L’osservatorio di L7 Defense ha potuto constatare un aumento del 160% degli attacchi API Business Logic dal 2020
Le interfacce di programmazione delle applicazioni (API) rimangono un obiettivo sempre più attraente per gli aggressori. Le aziende oggi utilizzano sempre più API per consentire loro di fornire accesso ai propri dati e flussi funzionali alle proprie applicazioni di terze parti o esterne, aumentando così la superficie di attacco e introducendo la complessità aggiuntiva della gestione di un numero elevato di API.
Le preoccupazioni sulla sicurezza delle API non sono nuove. Già nel lontano 2017 Un rapporto Gartner prevedeva che l’abuso delle API sarebbe diventato una delle principali preoccupazioni per i team di sicurezza entro il 2022.
Infatti, a causa della rapida pubblicazione e aggiornamento delle API in tutti i settori, gli attacchi API sono diventati un obiettivo attraente per gli attori delle minacce che desiderano accedere alle funzionalità e ai database interni di un’organizzazione. Stanno utilizzando tattiche complesse, come sfruttare l’apprendimento automatico (ML), per lanciare attacchi che imitano comportamenti non dannosi eliminando i modelli utilizzati tradizionalmente per identificare comportamenti dannosi.
Perché è così difficile per le organizzazioni prevenire gli attacchi API?
Il primo passo per colmare il divario di implementazione della cyber security derivante dalle distribuzioni di API è identificare il problema. Esistono generalmente due tipi di traffico relativo alle API: traffico proveniente da utenti effettivi e traffico dannoso. In termini di sicurezza informatica, il traffico dannoso si riferisce agli attacchi basati su contenuti dannosi. È molto difficile in termini di API distinguere tra questi due tipi di traffico.
Ve lo spieghiamo con uno scenario tecnico reale.
Uno degli attacchi alla logica di business API più attivi è il classico DDoS (Applicative Distributed Denial-of-Service) che attacca e abusa dei meccanismi di business logic di backoffice “pesante” attraverso chiamate API come l’abuso del meccanismo di login dinamico. Tale attacco utilizza tecniche di camuffamento, ad esempio l’implementazione a rotazione degli indirizzi IP di origine insieme a parametri di richiesta casuali o basati su dizionario volti a sabotare il tempo di risposta (SLA) del servizio. Se un’API ha una logica aziendale incorporata per comprendere tali input, è ancora estremamente difficile per l’API Business Logic analizzare la minaccia da sola e rispondere di conseguenza. Il motivo è che l’obiettivo di un’API Business Logic è fornire disponibilità di dati o flussi di business funzionali ai suoi utenti reali e quindi eviterà di influire sulla priorità aziendale. Tuttavia, una delle conseguenze può essere un grave danno alla disponibilità aziendale o persino alla reputazione dell’organizzazione.
Quale sarebbe la soluzione?
La gestione della sicurezza delle API non è facile rispetto ad altri componenti dell’organizzazione rivolti al pubblico, principalmente perché ha molte informazioni interne esposte al mondo esterno. Di seguito sono riportate le aree chiave su cui le organizzazioni dovrebbero concentrarsi durante l’implementazione della sicurezza API.
Considera tutte le API una minaccia. Le API che regolano il modo in cui gli utenti interagiscono con un’applicazione sono una minaccia ovvia. Ma lo sono anche gli attacchi dietro le quinte al massiccio flusso di dati “est-ovest” tra i micro-servizi.
Mantieni un inventario accurato e aggiornato delle API. Non lasceresti a qualcuno che non conosci gironzolare per casa tua e invitare sconosciuti. Non lasciare nemmeno che le API sconosciute restino in giro. Assicurati che i tuoi team dispongano di processi per scegliere, autenticare e autorizzare tutte le API, nonché per impedire l’uso di altre.
Guarda dentro il bagaglio. La catalogazione e l’autenticazione delle API sono necessarie, ma non sufficienti, un po’ come richiedere a tutti di mostrare i propri passaporti prima di salire sull’aereo, ma non di controllare il bagaglio a mano alla ricerca di armi. Per una vera sicurezza delle API, le aziende devono essere in grado di guardare all’interno del payload del traffico Internet per individuare comportamenti sospetti.
Prendi sul serio DevSecOps. Nessuna di queste best practice è possibile senza coordinamento e una certa collaborazione tra i team di sviluppo, sicurezza e operazioni delle app. È probabile che ci siano persone nel tuo team che ci hanno lavorato negli ultimi anni. Lascia che la minaccia degli attacchi basati su API sia la cosa che rende questi sforzi una priorità. Il CISO e le squadre di sicurezza dovrebbero essere coinvolti dalle primissime fasi alle fasi finali.
Lo stesso sviluppo dell’API dovrebbe essere applicato con le migliori pratiche di codifica di sicurezza.
Durante la fase di pre-produzione dell’API dovrebbero essere effettuate valutazioni delle vulnerabilità e test di penetrazione regolari, seguiti dalla risoluzione dei problemi identificati e dai necessari cicli di ripetizione.
Una volta implementate nell’ambiente live, le soluzioni basate sull’intelligenza artificiale, come le offerte L7 Defense, aiutano davvero le organizzazioni con la protezione INLINE delle loro risorse API da un’ampia gamma di minacce informatiche avanzate.
Comments