Cos'è l'API security?

Le API costituiscono gli elementi fondamentali della trasformazione digitale, consentendo alle aziende di offrire servizi a sviluppatori e partner esterni. Poiché le API orchestrano la comunicazione e lo scambio di dati tra le app, possono promuovere esperienze utente più connesse, estendere la portata complessiva dell'azienda e favorire un'innovazione tecnologica all'avanguardia. Le API semplificano anche l'integrazione dei servizi, in modo che le aziende possano adattarsi rapidamente ai cambiamenti del mercato e alle richieste dei clienti. 

Tuttavia, con la proliferazione delle API, aumentano anche i problemi di sicurezza che spesso le accompagnano.

Le API si collocano tra le risorse IT di un'organizzazione e gli sviluppatori di software terzi o tra le risorse IT e i singoli individui, fornendo dati e informazioni agli endpoint dei processi. Poiché gli endpoint vengono mostrati al mondo esterno, possono rendere le API un bersaglio attraente per vari tipi di attacchi.

L'evoluzione dell'API management e dell'API security è intrinsecamente legata all'evoluzione delle API stesse. Le prime API si concentravano principalmente sulla comunicazione tra processi all'interno di un singolo sistema; di conseguenza, la sicurezza (o la sua mancanza) era un problema minore, perché la comunicazione era limitata a una singola macchina.

Tuttavia, con l'avvento dell'Internet of Things (IoT) e delle architetture di microservizi cloud-native, le API si sono ampliate per consentire una comunicazione senza interruzioni e il routing delle chiamate tra le applicazioni e negli ambienti DevOps. Un'API moderna e di alta qualità, ad esempio REST (Representational State Transfer) o SOAP (Simple Object Access Protocol), consente di orchestrare l'integrazione delle app, di specificare i formati dei dati e di definire i tipi di chiamata, le procedure e le convenzioni.

Le API web, in particolare GraphQL, API REST e API SOAP, hanno ampliato le funzionalità esistenti introducendo l'integrazione di vasta portata in una miriade di reti complesse.

Tuttavia, poiché le tecnologie avanzate dipendono fortemente dagli endpoint API per funzionare, le aziende e i team responsabili della sicurezza devono implementare misure efficaci per proteggere dati e servizi web e, in definitiva, ottenere il massimo dalle risorse IT.

Se non adeguatamente protetti, gli endpoint API possono consentire a soggetti malintenzionati di ottenere l'accesso non autorizzato a dati sensibili, provocare l'interruzione dei servizi o entrambi, con conseguenze potenzialmente devastanti. Le minacce più comuni includono:

• Attacchi basati sull'autenticazione, in cui gli hacker tentano di scoprire o sottrarre le password degli utenti o di impiegare meccanismi di autenticazione deboli per ottenere l'accesso ai server API.
  
  
• Attacchi man-in-the-middle, in cui un soggetto malintenzionato sottrae o modifica dei dati (ad esempio, credenziali di accesso o informazioni di pagamento) intercettando richieste o risposte API.
  
  
• Iniezioni di codice/attacchi di iniezione, in cui l'hacker trasmette uno script dannoso (per introdurre informazioni false, eliminare o rivelare dati o interrompere la funzionalità delle app) tramite una richiesta API, mostrando i punti deboli degli interpreti API che leggono e traducono i dati.
  
  
• Errori di configurazione della sicurezza, quando le informazioni sensibili dell'utente o i dettagli del sistema vengono esposti a causa di configurazioni predefinite inadeguate, di una condivisione di risorse cross-origin (CORS) troppo permissiva o di intestazioni HTTP errate.
  
  
• Attacco denial-of-service (DoS): questi attacchi inviano decine di richieste API per arrestare o rallentare il server. Gli attacchi DoS possono spesso provenire da più aggressori contemporaneamente, in quello che viene chiamato distributed denial-of-service (DdoS).
  
