Chuck Herrin, Senior Principal Product Manager di F5, società specializzata in servizi applicativi e networking, ci propone un salto nell’intricato mondo delle API e ci mostra quanto sia importante adottare un approccio “shift left” per garantire la loro sicurezza.
Le API (Application Programming Interfaces) sono il sistema nervoso centrale della rete. Queste operano costantemente, permettendo ai servizi che utilizziamo giornalmente di funzionare. Infatti, quasi tutte le organizzazioni con cui interagiamo ogni giorno fanno uso di API per gestire il loro business digitale. Invece, con “shift left” si intende lo spostare il focus di sicurezza e testing nelle fasi iniziali dello sviluppo software, in modo da eliminare errori e vulnerabilità il prima possibile.
Districare l’intricato groviglio delle API
Lo spostamento verso software orientato alle API ha portato cambiamenti positivi nell’ecosistema digitale, incrementando la velocità di servizio e semplificando l’utilizzo dei sistemi online. Tuttavia, questa evoluzione di applicazioni e architetture comporta a sua volta l’evoluzione della superficie d’attacco. Le misure di sicurezza tradizionali, come i Web Application Firewall (WEF) e le misure contro gli attacchi Distributed Denial of Service (DDoS), rimangono cruciali, ma non sono sufficienti a garantire la completa protezione delle API. Sono necessarie ulteriori protezioni per far fronte alle nuove minacce che sfruttano le vulnerabilità presenti nelle API per compromettere i sistemi.
Un’analisi di F5 ha rivelato che oltre il 90% degli attacchi rivolti agli applicativi web ha come obiettivo gli endpoint API. Questi dati sono in linea con le previsioni fatte dagli analisti negli anni passati, e non danno cenno di rallentare. Gli attacchi mirano a sfruttare vulnerabilità più recenti e meno conosciute, la maggior parte delle volte esposte da API non attentamente monitorate dei team di sicurezza.
La situazione si fa sempre più complessa
La crescente rilevanza del settore dell’intelligenza artificiale e machine learning sta accelerando la crescita del volume di API utilizzate e la complessità delle stesse. Le API, infatti, svolgono un ruolo cruciale nell’ambito dell’AI generativa, in quanto permettono agli utenti di comunicare con i LLM operanti nei datacenter. Quindi, le aziende moderne necessitano di una strategia di difesa dinamica che si concentri sulla scoperta e sulla mitigazione dei rischi prima che si manifestino in veri e propri attacchi informatici.
Il ritmo accelerato e incessante di questi cambiamenti ha reso la protezione delle API un’ardua sfida per le organizzazioni. I team di sviluppo e sicurezza spesso non hanno una visione chiara della vasta gamma di API utilizzate nelle loro aziende. Per garantire una maggiore sicurezza, è necessario che gli addetti ai lavori siano consapevoli del numero di API utilizzate, della loro posizione all’interno dell’ecosistema aziendale e quali rischi possono potenzialmente comportare. In altre parole, non è possibile proteggere ciò che non si conosce non è possibile gestire efficacemente il rischio di una superficie di attacco di cui non si comprende appieno l’estensione.
AI e cloud uniti per garantire la sicurezza delle API
Esistono sul mercato strumenti per individuare le API in uso, i cosiddetti API discovery tools, o strumenti di scansione e test, ma questi sono limitati e non forniscono un’adeguata protezione. È qui che entrano in gioco soluzioni gestite nel cloud, come i Distributed Cloud Services di F5, in grado di fornire una protezione completa delle API.
Questo tipo di soluzioni gestite offrono protezione e controllo delle API di tipo “shift left“, concentrandosi sulle fasi iniziali di sviluppo per individuare ed estirpare alla radice eventuali vulnerabilità. Ad esempio, vengono eseguiti test automatici e analisi del codice delle API per verificare la conformità e la sicurezza delle stesse. Queste analisi risultano essere più efficienti di quelle effettuate on premise dagli sviluppatori, in quanto le soluzioni gestite si avvalgono di avanzati strumenti di AI e ML in grado di individuare gli errori con velocità fulminea. Inoltre, questi strumenti controllano le interazioni con altre API, analisi che di solito non vengono effettuate in quanto difficili e complesse da realizzare.
Ulteriori informazioni sulla piattaforma distribuita di F5 sono disponibili sul sito dell’azienda.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🍎Indeed: che impatto avrà l’Intelligenza Artificiale sul futuro del lavoro?
☄️Data breach: le 8 cause principali della fuga di informazioni
🖥️Lavoro ibrido: i numeri del fenomeno e le soluzioni integrate di Logitech e Microsoft
🖨️FUJIFILM annuncia la serie Apeos, l'innovativa linea di stampanti multifunzione
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
