Protezione delle API significa risolvere il lato oscuro della gestione di questo tipo di interfacce, sempre più dirompenti. Le Application Programming Interfaces rappresentano una componente cruciale nell’ecosistema digitale moderno, facilitando il colloquio tra diverse applicazioni e sistemi. Con dei se e con dei ma.
Il primo grosso problema è legato alla formazione di chi le programma, che difficilmente è anche esperto di cybersecurity. Il secondo grande problema è che la maggior parte delle API vengono spesso create e utilizzate senza che i team IT o di sicurezza ne abbiano contezza.
I rischi di una gestione disfunzionale delle API
Il risultato è una modalità organizzativa che impedisce alle aziende di istituire un presidio delle API efficace ed efficiente. Secondo gli analisti, il 41% delle aziende fatica a tenere il ritmo di minacce sempre più mirate, il 39% a gestire dati e vulnerabilità a causa di API non sicure e il 37% a ottenere un inventario accurato delle API, incluse quelle che non sono più utilizzate (Fonte ESG 2022).
In questo contesto, l’Intelligenza Artificiale (IA) e il machine learning (ML) emergono come strumenti potenti per risolvere l’opacità informativa e identificare schemi di utilizzo malevolo delle API, migliorare la sicurezza e ridurre i falsi positivi. Ma, come spiegano gli esperti, per applicare queste nuove tecnologie alle aziende servono competenze multidisciplinari e percorsi di formazione altamente specializzati.
«L’IA già da tempo è un elemento chiave in molte soluzioni di cybersecurity – racconta Roberto Marzocca Lutech, offering leader cybersecurity –, con algoritmi utilizzati per tracciare i comportamenti degli utenti e del traffico di rete, identificando pattern di funzionamento normali e rilevando azioni potenzialmente malevole. Oggi, la vera rivoluzione in questo campo è rappresentata dall’uso dei Large Language Models. Questi modelli generativi migliorano la capacità di rilevamento ma hanno un altro lato della medaglia, offrendo nuovi strumenti agli attaccanti aumentando la loro abilità nel trovare debolezze nei sistemi IT (e OT) e al contempo sfruttarle per scopi malevoli rendendo possibile la creazione di malware e exploit con una maggiore facilità ed efficacia.».
Protezione delle API: è ora di investire di più e meglio nelle competenze
Recenti studi, come quello condotto dall’Università dell’Illinois, dimostrano, ad esempio, che attraverso alcune recenti piattaforme LLM potrebbe essere possibile analizzare le vulnerabilità conosciute e generare programmi di exploit con un fattore di successo dell’87% utilizzando esclusivamente informazioni pubbliche già disponibili. Questo significa che, mentre l’AI può identificare gap di sicurezza per i difensori, la stessa tecnologia si potrebbe trasformare in un potente strumento nelle mani di attaccanti aumentando l’automazione e la capacità degli stessi nel rendere gli attacchi rapidi ed estesi. È indispensabile, pertanto, acquisire un’approfondita conoscenza multidisciplinare di tali modelli avendo la consapevolezza che possono essere utilizzati anche dal “lato oscuro della forza”.
«La GenAI applicata alla protezione delle API rappresenta una delle novità più rilevanti e un tema centrale per il futuro della cybersecurity – prosegue Marzocca -. Ma le organizzazioni non possono pensare che sia sufficiente implementare un pacchetto software. L’AI è sempre il risultato di un progetto: alle imprese servono nuove competenze per aumentare la postura della loro sicurezza informatica aziendale. Il che significa includere la capacità di definire gli obiettivi per i modelli AI, rappresentare e istruire i dataset in modo affidabile, interpretando i risultati. Per farlo in modo corretto è più funzionale affidarsi a partner specializzati e qualificati. Difficilmente un’organizzazione ha le competenze e il tempo per farlo in autonomia».
Come e perché le API sono l’anello debole dello sviluppo
In questi ultimi anni, in cui la programmazione e l’integrazione tra applicazioni sono tornati ad essere protagonisti centrali del business, per una protezione delle API funzionale e a prova di hacker le aziende devono cambiare profondamente i processi organizzativi.
«I programmatori sono spesso focalizzati su obiettivi a breve termine, spinti dalle esigenze di mercato che richiedono un rapido time-to-market per le applicazioni – racconta Paolo Arcagni, director solution engineering di F5 –. Questo porta spesso a trascurare la sicurezza informatica, affidata a team separati all’interno della stessa azienda. Sebbene delegare la sicurezza a un team specializzato sia meglio che ignorarla del tutto, la soluzione ottimale sarebbe integrare la cyber security direttamente nel ciclo di sviluppo delle applicazioni, con un approccio DevSecOps».
