Le API si stanno confermando le componenti strutturali più importanti del web, e contemporaneamente sono il bersaglio più a rischio per gli attacchi informatici. Non è semplice mettere in sicurezza un’archittettura basata su API, e i cybercriminali sfruttano tecniche sempre più innovative per i loro attacchi.
Tuttavia, se le API sono gestite e protette in maniera adeguata, la loro efficacia supera di gran lunga i rischi legati alla sicurezza in fase di distribuzione.
Tornando indietro agli anni ’90, quando il world wide web iniziò a prendere campo come canale per comunicare in modo efficiente ed a costi ridotti con i propri clienti, ogni azienda iniziò la propria corsa per essere il più rapidamente possibile online. Era inconcepibile pensare che un’azienda potesse esistere senza il proprio sito web.
Oggi, le APIs sono paragonabili a quello che era il world wide web negli anni ’90, infatti le aziende si stanno mobilitando per implementare al più presto un’architettura basata su APIs.
Realtà sulla Sicurezza delle APIs
Sebbene ci siano molte informazioni relative ai benefici dell’implementazione di un’architettura basata su APIs, non si può dire lo stesso per i rischi legati a sicurezza e privacy delle APIs .
Molte aziende spingono per velocizzare il processo di esposizione delle proprie APIs sul web, senza preoccuparsi delle difficoltà legate alla sicurezza.
In altre parole, la sicurezza percepita delle APIs si riflette nella convinzione comune che i noti standard di sicurezza relativi ad internet, al web e al provisioning delle APIs siano sufficienti per la loro protezione.
Tuttavia, questa pericolosa supposizione non è stata confermata come veritiera; vediamo insieme qualche esempio reale.
Sicurezza Percepita e Reale
Dal 2014, molte delle più grandi aziende presenti su internet (mi riferisco ad aziende con risorse finanziarie illimitate da poter dedicare alla sicurezza delle APIs) hanno scoperto vulnerabilità relative alla sicurezza delle proprie APIs.
Tra queste aziende ci sono Google, Apple e Facebook. I problemi legati alla sicurezza o errori di progettazione delle APIs sono state le determinanti che le hanno esposte a minacce informatiche. Si tratta quindi di errori umani.
Questo porta automaticamente a porsi una domanda molto importante: se queste aziende, che hanno la possibilità di collaborare con i maggiori esperti del settore, si sono trovate in difficoltà riguardo la sicurezza delle APIs, le aziende con meno risorse come possono far fronte al problema?
La domanda ha senso quando viene posta preventivamente, quindi in fase di progettazione di un’architettura API. In molti casi però, la questione relativa alla sicurezza avviene solo dopo l’implementazione di un'architettura basata su API.
Quando le applicazioni mobile sono in uso i dati relativi alle APIs sono facilmente individuabili anche nel caso in cui le tecnologie di sicurezza come HTTPS abbiano garantito la protezione di tali comunicazioni.
Non solo ci sono molteplici modalità per esporre questi dati, ma è possibile scaricare delle applicazioni gratuite sul tuo smartphone che permettono tutto ciò.
L’aspetto fondamentale delle APIs è la loro scalabilità. Le APIs permettono ad un’applicazione di ripetere determinate istruzioni su un’altra applicazione con straordinaria velocità.
3 Considerazioni Chiave per la Protezione della Tua Azienda
- Prevenzione dagli attacchi: limitare l’accesso in base agli indirizzi IP client attraverso filtri drag and drop per proteggere il sistema da cybercriminali e prevenire replay-attack utilizzando una policy a scadenza per messaggi facilmente configurabili; applicare controlli di ridondanza ciclici (cyclic redundancy check) per il rilevamento di eventuali manomissioni;
- Crittografia, digital signature: preservare l’integrità e la riservatezza dei dati mediante la crittografia di tutti o parte dei payload di messaggio o delle credenziali di accesso in un ambiente crittografato; preservare l’integrità dei dati con digital signature utilizzando standard più recenti come JWT e JWE. È necessario assicurarsi che tutti i dati dell’utente, in particolare i token OAuth, siano crittografati nella fase di riposo;
- Gestione dell’identità: proteggere l’accesso alle APIs e agli endpoint sfruttando standard di sicurezza comprovati come SAML e OAuth2 o utilizzando archivio LDAP esistente per autenticazione e autorizzazione. Con API Manager, le policy possono essere configurate e applicate in fase di runtime.
Protezione delle APIs attraverso Security by design
Nonostante ci siano molteplici best practices per proteggere le APIs, le aziende dovrebbero considerare un servizio security by design per applicazioni e servizi.
Una modalità con la quale le organizzazioni si indirizzano a questa tipologia di servizio è attraverso l’application network, che consente di integrare la sicurezza ad ogni livello del sistema aziendale.
MuleSoft è la soluzione basata su API-led connectivity in grado integrare applicazioni, dati e dispositivi, sia in locale che in cloud. Per avere maggiori informazioni su Anypoint Platform di MuleSoft inviaci una mail a cio@florence-consulting.it, oppure chiama lo (055) 538-3250.
Puoi visitare questa pagina per richiedere materiale informativo o demo gratuita.
Sei interessato ma non hai tempo? Compila il form sottostante con la tua richiesta.