Qualys, fornitore di innovative soluzioni per IT, sicurezza e conformità basate su cloud, presenta Qualys API Security, una versione migliorata di Web Application Scanning (WAS) con sicurezza API che sfrutta la scansione AI e il rilevamento di malware web basato sul deep learning per proteggere le app web e le API sull’intera superficie di attacco – compresi i server web on-prem, i database, gli ambienti ibridi e multi-cloud, i gateway API, le architetture containerizzate e i microservizi.
Lo scenario
L’ascesa delle API presenta sia opportunità che sfide nel mondo digitale iperconnesso di oggi. Le API sono parte integrante delle iniziative di trasformazione digitale in tutti i settori. I dati più recenti indicano che oltre l’83% del traffico web è costituito da API, evidenziando il loro ruolo critico nelle moderne applicazioni web che utilizzano microservizi, cloud e ambienti ibridi. Tuttavia, ciò sottolinea anche le vulnerabilità che accompagnano la loro adozione diffusa. Questo rapido aumento dell’utilizzo delle API espande la superficie di attacco, rendendo le soluzioni di sicurezza API efficaci più cruciali che mai.
Inoltre, normative come il GDPR in Europa e il CCPA in California impongono misure rigorose di protezione dei dati, e la mancata conformità comporta multe salate. Ad esempio, le violazioni del GDPR possono comportare multe fino al 4% del fatturato globale annuo o 20 milioni di euro, a seconda di quale sia il valore più alto. Queste normative rendono necessaria una solida sicurezza delle API per garantire la conformità e proteggere i dati sensibili.
Tuttavia, la protezione delle API per il moderno mondo dello sviluppo delle applicazioni comporta una serie di sfide. Scoprire tutte le API nei vari ambienti – ibridi, multi-cloud e altri – rimane una sfida significativa a causa della complessità e della diversità delle moderne architetture IT. Le previsioni di Forrester per il 2024 evidenziano la difficoltà di gestire la sicurezza delle API senza una visibilità completa dell’inventario delle API, dato che un’azienda media dispone di oltre 300 API.
La protezione delle API dalle minacce automatiche e avanzate senza compromettere la funzionalità o le performance è una delle principali preoccupazioni. Il numero crescente di API e la mancanza di dati in tempo reale sulla loro sicurezza complicano il rilevamento delle vulnerabilità e la definizione delle priorità.
La conformità agli standard OpenAPI è fondamentale per l’interoperabilità e la sicurezza delle API, ma implica una serie di sfide, dalle complessità tecniche alle considerazioni sulla sicurezza, dall’adozione organizzativa all’integrazione degli strumenti.
Dall’altro lato dello spettro, è fondamentale individuare e correggere tempestivamente i rischi per la sicurezza delle API senza rallentare i processi di sviluppo. L’implementazione di pratiche di sicurezza shift-left e l’automazione dei test di sicurezza all’interno delle pipeline CI/CD sono compiti cruciali ma impegnativi.
Le sfide di una postura di sicurezza API frammentata
Molte organizzazioni utilizzano una serie di strumenti di sicurezza, come SAST, DAST, SCA, o soluzioni puntuali per la sicurezza delle API che spesso operano in modo isolato, senza una piattaforma unificata per integrare i loro risultati. Inoltre, l’assenza di integrazione tra questi strumenti porta a una visione frammentata della postura di sicurezza delle applicazioni, con conseguenti sforzi non coordinati e lacune nella copertura della sicurezza. Allo stesso modo, gli strumenti SAST e DAST offrono una copertura limitata per i problemi specifici delle API e si concentrano prevalentemente sulle vulnerabilità del codice.
Principalmente, queste soluzioni non riescono a estendere la loro valutazione al runtime o alle minacce ambientali in cui operano le API e a fornire visibilità sulle vulnerabilità dell’infrastruttura sottostante che ospita queste API, lasciando lacune significative nella sicurezza a livello di rete e di host.
La maggior parte delle aziende utilizza questi diversi strumenti di sicurezza con algoritmi e meccanismi di rilevamento diversi, che possono produrre risultati contrastanti, aumentando la probabilità di falsi positivi. Inoltre, il gran numero di avvisi generati da questi strumenti non aiuta, portando a un affaticamento da avviso, in cui i problemi critici possono essere trascurati o ignorati.
In genere, i test di sicurezza sono spesso un ripensamento e vengono condotti in ritardo nel ciclo di sviluppo, prima della distribuzione, e quando le vulnerabilità critiche vengono scoperte all’ultimo minuto, non c’è tempo sufficiente per rimediare. Utilizzando le pratiche shift-left, incorporando i test di sicurezza nella pipeline CI/CD nelle prime fasi dello sviluppo, le vulnerabilità possono essere identificate e affrontate prima, riducendo il rischio di sorprese dell’ultimo minuto.