  
• Attacchi BOLA (broken object level authorization): si verificano quando i criminali informatici manipolano gli identificatori degli oggetti sugli endpoint API per ampliare la superficie di attacco e ottenere l'accesso non autorizzato ai dati degli utenti. Gli attacchi BOLA sono particolarmente comuni, perché l'implementazione di adeguati controlli di autorizzazione a livello di oggetto può essere difficile e richiedere molto tempo.

In un'economia digitale dinamica, le API sono fondamentali per l'agilità aziendale, ma la loro natura aperta può comportare rischi significativi per la sicurezza dei dati. Le violazioni dell'API security hanno portato a ingenti perdite di dati, anche per aziende grandi e affidabili come John Deere, Experian e Peloton.²

Inoltre, in un ambiente tecnologico così globale, le vulnerabilità della sicurezza minacciano tutti i principali provider di servizi, indipendentemente dal settore o dalla posizione geografica. Ad esempio, un attacco API del 2022 alla società di telecomunicazioni australiana Optus ha esposto i nomi, i numeri di telefono, i dettagli del passaporto e i dati della patente di guida di quasi 10 milioni di clienti.³

Questi incidenti sottolineano l'importanza di proteggere le API e hanno accelerato lo sviluppo di strategie e strumenti completi per l'API security.

L'implementazione di protocolli di API security rigorosi protegge i dati, le app e i servizi mostrati dagli endpoint API, garantendo allo stesso tempo la loro disponibilità per gli utenti legittimi. L'API security, però, non riguarda solo la protezione degli endpoint. Dà anche priorità alla sicurezza delle interazioni di rete, come le trasmissioni di dati, le richieste degli utenti e le comunicazioni tra app durante l'intero ciclo di vita delle API.

Alcune delle soluzioni di API security più comuni per rafforzare le infrastrutture IT includono:

L'autenticazione è il processo di verifica dell'identità di un utente, di un sistema o di un processo. Nel contesto delle API, si riferisce all'uso di protocolli di autenticazione dell'utente, come OAuth 2.0, chiavi API e specifiche JWT, per garantire che un richiedente sia chi dichiara di essere.

L'autorizzazione, invece, è il processo di verifica dell'accesso di un utente autenticato. Una volta che l'utente è stato autenticato, il controllo degli accessi basato sui ruoli deve limitare l'accesso dell'utente alle risorse di cui ha bisogno o che ha richiesto.

Con la crittografia, file di testo semplice e altri tipi di dati vengono convertiti da una forma leggibile a una versione codificata che può essere decodificata solo da un soggetto in possesso di una chiave di decrittazione. Utilizzando tecnologie di crittografia come TLS (transport layer security), connessioni SSL e protocolli di crittografia TLS, i team possono assicurarsi che il traffico API non venga intercettato o alterato da soggetti malintenzionati o utenti non autorizzati.

I protocolli di convalida dell'input proteggono le API dai dati dannosi, come gli attacchi di SQL injection e il cross-site scripting, assicurando che gli input soddisfino determinati criteri (lunghezza, tipo, formato, intervallo, ecc.) prima di essere elaborati. L'utilizzo di firewall per applicazioni web (WAF) e la convalida di schemi XML o JSON può aiutare i team addetti alla sicurezza ad automatizzare i processi di convalida, analizzando preventivamente le richieste in entrata e bloccando il traffico pericoloso prima che raggiunga il server.

Il rate limiting protegge le risorse API da attacchi brute force e DoS (Denial-of-Service) limitando il numero di chiamate che un utente o un indirizzo IP possono effettuare in un determinato periodo di tempo. I limiti alle richieste garantiscono che tutte le richieste API siano elaborate tempestivamente e che nessun utente possa sovraccaricare il sistema con richieste pericolose.

Come il rate limiting, anche il throttling limita il numero di chiamate API ricevute da un sistema. Tuttavia, anziché operare a livello di utente/client, il throttling opera a livello di server/rete. I limiti e le quote di throttling proteggono la larghezza di banda del sistema di backend dell'API limitandone il numero di chiamate, messaggi o entrambi, al secondo.

