Le superfici di attacco oggi si sono estese e adottare le tradizionali misure di sicurezza a volte non basta, soprattutto quando parliamo di protezione delle API. In questo articolo, Chuck Herrin, Senior Principal Product Manager di Security, F5, spiega quanto sia fondamentale basarsi su un approccio “Shift Left” per intervenire precocemente nel ciclo di vita delle API e mitigare i rischi.
Buona lettura!
Shifting Left per la protezione delle API
Le Application programming interfaces (API) sono come il sistema nervoso centrale che lavora silenziosamente dietro le quinte delle nostre vite digitali. Esse sono costantemente attive, alimentando le applicazioni che usiamo quotidianamente: ci consentono di entrare in ufficio, acquistare il caffè nel nostro bar preferito, prendere un rideshare per pranzare con un collega, controllare il meteo, guardare un programma in streaming a fine giornata. Quasi tutte le organizzazioni con cui interagiamo ogni giorno si affidano alle API per gestire il proprio business digitale.
L’ascesa dello sviluppo e della distribuzione di software API-first ha portato a cambiamenti positivi nel mondo in svariati modi e contesti. Tuttavia, sorge un problema: con l’evolversi delle applicazioni e delle architetture, cambia anche la superficie di attacco. Le tradizionali misure di sicurezza, come i Web Application Firewall (WAF), la protezione contro attacchi DDoS e dai bot, rimangono cruciali, ma non sono sufficienti a garantire la completa protezione delle API. Queste misure sono state progettate per affrontare le minacce del passato e non riescono a prevedere la futura superficie di attacco e i cambiamenti derivanti dalla rapida adozione delle API negli ultimi anni.
L’avvento dell’Intelligenza Artificiale Generativa complica la situazione
Come leader globale nella sicurezza delle applicazioni e delle API, la tecnologia F5 si colloca nel data path di quasi la metà delle applicazioni mondiali, offrendo una visione privilegiata sugli attacchi alle moderne applicazioni web e mobili. La nostra analisi rivela che oltre il 90% dei cyberattacchi web-based ha come obiettivo gli endpoint API, mirando a sfruttare vulnerabilità più recenti e meno conosciute, spesso esposte da API non attentamente monitorate dai team di sicurezza.
Con l’evolversi degli attacchi e delle superfici di attacco, anche le nostre difese devono adattarsi. Attualmente, l’attenzione del settore verso l’intelligenza artificiale generativa sta accelerando ulteriormente la crescita del volume di applicazioni e API che supportano i modelli di intelligenza artificiale e di apprendimento automatico (AI/ML), aggiungendo ulteriore complessità. Le aziende moderne richiedono una strategia di difesa dinamica che si concentri sulla scoperta e sulla mitigazione dei rischi prima che si trasformino in violazioni costose, imbarazzanti e spesso evitabili.
Il ritmo accelerato di questi cambiamenti ha reso la protezione delle API un’ardua sfida per organizzazioni di ogni genere. I team di sviluppo e sicurezza, già sotto forte pressione, spesso non hanno una visione chiara del panorama API all’interno delle loro aziende: non sanno quante API vengono utilizzate, dove siano posizionate e quali rischi di conformità e altri rischi potenziali siano associati ai dati e ai processi critici aziendali supportati da queste interfacce.
F5 fa luce sui “punti ciechi”
Sebbene la tecnologia sia in continua evoluzione, il tema della sicurezza e della protezione delle API richiama l’attenzione sui principi fondamentali della sicurezza informatica. C’è una ragione per cui i principali framework di controllo, come il NIST, pongono quasi sempre l’accento sull'”identificare” in primo luogo. In sostanza, non è possibile proteggere ciò che non si conosce e non è possibile gestire efficacemente il rischio di una superficie di attacco di cui non si comprende appieno l’estensione.
I punti ciechi delle API sono diventati un problema fondamentale. Gartner e altri analisti del settore hanno previsto, almeno fin dal 2019, che le API sarebbero diventate il principale vettore di attacco, e i nostri dati confermano questa previsione, senza alcun segno di rallentamento.
