F5 ha reso noti i risultati del suo rapporto 2024 State of Application Strategy Report: API Security, rivelando criticità significative sullo stato attuale della sicurezza delle API in diversi settori.
I dati presentati in questo report riflettono i risultati dell’indagine annuale di F5 State of Application Strategy e di una ricerca mirata di follow-up, che ha coinvolto ulteriori decision maker in ambito API. Più di due terzi dei partecipanti occupano ruoli C-level presso organizzazioni globali di diverse dimensioni e settori, tra cui tecnologia, manifatturiero, finanza, retail, sanità ed istruzione.
Lo studio ha evidenziato carenze nella protezione delle API da parte delle aziende, che oggi sono esposte a potenziali minacce capaci di comprometterne sicurezza e operations; sfide, queste, amplificate dalla rapida diffusione delle API nel panorama digitale odierno, sottolinea F5.
La ricerca ha mostrato che meno del 70% delle API customer-facing utilizza il protocollo HTTPS (Hypertext Transfer Protocol Secure), lasciando quasi un terzo delle API completamente esposto. Questo dato contrasta notevolmente con il 90% delle pagine web attualmente accessibili tramite HTTPS, a seguito della spinta verso comunicazioni web sicure nell’ultimo decennio.
“Le API stanno diventando il fulcro della trasformazione digitale, collegando servizi e applicazioni critiche all’interno delle organizzazioni”, ha dichiarato Lori MacVittie, Distinguished Engineer di F5. “Il nostro report ha tuttavia evidenziato come molte organizzazioni non riescano ancora a soddisfare i requisiti di sicurezza necessari per proteggere questi asset preziosi, specialmente di fronte alle nuove minacce guidate dall’IA”.
Principali risultati del rapporto, evidenziati da F5:
- Crescita rapida e ambienti diversificati: le organizzazioni gestiscono in media 421 API diverse, per lo più ospitate in ambienti cloud pubblici. Nonostante questa crescita, molte API, in particolare quelle customer-facing, rimangono non protette.
- Evoluzione dell’utilizzo delle API e necessità di sicurezza: con l’aumento del collegamento delle API a servizi di IA come OpenAI, il modello di sicurezza deve adattarsi per proteggere il traffico API sia in entrata che in uscita. Attualmente, l’attenzione è rivolta principalmente al traffico in entrata, lasciando le chiamate API in uscita vulnerabili.
- Responsabilità frammentata per la sicurezza delle API: il report ha rilevato come all’interno delle organizzazioni la sicurezza delle API sia suddivisa tra diversi ambiti, con il 53% gestito dalla sicurezza delle applicazioni e il 31% attraverso piattaforme di gestione e integrazione. Questa frammentazione può portare a lacune nella copertura e pratiche di sicurezza incoerenti.
- Forte domanda di soluzioni di sicurezza programmabili: I partecipanti hanno identificato la programmabilità come la capacità di sicurezza delle API più preziosa, sottolineando la necessità di ispezione e risposta (inspection and response) real-time al traffico e alle minacce delle API.
Affrontare le lacune nella sicurezza delle API
Per risolvere queste criticità, il report di F5 raccomanda di adottare soluzioni di sicurezza complete, capaci di coprire l’intero ciclo di vita delle API, dalla progettazione al deployment. Integrando la sicurezza delle API sia nelle fasi di sviluppo che operative, le organizzazioni possono infatti proteggere al meglio i loro asset digitali da una crescente varietà di minacce.
“Le API sono fondamentali nell’era dell’IA, ma devono essere protette affinché l’IA stessa e i servizi digitali possano funzionare in modo sicuro ed efficace”, ha aggiunto MacVittie. “Questo report rappresenta una call to action per le organizzazioni, affinché rivalutino le loro strategie di sicurezza delle API e prendano le misure necessarie per proteggere i loro dati e servizi.”
Il report completo State of Application Strategy Report: API Security 2024 è disponibile sul sito di F5.
