- Quali sono le minacce pi\u00f9 frequenti per le API?<\/a><\/li>
- Le peculiarit\u00e0 delle API<\/a><\/li>
- La Top 10 di OWASP dedicata alle API security<\/a><\/li><\/ol><\/div><\/div><\/p>[vc_row type=”in_container” full_screen_row_position=”middle” column_margin=”default” column_direction=”default” column_direction_tablet=”default” column_direction_phone=”default” scene_position=”center” text_color=”dark” text_align=”left” row_border_radius=”none” row_border_radius_applies=”bg” overflow=”visible” overlay_strength=”0.3″ gradient_direction=”left_to_right” shape_divider_position=”bottom” bg_image_animation=”none”][vc_column column_padding=”no-extra-padding” column_padding_tablet=”inherit” column_padding_phone=”inherit” column_padding_position=”all” column_element_direction_desktop=”default” column_element_spacing=”default” desktop_text_alignment=”default” tablet_text_alignment=”default” phone_text_alignment=”default” background_color_opacity=”1″ background_hover_color_opacity=”1″ column_backdrop_filter=”none” column_shadow=”none” column_border_radius=”none” column_link_target=”_self” column_position=”default” gradient_direction=”left_to_right” overlay_strength=”0.3″ width=”1\/1″ tablet_width_inherit=”default” animation_type=”default” bg_image_animation=”none” border_type=”simple” column_border_width=”none” column_border_style=”solid”][vc_column_text css=”” text_direction=”default”]Quando si decide di basare la propria strategia d\u2019integrazione IT<\/a> sulle API<\/strong> occorre anche pensare a un approccio strategico di API security per garantirne la sicurezza<\/strong>. Le API, infatti, presentano delle caratteristiche specifiche che richiedono una gestione ad hoc per evitare perdite o violazioni dei dati. L\u2019importanza di questo tema \u00e8 testimoniata dai report di sicurezza che mostrano andamenti crescenti non solo dell\u2019utilizzo delle API, ma ancora di pi\u00f9 del traffico maligno e degli incident sulle stesse.
\nCapiamo insieme quali sono le vulnerabilit\u00e0 che le affliggono maggiormente e le tipologie di attacco<\/strong> dalle quali un\u2019azienda deve proteggersi.<\/p>\nQuali sono le minacce pi\u00f9 frequenti per le API?<\/h2>\n
L\u2019utilizzo delle API \u00e8 un fenomeno che caratterizza i nuovi approcci<\/strong> per creare applicazioni web e app mobile, per raggiungere nuovi touch point digitali e anche per integrare i servizi tra aziende diverse<\/strong>. Questo le rende un elemento chiave nell\u2019ondata di digitalizzazione che sta interessando le aziende, ma anche un bersaglio per le minacce cyber<\/strong>.<\/p>\n
Secondo le stime di Gartner, nel 2022 gli attacchi alle API diventeranno il primo vettore d\u2019attacco per frequenza, provocando fenomeni di data breach per le applicazioni web enterprise.<\/p><\/blockquote>\n
Da dove nascono queste vulnerabilit\u00e0?<\/p>\n
Nelle applicazioni web tradizionali l\u2019elaborazione \u00e8 eseguita prevalentemente server side e la pagina web risultante viene inviata al client che ha il compito di gestirne la visualizzazione. Le applicazioni moderne, invece, sfruttano le API per scambiare \u201cdati grezzi\u201d con i sistemi di backend<\/strong> e lasciano alla UI la gestione dello stato e della visualizzazione.<\/p>\n
![\"Differenza](\"https:\/\/www.intesys.it\/journal\/wp-content\/uploads\/sites\/13\/2021\/11\/webapp_security_vs_api_security-600x274.jpg\")
<\/p>\nLe API a differenza delle applicazioni web tradizionali ritornano \u201cdati\u201d, indipendenti dallo strato di presentazione (APIsecurity.io<\/a>)<\/em><\/p>\n
Se da un lato quindi le API non hanno un frontend<\/strong> e risultano complessivamente pi\u00f9 semplici di un\u2019applicazione web tradizionale (full-stack), dall\u2019altro hanno delle caratteristiche che le rendono aperte a nuove tipologie di attacco<\/strong> e richiedono, dal punto di vista della sicurezza, una trattazione dedicata.<\/p>\n
Le peculiarit\u00e0 delle API<\/h2>\n
Le API tipicamente rispondono a criteri d\u2019uso generale, risultando:<\/p>\n
- \n
- Riutilizzabili all\u2019interno di vari silos applicativi<\/strong>;<\/li>\n
- Consumabili da una pletora di client e canali diversi<\/strong> con differenti tipologie di utenti, che presentano diversi gradi di trust<\/strong>;<\/li>\n
- In grado di inglobare logiche di business<\/strong> utili ai diversi contesti di utilizzo e ad assumere un controllo centralizzato per l\u2019autenticazione e l\u2019autorizzazione<\/strong>.<\/li>\n<\/ul>\n
Al loro interno, a livello implementativo, assumono una cosiddetta \u201cnatura orizzontale<\/strong>\u201d: vanno cio\u00e8 a riutilizzare servizi e microservizi esistenti<\/strong> aumentando cos\u00ec la superficie di esposizione. I microservizi, inoltre, secondo le recenti tendenze \u201ccloud native\u201d, risultano essere scritti in disparati linguaggi di programmazione<\/strong> ed eseguiti in altrettanti ambienti d\u2019esecuzione<\/strong> tra loro indipendenti.