Il settore della cybersecurity ha risposto finora principalmente con soluzioni puntuali orientate a un aspetto dello sviluppo delle API o a un altro. Tali prodotti offrono funzionalità diverse ma limitate, come l’API discovery per individuare le API già in uso, o strumenti di scansione e test per individuare le vulnerabilità e tentare di colmare le lacune.Inizio modulo
Ma il futuro della sicurezza e della protezione delle API non consiste semplicemente nell’assemblare e integrare una serie di soluzioni puntuali. È qui che entrano in gioco i Distributed Cloud Services di F5.
Equipaggiare l’azienda per un futuro di successo
Cinque anni fa, i leader del settore dell’informatica distribuita e della sicurezza delle applicazioni di F5 hanno riconosciuto questa importanza cruciale delle API e hanno iniziato a sviluppare una suite di funzionalità che ha cambiato le carte in tavola e che è stata introdotta sul mercato con il nome di F5 Distributed Cloud Services.
Le moderne applicazioni basate sull’AI si affidano a una distribuzione diffusa di fonti di dati, modelli e servizi tra deployment on-premises, cloud ed edge, tutte unite da un numero crescente di API. Per aiutare i clienti a gestire queste sfide e sfruttare le opportunità correlate, F5 sta integrando il testing del codice API e l’analisi della telemetria in F5 Distributed Cloud Services, creando la soluzione di sicurezza e di protezione delle API più completa e AI-ready del settore. L’integrazione delle recenti funzionalità acquisite da Wib, innovatore nella sicurezza delle API, consente il rilevamento delle vulnerabilità e l’osservabilità nei processi di sviluppo delle applicazioni, garantendo l’identificazione dei rischi e l’implementazione delle policy prima che le API entrino in produzione.
Proprio come il futuro della sicurezza delle API, la F5 Distributed Cloud Platform è progettata per il futuro dell’intero enterprise computing, condividendo questi attributi essenziali:
- Multicloud
- API-first
- Alimentata dall’AI
Protezione delle API: elevando l’eccellenza a nuovi livelli
Discovery e protezione robuste delle API sono già offerte nella suite di servizi WAAP (Web App and API Protection) di F5 Distributed Cloud. La piattaforma crea e convalida automaticamente schemi robusti per le API, evidenzia i rischi delle API con informazioni utili, sfrutta l’AI/ML per mitigare gli attacchi API complessi e altro ancora. Con Distributed Cloud WAAP, insieme a NGINX App Protect e BIG-IP Advanced WAF, i clienti F5 hanno la possibilità di proteggere qualsiasi app e qualsiasi API, ovunque.
E ora F5 sta adottando l’approccio “Shift Left”, per agire sull’intero ciclo di vita delle API.
La combinazione della piattaforma Wib con F5 Distributed Cloud API Security offre una soluzione completa per la sicurezza e la protezione delle API.
Per raggiungere questo obiettivo, stiamo potenziando le attuali funzionalità di protezione e API discovery attraverso diverse azioni:
- Analisi del codice API per scoprire gli endpoint API e valutarne i rischi prima che vengano distribuiti in produzione;
- Test API per verificare la presenza di vulnerabilità e convalidare eventuali minacce sospette individuate durante l’analisi del codice e del traffico;
- Analisi della conformità delle API per garantire una corretta postura di sicurezza delle API in linea con i requisiti normativi del cliente;
- Valutazione della superficie di attacco delle API per monitorare le risorse pubbliche di un’organizzazione alla ricerca di nuove API e di quelle che non rientrano nella governance della sicurezza;
- API security fusion engine per creare una soluzione perfettamente integrata in cui ogni minaccia, vulnerabilità o insight viene convalidata attraverso tutte le fonti di informazione.
Con questa visibilità e sicurezza, che spaziano dal codice al cloud, i clienti F5 possono eseguire in modo sicuro qualsiasi applicazione e API, ovunque.
di Chuck Herrin, Senior Principal Product Manager – Security, F5