Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Apr 28, 2023
Il rapporto FireTail rileva che le violazioni della sicurezza delle API sono poche ma letali
Home » Security Boulevard (Original) » FireTail Report Finds API Security
Home » Security Boulevard (originale) » Il rapporto FireTail rileva che le violazioni della sicurezza delle API sono poche ma letali
Un’analisi delle violazioni della sicurezza informatica nel 2022 condotta da FireTail, un fornitore di una piattaforma per la protezione delle interfacce di programmazione delle applicazioni (API), ha rilevato solo 12 violazioni registrate pubblicamente che coinvolgono API, con altre sei divulgate finora nel 2023.
Tuttavia, la dimensione media media dell’esposizione alla violazione dei dati API è di oltre 10 milioni di record per incidente. Con un costo totale di 180 dollari per un singolo record violato, il costo totale delle violazioni della sicurezza delle API può raggiungere facilmente gli 85 miliardi di dollari, secondo il rapporto.
Le due principali categorie di violazioni dei dati che coinvolgono la sicurezza delle API sono l'autorizzazione per 135 milioni di record, ovvero il 28% di tutti i record violati, e l'autenticazione, per 105 milioni di record, ovvero il 22% di tutti i record violati.
Jeremy Snyder, CEO di FireTail, ha affermato che, con oltre l'85% del traffico Internet che si sposta attraverso le API, è ormai solo questione di tempo prima che il numero di violazioni della sicurezza delle API e il costo totale aumentino. Sfortunatamente, ha aggiunto, il livello di attenzione alla sicurezza delle API non è commisurato al potenziale rischio per l’azienda.
Inoltre, il livello di competenza disponibile in materia di sicurezza API rimane limitato. Ad esempio, una considerazione spesso trascurata nel processo di autenticazione è la necessità di convalidare ripetutamente le credenziali di autenticazione e di associarle a una sessione attiva. Le credenziali di lunga durata, come le chiavi API statiche, sono soggette alla proliferazione dei segreti. Alcuni meccanismi di autenticazione comuni potrebbero persino introdurre vulnerabilità nelle API.
Pertanto, è importante che le API siano progettate per forzare l'autenticazione su base regolare anziché limitarsi a verificare se un token è conforme al formato previsto.
Non è sempre chiaro chi è responsabile della sicurezza delle API. Ma poiché i criminali informatici apprezzano la quantità di dati che possono essere estratti tramite un’API, è evidente la necessità di una maggiore collaborazione tra i team di sicurezza informatica incaricati di proteggere tali API e gli sviluppatori che le creano.
Ancora più impegnativo è il fatto che il numero di API distribuite negli ambienti di produzione è aumentato notevolmente, grazie principalmente alla crescita delle applicazioni basate su microservizi che ne fanno ampio uso. Inoltre, non è raro che gli sviluppatori abbiano implementato una cosiddetta API zombie che non è più supportata ma è ancora accessibile e manipolabile da autori di minacce esterne. Inoltre, spesso esistono API non autorizzate che sono state configurate senza che nessuno nel reparto IT ne fosse a conoscenza. Il problema più grande che i team di sicurezza informatica incontreranno con le API è che non è possibile proteggere ciò di cui non sono a conoscenza, ha osservato Snyder.
In teoria, almeno, i team di sviluppo delle applicazioni che adottano le pratiche DevSecOps per la creazione e la distribuzione di applicazioni si assumeranno maggiori responsabilità per la protezione delle API, ma sarà sempre il team di sicurezza informatica a essere ritenuto responsabile di qualsiasi violazione. Tuttavia, storicamente, i team di sicurezza informatica si sono concentrati maggiormente sulla protezione di perimetri ed endpoint, quindi la maggior parte del budget stanziato per la sicurezza informatica non viene applicata alle API.
Ciò potrebbe cambiare nei prossimi mesi man mano che le violazioni delle API diventeranno più comuni. Nel frattempo, i team di sicurezza informatica dovrebbero, come minimo, creare un inventario delle API di cui sono a conoscenza e che hanno il compito di proteggere, indipendentemente da chi le ha create.