Soluzioni per la sicurezza delle API

Le API sono uniche a causa di numerose caratteristiche. Le API, ad esempio, scambiano dati tra sistemi diversi mentre alle applicazioni Web gli utenti accedono tramite un browser Web. Le API utilizzano anche un formato diverso per trasportare i dati e accedere direttamente ai sistemi di backend, spesso fungendo da intermediario tra le moderne app Web e i relativi database e server backend. A causa di queste e altre differenze, la metodologia di rilevamento per la sicurezza delle API differisce dalla sicurezza delle app Web, anche per la sovrapposizione di categorie di vulnerabilità come attacchi di tipo injection e rischi di accesso.

Esistono diversi approcci con cui le organizzazioni possono gestire la crescita delle proprie API: gestione dell'intero ciclo di vita, osservabilità e, in maniera più olistica, il WAAP. Gli strumenti di osservabilità delle API forniscono osservazioni e approfondimenti (piuttosto che sicurezza) sulle prestazioni delle API. La gestione dell'intero ciclo di vita sovente si focalizza sulla gestione delle API, pur mancando di sofisticatezza in termini di sicurezza. Il WAAP, o "protezione delle applicazioni web e delle API", è definito da Gartner come una categoria di soluzioni di sicurezza progettate per proteggere le applicazioni web indipendentemente dall'ubicazione di hosting. WAAP è particolarmente appropriato per le API in produzione, monitoraggio in tempo reale e protezione da abusi, minacce zero-day e autori di attacchi.

Le REST API consentono a un client di richiedere risorse da un server, che restituisce quindi le informazioni al client nel suo stato corrente. Gli autori di attacchi possono prendere di mira l'API in qualsiasi momento durante la "chiamata e risposta" della REST API. Pertanto, per prevenire l’abuso della REST API è necessario autorizzare solo il traffico API “buono” autenticato e bloccare così le richieste provenienti da client illegittimi. I metodi di autenticazione e autorizzazione delle API includono certificati mTLS, token Web JSON, chiavi API valide, token OAuth 2.0 e altri.

Le chiavi di accesso API, che separano l'autenticazione dalle credenziali dell'utente e inviano invece stringhe di testo segrete insieme alle richieste API, consentono un accesso più sicuro alle API. Tuttavia, queste chiavi possono ancora essere esposte a rischi derivanti da attacchi man-in-the-middle, utilizzo improprio da parte degli sviluppatori e archiviazione problematica dei segreti nel codice sorgente. I token Web JSON (JWT) offrono un'alternativa più sicura e flessibile alle chiavi API statiche purché i JWT siano firmati utilizzando algoritmi di crittografia sicuri, evitino dati sensibili nel payload e impongano la scadenza dei token.

Diversi parametri possono aiutare le parti interessate dell'IT, della sicurezza e dello sviluppo di app a valutare i livelli di sicurezza delle proprie API. Ad esempio, un'organizzazione con un solido modello di sicurezza API dovrebbe disporre di un inventario aggiornato delle risorse API che mostri che tutte le API sono conformi ai dati e utilizzano metodi di autenticazione o autorizzazione avanzati. Dovrebbero essere effettuati controlli anche per identificare le credenziali esposte/trapelate utilizzate nelle richieste API e per cercare informazioni di identificazione personale (PII), dati di carte di credito o informazioni sanitarie personali nelle richieste/risposte API. La capacità di impostare limiti di velocità adattivi e intelligenti sulle API, come determinato da modelli di traffico osservabili per ciascun endpoint, segnala anche una sicurezza API più avanzata.

L'abuso di API si riferisce all'uso dannoso delle API sfruttando difetti della logica aziendale e vulnerabilità delle applicazioni che ostacolano o peggiorano l'esperienza utente di un utente reale. Molto spesso, nelle API odierne, l'esposizione dei dati, le azioni non autorizzate, l'elusione dei controlli di sicurezza, l'interruzione del servizio e l'elevazione dei privilegi si verificano a causa della mancanza di controlli di autenticazione e autorizzazione noti come autorizzazione a livello di oggetto interrotto (BOLA) e autorizzazione a livello di funzione interrotta (BFLA).