Estensione dell’approccio DevOps a cui si aggiunge tra lo sviluppo e le operation la parte di SECurity, questo modello organizzativo è il più adottato dai dipartimenti IT per ottimizzare, securitizzare e accelerare il ciclo di vita del software. Come sottolinea il manager, prima ancora di scrivere la prima riga di codice, le aziende dovrebbero porsi domande fondamentali sulla sicurezza:
- Quali misure di cyber security saranno necessarie?
- Quali API verranno esposte?
- Quale sarà la visibilità dell’applicazione e quali database verranno utilizzati?
Queste domande, troppo spesso trascurate, sono invece essenziali per costruire applicazioni sicure.
«La cyber security dovrebbe essere by design, ovvero parte integrante della pianificazione dell’applicazione sin dalle fasi iniziali – ribadisce Arcagni -. Proteggere le API dagli attaccanti è sempre più complesso, considerato come la superficie di attacco è ora molto più estesa e le metodologie di attacco siano molteplici. Le moderne architetture, come il cloud e l’hybrid cloud, richiedono una federazione tra vari ambienti, aumentando ulteriormente l’esposizione delle aziende. L’AI, le moderne applicazioni mobili e i dialoghi federati, sia intra-aziendali che interaziendali, dipendono tutti dalle API. Ecco perché la loro sicurezza non può essere trascurata, rappresentando il punto di accesso a molte funzionalità critiche e dati sensibili».
Le best practices Lutech e F5 per la protezione delle API
Come ribadiscono i due esperti, il primo passo da fare se si vuole garantire una protezione delle API è mapparle e fare un inventario corretto. Solo così è possibile comprendere come sono distribuite e dove si trovano. Una volta ottenuta una visione chiara delle API, è possibile creare una gerarchia con delle priorità, bilanciando i rischi e stabilendo quali necessitano di una protezione più rigorosa.
La mappatura accurata delle vulnerabilità, l’adozione di una sicurezza by design sono elementi chiave per proteggere le infrastrutture aziendali. La collaborazione tra F5 e Lutech offre alle aziende un supporto tecnologico e operativo fondamentale per offrire alle aziende tutta la sicurezza che si meritano. La partnership tra i due specialisti offre strumenti e metodologie che innestano la sicurezza direttamente nel ciclo di sviluppo delle applicazioni, definendo misure di protezione prima ancora di iniziare la scrittura del codice e automatizzando l’analisi delle possibili vulnerabilità per le API in essere e in divenire.
La sinergia di una partnership preziosa per tutte le aziende
«F5 ha recepito le difficoltà dei clienti nell’implementare la sicurezza sul fronte applicativo e per questo mette a disposizione dei toolset dedicati che abbiamo inserito nel nostro portafoglio a seguito di due importanti acquisizioni: Wib e Heyhack– precisa Arcagni -. Il primo strumento serve aumentare nativamente la protezione delle API in via di sviluppo mentre il secondo permette ai clienti di analizzare ciò che hanno già pubblicato per capire se c’è qualcosa di pericoloso utilizzando modalità di continuous penetration test. I due tool sono integrati con F5 Distributed Cloud Services, un servizio di cybersecurity in cloud che include anche funzionalità Web Application Protection. A questo proposito Lutech rappresenta per noi un partner fondamentale, operando come il nostro braccio armato sul territorio facendo un lavoro egregio in termini di consulenza, analisi, valutazione e integrazione».
La sicurezza delle API, infatti, va affrontata considerando vari livelli di protezione, ognuno dei quali affronta specifici aspetti della cybersecurity in base alle caratteristiche e alle specificità di ogni organizzazione.
«Realizziamo soluzioni e servizi cyber all’interno delle aziende – conclude Marzocca -, impostando una strategia innovativa basata sull’automazione dei processi, l’integrazione tra i sistemi di cyber security e la predizione delle minacce. Attraverso la qualità e competenza dei servizi professionali e dei nostri Managed Security Services, sviluppiamo dei nuovi modelli di difesa abilitando modalità predittive e prescrittive strategiche per le organizzazioni di qualsiasi settore e dimensione. Rispetto a un approccio classico di detection e respond, infatti, il raggio di azione della sicurezza gestita si è molto ampliato. Avere un partner strategico come F5 ci permette di garantire ai nostri clienti soluzioni di altissima qualità ed efficacia per portare nelle aziende un’iperautomazione intelligente, integrata nativamente in qualsiasi tipo di progetto, aiutandole a superare le divisioni interne e a implementare soluzioni più efficaci».