Il punto di vista di Mirko Voltolini, VP of Technology and Innovation di Colt Technology Services sul tema delle API – Application Programming Interface – e della loro sicurezza.
Un’interfaccia di programmazione dell’applicazione, o API, è il modo in cui due componenti software o applicazioni comunicano tra loro. L’obiettivo di un’API è nascondere i dettagli interni di come funziona una determinata applicazione (il server), consentendo agli sviluppatori di modificarla senza interrompere alcuna integrazione esterna, a condizione che le API non cambino.
Come molte innovazioni tecnologiche, le API sono più apprezzate quando le usiamo senza pensarci. Scegliete PayPal come metodo di pagamento quando fate acquisti online? Un’API consente al negozio online di accedere ai dati necessari per completare la transazione. Controllate le previsioni del tempo tramite un’app? Le API vi portano i dati, se non il sole. Nella loro forma più semplice, le API sono descritte come un cameriere che porta le ordinazioni da un tavolo alla cucina e torna con il piatto.
Le API sono costituite da gruppi di metodi e protocolli associati per l’interazione tra le applicazioni. Sono documentate in tre modi: la Definizione di API, la Specifica di API e la Documentazione di API.
La definizione dell’API fornisce una visione leggibile dal computer del funzionamento e dell’organizzazione dell’API. La definizione di API diventa di fatto un contratto tra il server API e il client API. Tecnologie come OpenAPI possono essere utilizzate per definire l’API e anche per generare codici per garantire che il server API e il client API siano pienamente conformi alla API Definition.
Allo stesso modo, la specifica dell’API fornisce una documentazione di facile comprensione che descrive come funziona l’API, come è organizzata e cosa ci si deve aspettare da essa. Le tecnologie, come OpenAPI, possono essere utilizzate per generare questa documentazione direttamente dalla definizione dell’API.
La API Documentation fornisce un manuale per gli utenti o gli sviluppatori su come utilizzare API con/all’interno delle loro applicazioni. La descrizione dei casi d’uso comuni può aiutare gli utenti e gli sviluppatori a capire rapidamente perché l’API è strutturata in questo modo.
L’utilizzo delle API è in aumento: un rapporto di Salt Labs ha rilevato che il numero medio di API per utente è aumentato dell’82% tra il 2021 e il 2022 luglio. Ma l’aumento dell’utilizzo comporta una superficie di attacco più ampia. Qualsiasi vulnerabilità nella sicurezza metterà a rischio la sicurezza delle API. Il rapporto Salt Labs del 2022 ha rivelato, infatti, un aumento del 681% degli incidenti di sicurezza delle API tra il 2021 e il 2022. L’aggiornamento Q1 2023 del rapporto Salt Labs ha rilevato che il 94% degli intervistati ha riscontrato problemi di sicurezza nelle API prodotte nell’ultimo anno; il 31% ha sperimentato un’esposizione di dati sensibili e il 17% una violazione dei dati derivante da lacune nella sicurezza delle API. Quasi uno su due (48%) ha indicato la sicurezza delle API come argomento di discussione a livello di C-Level. Allo stesso tempo, meno del 50% delle aziende dispone di strumenti di verifica della sicurezza delle API. Le violazioni della sicurezza delle API di alto profilo includono attacchi alle API di Dropbox e Twitter.
La maggior parte delle moderne API si basa sulle stesse tecnologie fondamentali dei contenuti su Internet. Di conseguenza, la barriera all’ingresso per la creazione e l’implementazione delle API è più bassa che mai, ma questo significa anche che la sicurezza è diventata un elemento indispensabile.
Come possono quindi le aziende sfruttare l’impatto innovativo e trasformativo delle API, bilanciandolo con le minacce alla sicurezza?
Ecco otto modalità con cui la vostra azienda può proteggere le API e gli utenti dai rischi:
- Implementare la sicurezza di base. Utilizzare un framework di autenticazione e autorizzazione per le API. Le API aperte e ad accesso pubblico dovrebbero essere distribuite solo quando il rischio di esposizione è molto basso. Quando si utilizzano le API keys, è necessario assicurarsi che siano adeguatamente protette e utilizzare metodi di archiviazione sicuri, preferibilmente al di fuori dell’application tree. Inoltre, implementare la crittografia per tutte le richieste e le risposte tramite TLS (HTTPS).
- Adottare un approccio proattivo al monitoraggio. È meglio adottare un approccio proattivo al monitoraggio per ottimizzare le prestazioni e garantire un’esperienza utente coerente, identificare e correggere i problemi e, soprattutto, individuare i comportamenti anomali.
- Controllare e limitare il carico sull’API. È utile introdurre un limite di richieste e controllare la struttura, le dimensioni e i tipi di dati del payload. In questo modo si prevengono alcuni attacchi comuni come SQL injection o Dynamic Denial of Service. Anche i sistemi di rilevamento e mitigazione DDoS esterni impediranno questi attacchi.
- Convalida dei dati API. Tutti i dati scambiati in un’API devono essere conformi alle specifiche API per quanto riguarda la struttura e il tipo di dati. È buona norma convalidare i dati e non dare per scontato che raggiungano il server secondo le specifiche.
- Sfruttare i gateway API. I gateway API sono piattaforme che forniscono strumenti di gestione e sicurezza delle API già pronti consentendo agli sviluppatori di implementare i controlli di sicurezza delle API senza un investimento significativo. Quando la quantità di API aziendali cresce, i gateway API sono utili per tenere traccia e gestire tutte le API.
- Condividere i dati minimi richiesti nell’API. Eliminando le informazioni che non sono destinate a essere condivise o che non è necessario condividere, si riducono al minimo le possibilità di esporre dati segreti o dati interni al sistema attraverso l’API. Condividere solo ciò che è necessario riduce al minimo le possibilità di sfruttamento dell’API.
- Testare periodicamente la sicurezza delle API. Gli attacchi si modificano continuamente e con il tempo compaiono nuove vulnerabilità. Testare periodicamente la sicurezza dell’API con gli ultimi aggiornamenti di sicurezza consente di individuare potenziali problemi prima che lo facciano gli aggressori.
- Essere pronti a rispondere alle vulnerabilità. Prima di diffondere un’API, assicuratevi che sia stato predisposto un piano per trovare e risolvere rapidamente qualsiasi vulnerabilità riscontrata nell’ambiente di produzione, compreso un piano di comunicazione ben pensato. Una parte di questo processo potrebbe consistere nel mettere temporaneamente offline l’API fino alla risoluzione della vulnerabilità così da ridurre al minimo l’esposizione.
Con la crescita del numero di API e del loro utilizzo fino al 2024 e oltre, le vulnerabilità verranno identificate ed esposte con effetti potenzialmente devastanti. L’adozione di un approccio proattivo, solido e olistico alla sicurezza delle API diventerà sempre più importante e aiuterà la vostra azienda a sfruttare il loro vasto potenziale in modo potente, efficace e sicuro.
