Cos'è l'API security?

Un robusto livello di sicurezza delle API assicura che solo gli utenti e le applicazioni autorizzati possano accedervi. Esso costituisce un sottoinsieme della sicurezza informatica ma con un focus specifico sulle API, che sono sempre più vitali per la gestione dell'IT aziendale.¹

Le API collegano le applicazioni, servizi, sistemi e database in tutto il mondo digitale. Consentono alle aziende di integrare database on-premise e basati su cloud, connettere i principali sistemi legacy con piattaforme moderne e collegare le distribuzioni in ambienti diversi. Consentono inoltre alle organizzazioni di offrire servizi a sviluppatori e partner esterni e di facilitare esperienze utente più connesse.

Gli sviluppatori possono, ad esempio, collegare nuove app e servizi con piattaforme di gestione delle relazioni con i clienti (CRM), pianificazione delle risorse aziendali (ERP) e con altri sistemi. Questi sistemi sono spesso distribuiti in ambienti diversi e si basano su delle API per la sincronizzazione dei dati.

La proliferazione di strumenti a uso limitato di codice e no-code ha anche reso più facile sia per i team di sviluppo esperti che per il personale non IT creare app, accedere alle API ed eseguire attività di API Management. Ma con la proliferazione delle API, aumentano anche i problemi di sicurezza che spesso le accompagnano. Quasi tutte le organizzazioni (99%) hanno riscontrato problemi di sicurezza relativi alle API nell'ultimo anno, con oltre un terzo (34%) degli incidenti di sicurezza che ha esposto dati sensibili o privati.²

Le API e gli endpoint API interni ed esterni possono essere compromessi, ma la natura pubblica delle API esterne le rende più vulnerabili ai criminali informatici e a vari tipi di attacchi API. Le pratiche rigorose di API security aiutano le aziende a proteggere gli endpoint esposti e a proteggere i dati e le reti aziendali.

Le API sono ovunque. Un'azienda di dimensione media ha registrato circa 1,5 miliardi di chiamate API nel 2023, un anno in cui le chiamate API rappresentavano il 71% del traffico internet totale.³ E quasi ogni applicazione utilizza almeno un'API. In quanto tali, le API sono elementi fondamentali delle moderne reti informatiche, del cloud computing e delle implementazioni SaaS.

Tuttavia, la loro natura interconnessa crea pone specifici problemi di sicurezza che le contromisure tradizionali non sono in grado di gestire. Le API vengono spesso utilizzate in configurazioni cloud, on-premise e ibride, e ogni ambiente presenta le proprie distinte esigenze di sicurezza. I controlli di sicurezza che funzionano in un dato ambiente possono non farlo in un altro, e ciò rende estremamente difficile l'applicazione unificata delle misure di sicurezza.

Le API fungono anche da tessuto connettivo tra i microservizi, ognuno con il proprio profilo di sicurezza. Un singolo punto debole in un'API può mettere a rischio un intero sistema. Ad esempio, nel settore dell'energia, le Api security proteggono gli scambi di dati tra contatori, sistemi di monitoraggio e piattaforme di manutenzione, contribuendo a garantire l'integrità dei programmi di manutenzione preventiva.

Inoltre, la maggior parte delle applicazioni utilizza numerosi endpoint API e ogni endpoint rappresenta un possibile punto di ingresso per gli aggressori. Gli endpoint che elaborano informazioni sensibili (dati medici o finanziari, per esempio) sono vettori di attacco particolarmente redditizi. Gli endpoint API espandono notevolmente la superficie di attacco e, senza un attento monitoraggio, possono rendere i dati privati vulnerabili ai malintenzionati.

E poiché le API supportano lo sviluppo Agile e le pipeline CI/CD, vengono spesso costruite e distribuite rapidamente. Se la sicurezza non è perfettamente integrata nei workflow DevOps , le valutazioni e i test di sicurezza possono essere in ritardo rispetto allo sviluppo. Le API security complete possono minimizzare e mitigare questi problemi.

