Intervenendo durante il Web Summit 2020 online, Daniele Molteni, responsabile del prodotto firewall di Cloudflare, ha discusso le minacce alla sicurezza più comuni per il traffico API e delineato strategie per identificare le vulnerabilità e difendere l’infrastruttura critica.
Molteni ha affermato che le API sono la linfa vitale dei moderni servizi connessi a Internet, ma stanno anche diventando sempre più difficili da proteggere per le organizzazioni.
“Nell’ultimo anno, la crescita del traffico API è stata tre volte più veloce del traffico web“, ha spiegato. “Esiste una chiara tendenza verso un maggiore traffico API e la necessità di essere più specifici sulla protezione delle API” investendo nella tecnologia di sicurezza delle API.
Per quanto riguarda i rischi per la sicurezza comuni che circondano il traffico API, Molteni ha citato minacce che rientrano in tre gruppi distinti.
Questi sono: autenticazione non funzionante e autorizzazioni non funzionanti (gruppo uno), assegnazione di massa, esposizione dei dati e attacchi di iniezione (gruppo due) e abuso di risorse e API ombra (gruppo tre).
Tali rischi e minacce alla sicurezza stanno mettendo a dura prova anche le organizzazioni, ha continuato, aggiungendo che ci sono due principali punti deboli della sicurezza delle API che interessano le aziende in questo momento.
Il primo è l ‘”effetto delle vulnerabilità delle API sulle operazioni quotidiane”, che può comportare una riduzione della velocità di sviluppo del software e attriti che ostacolano l’adozione e la crescita delle API.
Il secondo ruota attorno al fatto che le soluzioni di sicurezza web comuni spesso non sono adatte a proteggere il traffico API, con alte percentuali di falsi positivi, mancanza di funzionalità di alto valore specifiche per API e mancanza di visibilità del traffico API.
Quando si tratta di affrontare e mitigare i rischi e le minacce alla sicurezza delle API, Molteni ha affermato che esistono due principi chiave per l’implementazione di una strategia di sicurezza.
“Il primo è gestire l’accesso; l’accesso è una delle cose più importanti che devi controllare “, ha spiegato. Questo dovrebbe concentrarsi sul controllo di chi effettua le richieste e sulla limitazione dell’uso di risorse costose (backend, elaborazione, servizio, ecc.)
“Il secondo [principio] è la scalabilità e l’efficienza durante il controllo delle vulnerabilità”, che implica avere una strategia per restringere e convalidare i carichi utili complessi quando necessario.
Nell’implementare questi due principi, le aziende dovrebbero essere in grado di mettere in atto un approccio incrementale a più livelli “simile a un imbuto” per rimuovere il rumore del traffico API e “rimuovendo il rumore, rimuovi anche ciò che è attivamente dannoso”, disse Molteni.
Tuttavia, ha concluso con il consiglio che “non esiste una soluzione valida per tutti e il sistema di sicurezza che scegli di implementare dipende dalla tua infrastruttura, dal tipo di dati e dagli obiettivi aziendali”.