Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Jul 13, 2023
Google: con il cloud arrivano API e problemi di sicurezza
Robert Lemos | Dec 27, 2022 Web application programming interfaces (APIs) are
Roberto Lemos | 27 dicembre 2022
Le interfacce di programmazione delle applicazioni Web (API) sono il collante che tiene insieme le applicazioni e l'infrastruttura cloud, ma questi endpoint sono sempre più sotto attacco, con la metà delle aziende che ha riconosciuto un incidente di sicurezza correlato alle API negli ultimi 12 mesi.
Secondo un sondaggio condotto da Google Cloud, i problemi di sicurezza più fastidiosi che riguardano l'utilizzo delle API da parte delle aziende sono errori di configurazione della sicurezza, API e componenti obsoleti e bot di spam o abusi: il 40% delle aziende ha subito un incidente a causa di un'errata configurazione e un terzo ha affrontato la situazione con questi ultimi due problemi.
Due terzi delle aziende (67%) hanno riscontrato problemi di sicurezza e vulnerabilità legati alle API durante la fase di test, ma la maggior parte delle aziende (oltre il 60%) ha scoperto problemi durante il processo di sviluppo del software, durante la distribuzione delle applicazioni e utilizzando il monitoraggio in tempo reale , secondo un sondaggio condotto tra oltre 500 leader tecnologici.
Nonostante questi problemi, più di tre quarti (77%) sono fiduciosi che risolveranno i problemi, affermando di disporre degli strumenti e delle soluzioni API richiesti, afferma Vikas Anand, responsabile del prodotto per le piattaforme applicative aziendali presso Google Cloud.
"C'è una percezione di fiducia negli strumenti esistenti che non è accompagnata da prove", afferma Anand. "Il panorama della sicurezza è cambiato: con la drammatica crescita del volume delle API, le API sono il nuovo campo di battaglia per la sicurezza delle applicazioni."
L’interesse per le API Web nasce dal momento che le aziende hanno accelerato la propria trasformazione digitale negli ultimi due anni a seguito delle interruzioni dell’attività causate dalla pandemia di coronavirus. Quasi tutte (93%) le aziende intervistate da Google in un secondo studio condotto su 770 leader tecnologici hanno definito le loro operazioni basate "prevalentemente sul cloud", in aumento rispetto all'83% di due anni fa.
Al contrario, i decisori aziendali che caratterizzano le loro operazioni come “per lo più in sede” sono diminuiti della metà, passando dal 16% nello stesso periodo di tempo al 7%.
Secondo una stima, gli incidenti di sicurezza legati alle API hanno causato perdite da 12 a 23 miliardi di dollari dal 2020. E la superficie di attacco sta diventando sempre più grande: la grande azienda media ha tre volte il numero di API – 15.600 – rispetto a un anno fa.
Mentre il 46% delle organizzazioni intervistate riserva l'utilizzo delle API solo all'interno della propria organizzazione, più della metà (54%) consente a partner, clienti e altri sviluppatori esterni di utilizzare le API come un modo per stimolare lo sviluppo di terze parti, ha rilevato Google.
"Le API sono fondamentali per la modernizzazione delle applicazioni e la trasformazione digitale perché, insieme ai microservizi, consentono una rapida fornitura di nuove esperienze ai clienti, riducendo al contempo i costi di sviluppo e manutenzione", ha affermato Google Cloud nel suo "The Digital Crunch Time: 2022 State of Rapporto API e applicazioni".
Poiché le API sono fondamentali per la loro trasformazione digitale, le aziende hanno saggiamente dato priorità agli investimenti nella sicurezza delle API, con il 60% che mira a migliorare la propria capacità di identificare in modo proattivo le minacce alla sicurezza e il 57% ad adottare una maggiore automazione e orchestrazione della sicurezza, secondo il secondo rapporto di Google Cloud, "API Sicurezza: ultimi approfondimenti e tendenze chiave."
Circa la metà delle aziende intende inoltre espandere il monitoraggio in tempo reale dei server API e utilizzare sistemi di intelligenza artificiale e apprendimento automatico (AI/ML) per scoprire meglio difetti e rilevare attacchi.
"Man mano che le organizzazioni passano dall'essere reazionarie all'affrontare proattivamente queste minacce, vedremo i modelli AI/ML diventare più ampiamente adottati all'interno degli strumenti di sicurezza", afferma Anand. "Le regole basate sul machine learning ne sono la naturale evoluzione: non si limitano ad automatizzare, ma imparano continuamente da tali esperienze."
Non sorprende che le aziende che hanno avuto più esperienza con le API abbiano anche riscontrato più successo nella transizione verso operazioni più native del cloud.
Circa un terzo delle aziende (34%) si è classificata come avente un approccio maturo alle API, promuovendo una strategia API-first in tutte le organizzazioni e utilizzando una piattaforma di gestione delle API. Queste aziende hanno anche avuto più successo nell’aumentare l’efficienza, una migliore collaborazione e una maggiore agilità, rispetto alle organizzazioni con una maturità API inferiore.