Le API sicure impediscono la manipolazione dei dati durante la trasmissione e l'elaborazione e aiutano a garantire che solo gli utenti autenticati e autorizzati possano accedere alle funzioni e ai dati chiave. Negli ambienti informatici complessi di oggi, l'API security è uno strumento indispensabile per creare interazioni affidabili con i dati, servizi ad alta disponibilità e un'elevata fiducia dei consumatori negli ecosistemi digitali.

Gli endpoint API non protetti possono consentire a soggetti malintenzionati di ottenere l'accesso non autorizzato a dati sensibili e interrompere le operazioni di servizio, con conseguenze potenzialmente disastrose. Le minacce più comuni includono:

• Attacchi basati sull'autenticazione, in cui gli hacker tentano di scoprire o sottrarre le password degli utenti o di impiegare meccanismi di autenticazione deboli per ottenere l'accesso ai server API. Oggi, la maggior parte (95%) degli attacchi informatici proviene da utenti autenticati^.2

• Attacchi Man-in-the-middle:un cattivo attore ruba o modifica i dati (credenziali di accesso o informazioni di pagamento, ad esempio) intercettando le richieste o le risposte API.

• Iniezioni di codice e attacchi di iniezione, in cui un hacker trasmette uno script dannoso (per introdurre informazioni false, eliminare o rivelare dati o interrompere la funzionalità delle app) tramite una richiesta API. Questi script mostrano punti deboli negli interpreti API che leggono e convertono i dati.

• Configurazione errata della sicurezza: in cui configurazioni predefinite inadeguate, condivisione delle risorse tra origini (CORS) eccessivamente permissiva o intestazioni HTTP errate espongono informazioni sensibili sugli utenti o dettagli di sistema.

• Attacco denial-of-service (DoS): questi attacchi inviano decine di richieste API per arrestare o rallentare un server. Gli attacchi DoS possono spesso provenire da più aggressori contemporaneamente, in quello che viene chiamato distributed denial-of-service (DdoS).

• Attacchi BOLA (broken object-level authorization): si verificano quando i criminali informatici manipolano gli identificatori degli oggetti sugli endpoint API per ampliare la superficie di attacco e ottenere l'accesso non autorizzato ai dati degli utenti. Gli attacchi BOLA sono particolarmente comuni, perché l'implementazione di adeguati controlli di autorizzazione a livello di oggetto può essere difficile e richiedere molto tempo.

L'API security verifica che siano in atto misure di sicurezza essenziali (come i controlli di accesso degli utenti, i protocolli di crittografia e i meccanismi di autenticazione) per impedire agli aggressori di utilizzare le API. I test di sicurezza spesso comportano il tentativo attivo di sfruttare le vulnerabilità in un'applicazione in esecuzione o la scansione del codice sorgente per identificare falle di sicurezza note. I team di sicurezza inviano richieste assortite agli endpoint delle API e controllano le risposte per individuare punti deboli, comportamenti imprevisti e bug di codice.

A seconda del tipo di vulnerabilità che stanno testando, i team possono scegliere di condurre test manuali, affidarsi a strumenti di test automatici o utilizzare una combinazione dei due.

Ad esempio, i tecnici possono utilizzare i test di penetrazione manuali, o "pentesting", per simulare attacchi nel mondo reale e identificare i problemi di sicurezza. Se una falla appare solo quando un'applicazione è in esecuzione, possono eseguire uno strumento Dynamic Application Security Testing (DAST), in grado di eseguire test di sicurezza su sistemi attivi. Se desiderano cercare difetti o punti deboli nel codice sorgente, possono utilizzare uno strumento Static Application Security Testing (SAST).