\nSi intuisce quindi come le API, oltre ad una sicurezza perimetrale<\/strong> (nord-sud) tipicamente presidiata dagli API Gateway<\/a> e dai WAF, sfruttano molto anche il cosiddetto traffico \u201ceast-west\u201d, in particolar modo se eseguite all\u2019interno di ambienti di orchestrazione di container come Kubernetes<\/a> dove concorre l\u2019esecuzione e la combinazione di diversi servizi (Service Mesh).<\/p>\nCome proteggersi quindi? Il presupposto \u00e8 capire da cosa bisogna difendersi.<\/p>\n
La Top 10 di OWASP dedicata alle API security<\/h2>\n
In questo panorama gi\u00e0 nel 2019 OWASP<\/a> (Open Web Application Security Project), la famosa comunit\u00e0 non-profit che originato la medesima classifica per le applicazioni web, ha ritenuto necessario stilare la \u201cTop 10\u201d dedicata alle API<\/strong> identificando le dieci tipologie di attacco che specificatamente le mettono pi\u00f9 a rischio:<\/p>\n
- \n
- Broken object level authorization<\/strong>: un attaccante altera gli input per tentare di accedere ad oggetti\/informazioni a cui non \u00e8 autorizzato;<\/li>\n
- Broken user authentication<\/strong>: errori nella implementazione della autenticazione che consentono ad un attaccante di assumere l\u2019identit\u00e0 di altri utenti;<\/li>\n
- Excessive data exposure<\/strong>: i dati delle API contengono informazioni a cui l\u2019utente non \u00e8 autorizzato ad accedere o la cui visibilit\u00e0 \u00e8 (erroneamente) delegata al client;<\/li>\n
- Lack of resources and rate limiting<\/strong>: assenza di limiti nell\u2019accesso a funzioni o risorse;<\/li>\n
- Broken function level authorization<\/strong>: l\u2019attaccante riesce ad utilizzare funzionalit\u00e0 amministrative e funzioni altrimenti riservate;<\/li>\n
- Mass assignement<\/strong>: un attaccante manipola gli oggetti in input per sfruttare business logic vulnerabili e ottenere diritti che altrimenti non avrebbe;<\/li>\n
- Security misconfiguration<\/strong>: errate configurazioni consentono ad un attaccante accessi o funzioni non autorizzate;<\/li>\n
- Injection<\/strong>: un attaccante degli input per sfruttare vulnerabilit\u00e0 di SQL, NoSQL, LDAP injection;<\/li>\n
- Improper assets management<\/strong>: l\u2019attaccante sfrutta degli asset non documentati o non aggiornati, ma pubblici, per ottenere informazioni o compromettere un sistema;<\/li>\n
- Insufficient logging and monitoring<\/strong>: insufficienza di log o di monitoraggio consentono ad un attaccante di operare senza essere rilevato o rilevato in ritardo.<\/li>\n<\/ol>\n
La classificazione OWASP non \u00e8 certo l\u2019unico strumento, ma \u00e8 sicuramente un ottimo punto di partenza per comprendere le possibili vulnerabilit\u00e0 e costruire una strategia di messa in sicurezza delle API<\/strong> che, nel loro ciclo di vita, deve essere necessariamente strutturata, organizzata e condivisa secondo un principio di \u201cSecurity by Design\u201d coinvolgendo a 360\u00b0 i team degli API designer, degli sviluppatori, dei DevSecOps, delle operations e tutti gli addetti alla sicurezza IT.<\/p>\n
Abbiamo parlato di questo argomento e di come difendere le API nell\u2019edizione 2021 di Headless & API date<\/a> (25 novembre): guarda la registrazione per saperne di pi\u00f9.<\/p>\n
- Broken user authentication<\/strong>: errori nella implementazione della autenticazione che consentono ad un attaccante di assumere l\u2019identit\u00e0 di altri utenti;<\/li>\n
- Consumabili da una pletora di client e canali diversi<\/strong> con differenti tipologie di utenti, che presentano diversi gradi di trust<\/strong>;<\/li>\n
- Le peculiarit\u00e0 delle API<\/a><\/li>
![\"\"](\"https:\/\/www.intesys.it\/journal\/wp-content\/uploads\/sites\/13\/2021\/10\/HAPI-2021_rec-banner-600x300.png\")
<\/a><\/p>\n