I trend del mercato digitale fanno perno sulle interazioni, lo scambio dei dati e la resilienza: è possibile fare tutto questo senza esporre le imprese a rischi informatici che non sarebbero in grado di governare?
Gli attacchi cyber si stanno distribuendo in modo uniforme nelle diverse industry e interessano sempre di più le API, che rappresentano una necessità strategica per l’evoluzione del business: capiamo insieme perché è fondamentale adottare misure di API security adeguate e da dove partire per tutelare non solo i sistemi IT, ma anche la capacità dell’azienda di digitalizzarsi e di rimanere competitiva sul mercato.
Le minacce cyber interessano tutti i settori di mercato
Secondo i dati del rapporto Clusit 2021, il numero di attacchi informatici per semestre è notevolmente cresciuto negli ultimi quattro anni: un trend allarmante se consideriamo che il rapporto è basato su dati pubblici e riferito a entità di grandi dimensioni, in cui mancano moltissime informazioni che non vengono diffuse e gli attacchi che interessano le piccole e medie imprese che compongono tipicamente il tessuto italiano.
La curva in costante crescita ci mostra l’aumento della consistenza degli attacchi che hanno determinato effetti gravi, ai quali vanno accostati i numerosi tentativi che fortunatamente non hanno superato le difese di Cybersecurity.
Negli ultimi anni gli attacchi si sono distribuiti in modo sempre più uniforme su tutti i settori di mercato: nessuno è escluso dall’interesse del crimine informatico.
Questo fenomeno è stato favorito anche dall’introduzione della criptovaluta, grazie alla quale è diventato molto più semplice per gli attaccanti monetizzare tramite operazioni di ricatto e similari ogni forma di attacco.
Non sorprende quindi che il mercato della Cybersecurity abbia assunto sempre più importanza come fattore abilitante nella digitalizzazione delle imprese.
API security a servizio del business
Negli ultimi due anni abbiamo potuto osservare un’accelerazione netta dei processi di trasformazione digitale da parte delle imprese italiane e non solo: la velocità con cui sono dovute adeguare a questi cambiamenti ha creato una situazione di maggiore vulnerabilità alle minacce informatiche.
Di conseguenza, i clienti di oggi partono da un’esigenza diversa rispetto a prima della pandemia: non tanto mettere in sicurezza i propri servizi, quanto piuttosto dotarsi di servizi che nascono già sicuri.
Tra questi rientrano anche le API, che sono tra i protagonisti dell’ondata di digitalizzazione tutt’ora in corso.
Come abbiamo già avuto occasione di dire parlando di API security, Gartner ha previsto gli attacchi alle API come vettore più frequente da qui ai prossimi anni. Le API sono infatti uno dei maggiori motori della diffusione della digitalizzazione e vengono adoperate in molti contesti trasversali rispetto ai settori del mercato, come per esempio web, mobile, automation, IoT, desktop, voice e Artificial Intelligence.
L’orizzontalità dell’impiego delle API rispetto al mercato fa sì che l’impatto sulla loro sicurezza attraversi in modo cross tutti i settori delle imprese. L’API security è un problema anche del business:
- gli attacchi mettono sotto pressione un ingranaggio fondamentale per la strategia di digitalizzazione;
- nella maggior parte dei casi, le API danno accesso a dati personali e sensibili sulle risorse umane o sui clienti.
Investire in API security e API governance deve quindi rientrare tra le priorità delle imprese per poter supportare e tutelare le strategie di business nel medio-lungo termine.
Proteggersi dagli attacchi alle API: da dove iniziare?
Nonostante i dati mostrino chiaramente la necessità di mettere le strutture IT in sicurezza, sono ancora molte (anzi, troppe) le imprese che non adottano misure adeguate: secondo lo State of API Security di Salt, almeno la metà delle aziende non misura o non conosce quanto sono sicuri i propri sistemi, mentre solo l’11% delle aziende ha un livello avanzato di sicurezza delle API.
Questa assenza di governo ci porta verso la necessità di un approccio più completo di API management per poter garantire l’applicazione di security policy adeguate.
Da dove iniziare per progettare una strategia di API security per tutelare efficacemente il business?
Utilizzando per esempio strumenti come l’API Gateway, pattern architetturale e componente di piattaforma principale che offre funzionalità e supporto ai problemi di gestione delle API, e partendo dalle principali forme di attacco note, individuate già nel 2019 nella top 10 di OWASP: molte sono in comune con le minacce web, ma sono categorizzate e diffuse con modalità diverse e richiedono quindi un trattamento specifico.
L’adozione di un approccio strategico alla sicurezza è la chiave per permettere alle aziende di introdurre le competenze di security nel ciclo di vita delle API e costruire sistemi IT resilienti, affidabili e adeguatamente protetti rispetto alle minacce cyber attuali.
Abbiamo parlato di API security nell’edizione 2021 di Headless & API date: guarda la registrazione on demand per scoprire di più su come mettere in sicurezza le tue API.
Amazing
Good
Bad
Meh
Pff