Tradizionalmente, il processo di verifica della sicurezza si affidava ai test di penetrazione o alla scansione manuale effettuata dai team di sicurezza aziendali. Oggi, le organizzazioni spesso integrano test di API security automatizzati direttamente nelle pipeline DevOps. Indipendentemente dall'Approach, i test di API security consentono agli sviluppatori di identificare in modo proattivo i rischi di sicurezza e affrontarli prima che espongano i dati aziendali o influiscano sui clienti.

Sia la sicurezza delle API che quella delle applicazioni sono concepite per proteggere i dati, ma affrontano il problema della sicurezza dei dati in modo diverso.

L'API security è un sottoinsieme della sicurezza delle applicazioni che dà priorità alla protezione degli endpoint e alla gestione dell'accesso con autorizzazioni granulari in modo che ogni scambio di dati sia protetto. La sicurezza dell'applicazione adotta un approccio più olistico, proteggendo l'intero stack (dall'interfaccia utente al data storage e ai sistemi di backend) per contribuire a proteggere l'intero ambiente.

L'APi security è progettata per garantire flessibilità e velocità. Utilizza il monitoraggio in tempo reale e il rilevamento delle anomalie per identificare e rispondere rapidamente alle minacce a ogni chiamata API. La sicurezza delle applicazioni, al contrario, utilizza una strategia più strutturale. Utilizza tecniche come l'analisi statica del codice e le pratiche di codifica sicura per affrontare le vulnerabilità in tutta l'applicazione.

Per l'autenticazione, le API utilizzano in genere meccanismi basati su token come OAuth e JSON Web Token (JWT), che forniscono un accesso alle risorse preciso e di breve durata. La sicurezza delle applicazioni, nel frattempo, implementa controlli più ampi come il controllo degli accessi basato sui ruoli (RBAC) per gestire le autorizzazioni degli utenti su più livelli del sistema.

La sicurezza dell'app offre protezione contro un'ampia gamma di minacce e la sicurezza delle api fornisce una protezione granulare contro le minacce che colpiscono gli endpoint esposti. Pertanto, i team hanno bisogno di entrambi gli strumenti per ottenere una sicurezza completa dei dati. L'integrazione delle misure di sicurezza per le API nel più ampio bacino di sicurezza applicativa può aiutare le aziende a creare un ambiente software più sicuro e resiliente, e a mantenere la fiducia con utenti e partner.

In un'economia digitale dinamica, le API sono fondamentali per l'agilità aziendale, ma la loro natura aperta comporta rischi significativi per la sicurezza dei dati. Le violazioni dell'API security hanno portato a ingenti perdite di dati, anche per aziende grandi e affidabili come John Deere, Experian e Peloton.⁴

Inoltre, in un ambiente tecnologico così globale, le vulnerabilità della sicurezza minacciano tutti i principali provider di servizi, indipendentemente dal settore o dalla posizione geografica. Ad esempio, un attacco API del 2022 alla società di telecomunicazioni australiana Optus ha esposto i nomi, i numeri di telefono, i dettagli del passaporto e i dati della patente di guida di quasi 10 milioni di clienti.⁵  Questi incidenti sottolineano l'importanza della protezione delle API.

Un aumento dell'abuso di API ha anche accelerato lo sviluppo di strategie e strumenti completi per l'API security. L'implementazione di protocolli di API security rigorosi protegge i dati, le app e i servizi che gli endpoint rendono disponibili, proteggendo anche la loro disponibilità per gli utenti legittimi.

L'API security, però, non riguarda solo la protezione degli endpoint. Dà anche priorità alla sicurezza delle interazioni di rete, come le trasmissioni di dati, le richieste degli utenti e le comunicazioni tra app durante l'intero ciclo di vita delle API. Alcune delle soluzioni di API security più comuni per proteggere le infrastrutture IT includono:

L'autenticazione è il processo di verifica dell'identità di un utente, di un sistema o di un processo. Nel contesto delle API, si riferisce ai token e ai protocolli di autenticazione dell'utente, come OAuth 2.0, chiavi API e JSON Web Token (specifiche JWT), che garantiscono che un richiedente sia chi dichiara di essere.