Inoltre, la correlazione dei dati tra i vari strumenti richiede un contesto, ad esempio la comprensione del modo in cui una vulnerabilità in un componente potrebbe avere un impatto su un altro. Senza questo contesto, il significato delle vulnerabilità può essere frainteso, con conseguente errata prioritizzazione degli sforzi di rimedio.
Per ridurre questi problemi, le organizzazioni dovrebbero adottare piattaforme di sicurezza integrate, enfatizzare le pratiche shift-left e garantire una correlazione completa dei dati in tutto lo spettro dei test di sicurezza.
Perché Qualys API Security
Per affrontare queste sfide, Qualys lancia Qualys API Security, basata su AI e deep learning per proteggere le app web e le API sull’intera superficie di attacco, e permettere alle organizzazioni di:
- Misurare i rischi delle API su tutte le superfici di attacco con una visione unificata della sicurezza delle API, scoprendo e monitorando ogni risorsa API in ambienti diversi, consentendo un migliore processo decisionale e tempi di risposta più rapidi.
- Comunicare i rischi API come le vulnerabilità OWASP API Top 10 e le derive dalle specifiche OpenAPI con il rilevamento e la risposta alle minacce in tempo reale, riducendo al minimo la finestra di rischio e migliorando la sicurezza complessiva.
- Eliminare i rischi API con flussi di lavoro integrati che supportano le pratiche Shift-Left e Shift-Right, colmando il divario tra i team IT e di sicurezza, promuovendo una collaborazione perfetta e migliorando l’efficienza operativa.
Caratteristiche principali della soluzione dedicata alla sicurezza delle API
- Individuazione e gestione completa delle API: Qualys WAS with API Security identifica e cataloga automaticamente tutte le API all’interno della rete di un’organizzazione, comprese le API interne, esterne, non documentate, rogue e shadow. Che le API siano distribuite in ambienti multi-cloud (AWS, Azure), architetture containerizzate (Kubernetes) o gateway API (Apigee, Mulesoft), il rilevamento continuo di Qualys garantisce un inventario aggiornato su tutte le piattaforme, impedendo punti di accesso non autorizzati e API ombra.
- Test di vulnerabilità delle API e scansione basata sull’intelligenza artificiale: Qualys fornisce un test completo delle vulnerabilità API utilizzando oltre 200 firme precostituite per rilevare le vulnerabilità di sicurezza specifiche delle API, comprese quelle elencate nella OWASP API Top 10, come la limitazione della velocità, i problemi di autenticazione e autorizzazione, la raccolta di PII e l’esposizione di dati sensibili. Inoltre, per le applicazioni di grandi dimensioni, Qualys combina la potenza del deep learning e del clustering assistito dall’intelligenza artificiale per eseguire scansioni efficienti delle vulnerabilità. Questo meccanismo di clustering intelligente si rivolge alle aree critiche, raggiungendo un tasso di rilevamento del 96% con una riduzione del tempo di scansione dell’80%.
- Monitoraggio della conformità API: Qualys esegue un monitoraggio della conformità sia attivo che passivo per identificare e risolvere eventuali derive o incongruenze nell’implementazione e nella documentazione delle API in conformità alle specifiche OpenAPI (OAS v3). Una documentazione API chiara e standardizzata, conforme a OAS, garantisce che la documentazione condivisa sia facilmente comprensibile per i destinatari, semplifica le valutazioni e l’applicazione della sicurezza e migliora l’accuratezza del codice, a vantaggio sia degli strumenti automatizzati sia degli sviluppatori umani. Qualys inoltre monitora costantemente le API per la conformità agli standard di settore come PCI-DSS, GDPR, HIPAA, per garantire che le API rimangano conformi alle normative in evoluzione, evitando potenziali multe e migliorando la protezione dei dati.
- Prioritizzazione del rischio API con TruRisk: Qualys si avvale del sistema di punteggio proprietario TruRisk™, che integra diversi fattori come gravità, sfruttabilità, contesto aziendale e criticità degli asset per assegnare una priorità ai rischi in base all’impatto complessivo sull’azienda, garantendo che le vulnerabilità più critiche vengano affrontate per prime. Inoltre, classifica i rischi in base alla OWASP API Top 10, aiutando le organizzazioni a concentrarsi sulle minacce alla sicurezza delle API più diffuse e gravi.
- Integrazione perfetta con i flussi di lavoro Shift-Left e Shift-Right: Qualys si integra perfettamente con gli strumenti CI/CD esistenti (ad esempio, Bamboo, Teamcity, Github, Jenkins, Azure DevOps) e con i sistemi di ticketing IT (ad esempio, Jira, ServiceNow), supportando sia le pratiche di sicurezza shift-left che shift-right. Questo facilita i test di sicurezza automatizzati e il rilevamento e la risposta alle minacce in tempo reale senza interrompere i flussi di lavoro di sviluppo. Colmando il divario tra i team IT e di sicurezza, Qualys garantisce transizioni operative più fluide, migliorando le pratiche di sicurezza API e riducendo la finestra di rischio.