Vulnerabilità nelle Api, molte aziende sottovalutano il problema Uno studio di Akamai svela che meno di metà delle aziende usa strumenti di verifica della sicurezza delle Application Programming Interface. Solo il 29% usa strumenti di individuazione delle Api. Pubblicato il 18 luglio 2023 da Redazione

Gli attacchi informatici realizzati attraverso le Api, le Application Programming Interface, sono una tendenza in crescita. Questo accade innanzitutto perché si tratta di uno strumento sempre più popolare, sempre più spesso utilizzato per collegare tra loro applicazioni o consentire lo scambio di dati tra un’azienda e una società partner. La crescita degli attacchi è anche dovuta alle vulnerabilità, ai punti di debolezza che le aziende non riescono a vedere.

Come evidenziato da un recente studio di Akamai, ““Slipping Through the Security Cracks”, il 2022 ha segnato nuovo record nel numero di attacchi rivolti ad applicazioni e Api. Si tratta di episodi non facili da rilevare né da mitigare, anche perché è necessario conoscere i processi aziendali sottostanti e le risorse accessibili a ciascun utente.

Inoltre le aziende sono ben lontane dall’aver adottato tutte le possibili misure di sicurezza preventiva. Un altro studio realizzato Akamai in collaborazione con il Sans Istitute ha svelato che, su un campione di 231 professionisti di cybersecurity di altrettante aziende, meno della metà utilizza strumenti di verifica della sicurezza delle Application Programming Interface. Solo il 29% usa strumenti di individuazione delle Api.

L’indagine, condotta nel primo trimestre del 2023, ha anche evidenziato che solo il 29% delle aziende utilizza i controlli di sicurezza Api inclusi nei servizi di mitigazione DDoS e di bilanciamento del carico. Il 57,1 degli intervistati pensa che il proprio inventario Api sia leggermente o molto impreciso (precisione compresa tra il 25% e il 75%).



Quali sono le conseguenze di tutto ciò? I problemi di sicurezza delle Api più spesso sperimentati dal campione d’indagine sono gli gli attacchi di phishing (38,3%) e le patch mancanti (24%), e a seguire lo sfruttamento di applicazioni o Api vulnerabili (12%) e a divulgazione accidentale di informazioni sensibili (9,1%).



"La nuova analisi offre il punto di vista del settore su una problematica di sicurezza che continuerà a essere di fondamentale importanza nel 2023 e in futuro", ha commentato Rupesh Chokshi, senior vice president e general manager, Application Security di Akamai. "I risultati evidenziano la necessità, per le aziende, di concentrarsi maggiormente sulla posizione e sul numero di Api in esecuzione, perché le Api vulnerabili stanno diventando il punto di accesso più diffuso per gli attacchi".



Nonostante le lacune, le aziende non restano totalmente indifferenti alla questione della sicurezza delle Api. Il 76% degli intervistati prevede per i propri sviluppatori attività di formazione su questo tema. Quanto agli strumenti di difesa, il 62% degli intervistati fa ricorso a soluzioni Waf (Web Application Firewall) per mitigare i rischi delle interfacce di programmazione delle applicazioni. Per la valutazione dei rischi, la maggior parte prende come riferimento e considera indispensabili le liste Owasp (Open Web Application Security Project), Application Security e Api Top Ten e il MITRE ATT&AC Framework.



"I risultati principali di questa indagine dimostrano che i sistemi di controllo della sicurezza (ad esempio, l'autenticazione avanzata, l'inventario delle risorse, la gestione delle vulnerabilità e il controllo delle modifiche) non possono trascurare i problemi di sicurezza delle Api", ha dichiarato John Pescatore, director of Emerging Security Trends di Sans Institute. "La prevenzione e il rilevamento devono essere migliorati per far fronte agli attacchi rivolti alle Api e anche i servizi delle infrastrutture (tra cui le reti per la distribuzione dei contenuti e il filtraggio degli attacchi DDoS) devono essere sfruttati al meglio".



(Immagine di apertura tratta da Freepik)