L'autorizzazione è il processo di verifica dell'accesso di un utente autenticato. Quando un utente è stato autenticato, il controllo degli accessi basato sui ruoli può limitare l'accesso dell'utente alle risorse di cui ha bisogno o che ha richiesto.

Con la crittografia, dei file di testo e altri tipi di dati vengono convertiti da una forma leggibile a una versione codificata, che può essere decodificata solo dagli utenti in possesso di una chiave di decrittazione. Le tecnologie di crittografia (Transport Layer Security [TLS], connessione SSL e protocolli di crittografia TLS, ad esempio) aiutano i team di sicurezza a garantire che i malintenzionati e gli utenti non autorizzati non possano intercettare o alterare il traffico API.

I protocolli di convalida dell'input proteggono le API da dati dannosi, come gli attacchi di iniezione SQL e il cross-site scripting, e si accertano che gli input soddisfino i criteri di lunghezza, tipo, formato e intervallo prima che vengano elaborati. L'utilizzo di firewall per applicazioni web (WAF) e la convalida di schemi XML o JSON può aiutare i team addetti alla sicurezza ad automatizzare i processi di convalida, analizzando preventivamente le richieste in entrata e bloccando il traffico pericoloso prima che raggiunga il server.

Il rate limiting protegge le risorse API da attacchi brute force e DoS limitando il numero di chiamate che un utente o un indirizzo IP può effettuare in un determinato lasso di tempo. I limiti alle richieste garantiscono che tutte le richieste API vengano elaborate tempestivamente e che nessun utente possa sovraccaricare il sistema con richieste dannose. 

Come il rate limiting, anche il throttling limita il numero di chiamate API ricevute da un sistema. Tuttavia, anziché operare a livello di utente/client, il throttling opera a livello di server/rete. I limiti e le quote di throttling aiutano a proteggere la larghezza di banda del backend dell'API, limitando il numero di chiamate e messaggi che un'API può ricevere al secondo.

Gli header di sicurezza possono essere particolarmente efficaci per prevenire gli attacchi di clickjacking, in cui i malintenzionati mascherano collegamenti ipertestuali dannosi sotto forma di contenuti fruibili per indurre gli utenti a interagire con siti che non intendono visitare.

L'intestazione "content-security-policy", ad esempio, indica al browser quali risorse può richiedere al server. L'intestazione “x-content-type-option" impedisce ai browser di tentare di eseguire il MIME-sniffing dei tipi di contenuto e l'intestazione “strict-transport-security" impone connessioni sicure (HTTP over SSL/TLS) al server.

Le API Gateway forniscono un'interfaccia centralizzata per l'accesso alle API, che funge da unico punto di ingresso per tutte le richieste API ricevute da un sistema. Aiutano le organizzazioni a gestire l'accesso alle API e ad aggiungere un ulteriore livello di sicurezza della rete, in particolare per le API aperte. Un API gateway può standardizzare le interazioni API e fornire funzioni quali caching, analytics, API composition, rate limiting, crittografia, registrazione e controllo degli accessi.

Tuttavia, un API gateway presenta anche un singolo punto di errore e introduce ulteriore complessità nell'architettura.

Mantenere log di verifica completi e aggiornati (e rivederli spesso) aiuta le organizzazioni a tenere traccia dell'accesso e dell'utilizzo dei dati e a conservare i record di ogni richiesta API. Data la complessità degli ecosistemi API, rimanere al passo con l'attività delle API può richiedere molto lavoro. Tuttavia, le procedure di auditing e registrazione possono far risparmiare tempo quando i team devono tornare sui propri passi in seguito a una violazione dei dati o a una mancanza di conformità.

