Akamai Technologies, l’azienda di servizi cloud la cui mission è quella di abilitare e proteggere la vita online, ha pubblicato i risultati di un nuova indagine condotta tra i professionisti della sicurezza delle applicazioni in merito ai principali rischi per la sicurezza legati alle API (Application Programming Interface).
L’indagine SANS 2023 sulla sicurezza delle API ha rilevato che meno del 50% degli intervistati dispone di strumenti di verifica della sicurezza delle API e, una percentuale ancora inferiore (29%) dispone di strumenti di individuazione delle API. Inoltre, il report segnala che sfruttare i controlli di sicurezza API inclusi nei servizi di mitigazione DDoS e di bilanciamento del carico è “un’area poco sfruttata”, Infatti solo il 29% degli intervistati ha dichiarato di utilizzare queste funzioni.
L’indagine è stata condotta da Akamai in collaborazione con il SANS Institute nel primo trimestre del 2023, per determinare il grado di consapevolezza delle aziende, la loro preparazione e le strategie future in relazione ai rischi per la sicurezza delle API. I 231 intervistati a livello globale erano principalmente professionisti della sicurezza delle applicazioni.
Le app moderne usano sempre più spesso le API, al fine di acquisire i processi aziendali e convertirli in informazioni necessarie per consentire ai partner aziendali e ai clienti di collaborare al meglio con l’azienda. Un recente report sullo stato di Internet di Akamai, intitolato “Slipping Through the Security Cracks”, ha identificato il 2022 come un anno da record per gli attacchi alle applicazioni e alle API.
I partecipanti al sondaggio hanno classificato gli attacchi di phishing (38,3%) e le patch mancanti (24%) come i due principali problemi di sicurezza delle API. A seguire sono stati segnalati anche problemi legati allo sfruttamento di applicazioni/API vulnerabili (12%) e alla divulgazione accidentale di informazioni sensibili (9,1%).
Tra gli altri risultati principali dell’indagine sono compresi i seguenti:
- Il 62% degli intervistati utilizza soluzioni WAF (Web Application Firewall) per mitigare i rischi delle API.
- La maggior parte degli intervistati (57,1%) ha segnalato una precisione dell’inventario delle API compresa tra il 25% e il 75%.
- La maggior parte degli intervistati ha citato le liste OWASP (Open Web Application Security Project), Application Security e API Top Ten e il MITRE ATT&AC Framework come necessarie per definire i rischi delle applicazioni e delle API.
- Il 76% dei partecipanti ha menzionato la formazione dei propri sviluppatori sulla sicurezza delle applicazioni.
“La nuova analisi offre il punto di vista del settore su una problematica di sicurezza che continuerà a essere di fondamentale importanza nel 2023 e in futuro“, ha affermato Rupesh Chokshi, Senior Vice President e General Manager, Application Security di Akamai. “I risultati evidenziano la necessità, per le aziende, di concentrarsi maggiormente sulla posizione e sul numero di API in esecuzione, perché le API vulnerabili stanno diventando il punto di accesso più diffuso per gli attacchi“.
“I risultati principali di questa indagine dimostrano che i sistemi di controllo della sicurezza (ad esempio, l’autenticazione avanzata, l’inventario delle risorse, la gestione delle vulnerabilità e il controllo delle modifiche) non possono trascurare i problemi di sicurezza delle API“, ha affermato John Pescatore, Director of Emerging Security Trends di SANS. “La prevenzione e il rilevamento devono essere migliorati per far fronte agli attacchi rivolti alle API e anche i servizi delle infrastrutture (tra cui le reti per la distribuzione dei contenuti e il filtraggio degli attacchi DDoS) devono essere sfruttati al meglio“.
