9 strumenti di sicurezza API in prima linea nella sicurezza informatica

Di John Breeden II

CSO |

Le interfacce di programmazione delle applicazioni (API) sono diventate una parte fondamentale del networking, dei programmi, delle applicazioni, dei dispositivi e di quasi tutto il resto del panorama informatico. Ciò è particolarmente vero per il cloud e il mobile computing, nessuno dei quali probabilmente potrebbe esistere nella sua forma attuale senza le API che tengono tutto insieme o gestiscono gran parte delle funzionalità di backend.

Grazie alla loro affidabilità e semplicità, le API sono diventate onnipresenti nel panorama informatico. La maggior parte delle organizzazioni probabilmente non sa nemmeno quante API operano all'interno delle proprie reti, soprattutto all'interno dei cloud. Probabilmente esistono migliaia di API che lavorano all'interno di aziende più grandi e anche le organizzazioni più piccole probabilmente fanno affidamento su più API di quanto si rendano conto.

Per quanto utili siano diventate le API, il loro utilizzo ha anche creato un pericolo. Poiché esistono pochi standard per la creazione delle API e poiché molti sono unici, non è raro che le API contengano vulnerabilità sfruttabili. I malintenzionati hanno scoperto che attaccare un'API è spesso molto più semplice che attaccare direttamente un programma, un database, un'applicazione o una rete. Una volta compromessa, non è difficile modificare la funzionalità di un'API, rendendola una sorta di voltagabbana interna al servizio dell'hacker.

L'altro grande pericolo con le API è che hanno quasi sempre autorizzazioni eccessive. I programmatori concedono loro autorizzazioni elevate in modo che possano svolgere le loro funzioni senza interruzioni. Ma se un utente malintenzionato compromette un'API, potrebbe utilizzare tali autorizzazioni elevate per fare altre cose, proprio come se avesse compromesso l'account di un amministratore umano. Questo è diventato un problema tale che una ricerca di Akamai afferma che gli attacchi contro le API rappresentano il 75% di tutti i tentativi di furto di credenziali in tutto il mondo. Gli aggressori sanno che le API sono vulnerabili e onnipresenti e le stanno prendendo di mira.

Data la gravità del problema legato all’hacking delle API, non sorprende che negli ultimi anni sia aumentato anche il numero di strumenti di sicurezza delle API. Esistono dozzine di strumenti commerciali progettati per proteggere le API e anche centinaia di strumenti gratuiti o open source. Molti condividono somiglianze e funzionalità con altri tipi di programmi di sicurezza informatica, ma sono invece configurati specificamente per la natura unica delle API.

In generale, gli strumenti di sicurezza API rientrano in diverse categorie, anche se alcuni offrono piattaforme complete che cercano di fare tutto in una volta. Al giorno d'oggi il tipo più popolare di strumenti di sicurezza API sono quelli che proteggono le API da richieste dannose, una sorta di firewall API. Altri strumenti sono progettati per accedere dinamicamente e valutare un'API specifica per cercare vulnerabilità in modo che il suo codice possa essere rafforzato contro gli attacchi. Altri ancora semplicemente scansionano un ambiente in modo che un'organizzazione possa scoprire quante API esistono all'interno della propria rete, con l'idea che nessuno possa proteggere ciò di cui non è a conoscenza.

Cercare di compilare un elenco completo di strumenti API di sicurezza informatica sarebbe difficile dato il numero elevato. Ma studiando sia le recensioni degli utenti che quelle commerciali, diversi strumenti iniziano a emergere. Di seguito sono riportati alcuni dei principali strumenti disponibili per rafforzare la sicurezza delle API con brevi descrizioni dei loro punti di forza e funzioni. Centinaia non figurano in questo elenco, ma ciò dovrebbe fornire una buona istantanea di ciò che è disponibile e possibile quando si cerca di proteggere le API dal panorama delle minacce sempre più ostili di oggi.

Ecco nove dei principali strumenti di sicurezza ora disponibili:

Uno degli strumenti di sicurezza API più popolari, APIsec è quasi completamente automatizzato, quindi perfetto per le organizzazioni che potrebbero aver appena iniziato a migliorare la sicurezza delle proprie API. In un ambiente di produzione in cui le API sono già stabilite, APIsec le analizzerà e testerà le vulnerabilità comuni come gli attacchi di script injection. Ma effettuerà anche uno stress test completo su ciascuna API per garantire che sia protetta contro attacchi ai processi aziendali che non sono così facili da rilevare. Se vengono rilevati problemi, li contrassegnerà insieme ai risultati dettagliati per gli analisti della sicurezza.