La gestione proattiva degli errori negli ambienti API può impedire ai criminali informatici di rivelare informazioni sensibili sui processi API. Idealmente, qualsiasi errore API restituirà codici di stato HTTP che indicano a grandi linee la natura dell'errore, fornendo ai team un contesto sufficiente per risolvere il problema senza rischiare un'eccessiva esposizione dei dati.

Come per qualsiasi applicazione o sistema software, il monitoraggio e la manutenzione in tempo reale sono essenziali per garantire la sicurezza delle API. È importante tenere d'occhio qualsiasi attività di rete insolita e aggiornare le API con le patch di sicurezza, le correzioni di bug e le funzionalità più recenti.

Le organizzazioni devono inoltre adottare standard di sicurezza tempestivi, come le raccomandazioni per la sicurezza API dell'Open Web Application Security Project (OWASP). L'elenco OWASP API Security Top 10, ad esempio, offre un framework per comprendere e mitigare le minacce più critiche e comuni alla sicurezza API, come la compromissione dell'autenticazione, l'assegnazione di massa e la falsificazione delle richieste lato server.

Ogni nuova versione del software API include aggiornamenti di sicurezza e correzioni di bug che colmano le lacune nella sicurezza delle versioni precedenti. Tuttavia, senza adeguate pratiche di controllo delle versioni, gli utenti possono accidentalmente (o intenzionalmente) distribuire una versione obsoleta dell'API e mettere in pericolo i dati sensibili.

Pratiche attente di controllo delle versioni e documentazione consentono alle aziende di accelerare lo sviluppo delle API, eliminando gradualmente le vecchie versioni delle API senza interrompere i servizi e spingendo gli utenti verso iterazioni più nuove e sicure.

Ad esempio, se un team scopre una falla nella sicurezza all'interno della versione v1 di un'API, può correggerla nella versione v2. Inoltre, con il controllo delle versioni, i team che si occupano della sicurezza possono incoraggiare gli utenti a migrare dalla v1 alla v2 secondo i propri ritmi, chiarendo al contempo nella documentazione della versione che la v1 presenta una vulnerabilità di sicurezza già nota.

I test di sicurezza richiedono agli sviluppatori di inviare richieste standard utilizzando un client API per valutare la qualità e la correttezza delle risposte del sistema. Condurre regolarmente dei test di sicurezza per identificare le lacune nella sicurezza aiuta i team a correggere le vulnerabilità delle API prima che gli aggressori abbiano la possibilità di sfruttarle.

Le pratiche di sicurezza zero-trust si basano sul principio che nessun traffico di rete, che provenga dall'interno o dall'esterno dell'organizzazione, deve essere automaticamente attendibile. Sia l'utente che il dispositivo sono considerati inaffidabili per impostazione predefinita. Quindi, prima che il traffico possa entrare o spostarsi nella rete, le credenziali dell'utente devono essere accuratamente autenticate.

Con un approccio zero trust, le aziende possono proteggere i propri dati e le API in modo che solo le persone autorizzate possano accedervi, anche se un aggressore cerca di impersonare un utente legittimo su un dispositivo precedentemente approvato.

La sicurezza delle API è fondamentale per lo stato di salute dell'infrastruttura IT e la sicurezza dei dati. L'API security è destinata a rimanere un'area di interesse chiave nei prossimi anni, soprattutto perché l'utilizzo e la distribuzione delle API mettono alla prova le soluzioni di API management esistenti.

Ad esempio, la proliferazione di API open source e no-code sta aumentando i rischi per la sicurezza posti dalle shadow API, che operano al di fuori della supervisione ufficiale. Per risolvere questo problema, i team di sicurezza stanno adottando pratiche di inventario, documentazione, governance e autenticazione a più fattori delle API più complete per proteggere i dati dalle minacce API emergenti.

