'autenticazione e un'autorizzazione scadenti o inesistenti. Le API possono fornire gateway nel database di un'organizzazione; pertanto, dovrebbe essere implementato un rigoroso controllo dell'accesso che implementi l'autenticazione e l'autorizzazione forti.
Attuare il principio del privilegio minimo
Nella sicurezza delle informazioni, utenti, programmi, processi, dispositivi e sistemi dovrebbero avere accesso solo alle informazioni minime di cui hanno bisogno. Dovrebbe essere concesso un accesso minimo per completare le attività necessarie. Questo principio è applicabile anche alle API.
Implementare i test di sicurezza delle API
E' bene eseguire test API, per cercare vulnerabilità nelle API, prima di rilasciarle in produzione. Tali test possono aiutare a identificare le vulnerabilità dell'API prima che possano essere sfruttate.
Distribuire protezione runtime
La protezione del runtime dinamico aiuta a proteggere dagli attacchi che prendono di mira le lacune della logica aziendale e pertanto non possono essere trovati nei test di sicurezza delle API di pre-produzione: nessuno sviluppatore scrive mai un codice perfetto!.
Pertanto è bene proteggere il runtime delle API per assicurarsi che i malintenzionati non possano manipolare correttamente le tue API.
Crittografia
La crittografia dei dati inviati dall'API è essenziale per la sicurezza dell'API. Il traffico deve essere crittografato utilizzando Transport Layer Security (TLS). Le API scambiano dati sensibili tra le applicazioni; pertanto, i payload dell'API devono essere crittografati.
Convalidazione input
I dati immessi da un'API tramite un endpoint devono essere controllati e convalidati prima che vengano accettati dal server. Le convalide dello schema JSON o XML devono essere utilizzate per confermare i parametri per prevenire iniezioni SQL o bombe XML.
Conclusione
Le API sono diventate una parte essenziale della creazione di applicazioni moderne; un'API compromessa può portare a una violazione dei dati con conseguenti incidenti di sicurezza. Poiché le API sono comunemente utilizzate per accedere a funzioni e dati software sensibili, le API stanno lentamente diventando obiettivi di attacco primari. L'obiettivo finale di un'organizzazione dovrebbe essere quello di stabilire e implementare solide politiche di sicurezza delle API e gestirle in modo proattivo, con apposite metodologie di sicurezza come il vero modello ZERO TRUST e soluzioni innovative come Ammune di L7 Defense che garantisce una protezione attiva delle API con il massimo livello di precisione, contro gli attacchi informatici più avanzati su cloud e on-premise