Le intestazioni di sicurezza possono essere particolarmente efficaci per prevenire gli attacchi di clickjacking. L'intestazione "content-security-policy", ad esempio, indica al browser quali risorse può richiedere al server. L'intestazione “x-content-type-option" impedisce ai browser di tentare di eseguire il MIME-sniffing dei tipi di contenuti, mentre l'intestazione “strict-transport-security" impone connessioni sicure (HTTP over SSL/TLS) al server.

L'installazione di API gateway è uno dei modi più semplici per limitare l'accesso alle API e aggiungere un ulteriore livello di sicurezza alla rete, soprattutto nel caso di API aperte. Un API gateway funge da unico punto di ingresso per tutte le richieste API che un sistema riceve, standardizzando le interazioni API e offrendo funzioni di sicurezza quali caching, analytics, API composition, rate limiting, crittografia, registrazione e controllo degli accessi.

Mantenere log di verifica completi e aggiornati, e rivederli spesso, consente alle organizzazioni di tenere traccia degli accessi e dell'utilizzo dei dati e di registrare ogni richiesta API. Data la complessità degli ecosistemi API, tenere sotto controllo l'attività delle API può richiedere molto lavoro, ma le procedure di auditing e di registrazione possono far risparmiare tempo ai team che devono tornare sui propri passi in seguito a una violazione dei dati o a una mancanza di conformità.

La gestione proattiva degli errori negli ambienti API può impedire ai criminali informatici di rivelare informazioni sensibili sui processi API. Idealmente, qualsiasi errore API restituirà codici di stato HTTP che indicano a grandi linee la natura dell'errore, fornendo ai team un contesto sufficiente per comprendere e risolvere il problema senza rischiare un'eccessiva esposizione dei dati.

Come per qualsiasi applicazione o sistema software, il monitoraggio e la manutenzione in tempo reale sono essenziali per garantire la sicurezza delle API. Tieni d'occhio qualsiasi attività di rete insolita e aggiorna le API con le ultime patch di sicurezza, correzioni di bug e nuove funzioni.

Le organizzazioni devono inoltre adottare standard di sicurezza tempestivi, come le raccomandazioni per l'API security dell'Open Web Application Security Project (OWASP). L'elenco OWASP API Security Top 10, ad esempio, offre un framework per comprendere e mitigare le minacce all'API security più critiche e comuni, come l'autenticazione interrotta, l'assegnazione di massa e la falsificazione delle richieste lato server.

Ogni nuova versione del software API include aggiornamenti di sicurezza e correzioni di bug che colmano le lacune nella sicurezza delle versioni precedenti. Tuttavia, senza adeguate pratiche di controllo delle versioni, gli utenti possono accidentalmente (o intenzionalmente) distribuire una versione obsoleta dell'API e mettere in pericolo i dati sensibili. Pratiche attente di controllo delle versioni e documentazione consentono alle aziende di accelerare lo sviluppo delle API e di eliminare gradualmente le vecchie versioni delle API senza interrompere i servizi, spingendo gli utenti verso iterazioni più nuove e sicure.

Ad esempio, se un team scopre una falla nella sicurezza all'interno della versione v1 di un'API, può correggerla nella versione v2. Inoltre, con il controllo delle versioni, i team che si occupano della sicurezza possono incoraggiare gli utenti a migrare dalla v1 alla v2 secondo i propri ritmi, chiarendo al contempo nella documentazione della versione che la v1 presenta una vulnerabilità di sicurezza già nota.

I test di sicurezza richiedono agli sviluppatori di inviare richieste standard utilizzando un client API per valutare la qualità e la correttezza delle risposte del sistema. Condurre regolarmente dei test per identificare e affrontare le lacune nella sicurezza aiuta i team a correggere le vulnerabilità delle API prima che i criminali informatici abbiano la possibilità di approfittarne.