Le aziende attente alla sicurezza stanno investendo anche in:

Rafforzare le API Gateway è diventata una priorità crescente per gli sviluppatori di software.⁶ A differenza degli endpoint, che sono punti di interazione specifici all'interno di un'API, le API Gateway sono punti di accesso centralizzati per tutte le richieste API. Forniscono servizi di traduzione per vari protocolli, linguaggi e stili API, tra cui GraphQL, API REST e API SOAP, e instradano le chiamate ai servizi backend.

I moderni API Gateway offrono caratteristiche dinamiche di limitazione della velocità e rilevamento delle minacce, creando un ulteriore livello di API security per le odierne distribuzioni di app cloud-native e gli ambienti IT basati sui microservizi.

Le imprese che vogliono mantenere il passo con l'innovazione digitale dovranno anche adottare un approccio alla sicurezza delle API che incorpori tecnologie come l'intelligenza artificiale (AI) e l'apprendimento automatico (ML). Le funzionalità di sicurezza basate sull'AI e sull'apprendimento automatico possono già identificare in modo proattivo le minacce, rilevando modelli di dati anomali nelle chiamate API. Questi strumenti possono anche adattare i protocolli di rilevamento e risposta alle minacce man mano che queste ultime si evolvono.

Ad esempio, le misure di sicurezza potenziate dall'AI possono implementare l'autenticazione adattiva, in cui gli strumenti di sicurezza regolano automaticamente il controllo dei dati in base al contesto e alla biometria comportamentale.

Le aziende adottano sempre più architetture zero trust, che danno priorità a solide pratiche di autorizzazione e autenticazione per qualsiasi dispositivo o utente che tenti di interagire con le API. I principi di sicurezza delle API zero trust sono particolarmente utili per proteggere le API e gli endpoint vulnerabili e rivolti al pubblico.⁷

L'AI agentica porta le funzionalità autonome della tecnologia AI a un livello ancora superiore. Essa sfrutta modelli linguistici di grandi dimensioni (LLM), elaborazione del linguaggio naturale (NLP) e l'apprendimento automatico per eseguire attività autonome per conto di utenti umani e altri sistemi. Tuttavia, gli agenti AI si affidano alle API per accedere ai dati, quindi la sicurezza delle API e quella dell'AI agentica sono indissolubilmente legate.

Se gli sviluppatori continueranno a far propria l'innovazione dell'AI agentica, dovranno fare i conti con i rischi per la sicurezza posti dagli agenti AI. Come risposta, molte aziende stanno dotando gli agenti AI di funzionalità avanzate di monitoraggio, analisi e blocco per proteggere da attacchi informatici sia gli agenti che le API con cui essi interagiscono.

Le partnership strategiche con fornitori ed esperti di API security saranno fondamentali anche per ottenere una protezione completa delle API nel futuro. Le collaborazioni strategiche possono aiutare le aziende a coprire ogni fase del processo di API security, dal rilevamento delle API e delle minacce all'analisi del tempo di esecuzione e la risposta agli incidenti.

Le partnership per la condivisione dei dati danno priorità allo scambio di dati di sicurezza tra piattaforme (ad esempio condivisione dei dettagli delle vulnerabilità e threat intelligence). Questo scambio aiuta a consolidare le informazioni in modo che le aziende abbiano una visione chiara e unificata del loro livello di sicurezza delle API. E le partnership di alleanza consentono alle singole entità di sicurezza di unire punti di forza unici e tecnologie complementari per semplificare la gestione della sicurezza e incoraggiare lo sviluppo collaborativo. Queste partnership strategiche possono aiutare le aziende a trarre beneficio da competenze condivise in materia di sicurezza e fornire servizi digitali più resilienti agli utenti.

Man mano che le API continuano a sbloccare nuove opportunità di networking, i rischi ad esse associati si evolveranno di pari passo (e forse anche più velocemente). Adottare un approccio proattivo all'API security può aiutare le aziende a proteggere i dati sensibili e sviluppare strategie di sicurezza Agile che rafforzino il loro livello di sicurezza man mano che panorama cambia.