La sicurezza delle API è una forma di cybersecurity che copre i protocolli, i processi e le best practice per proteggere le interfacce di programmazione delle applicazioni (API) da violazioni dei dati, accessi non autorizzati e altre minacce.
Sommario
La sicurezza delle API combina un'ampia gamma di strumenti per aiutare le organizzazioni a proteggere le API (Application Programming Interface) dalla compromissione. Protegge le informazioni sensibili e riservate e le applicazioni web e mobili, i servizi cloud e i dispositivi Internet of Things (IoT).
Che cos'è un'API?
Le API (Application Programming Interface) sono regole e protocolli basati su codice che consentono a diverse applicazioni software di interagire, comunicare tra loro e condividere i dati.
Poiché le API "parlano" con diverse app e scambiano dati tra di loro, possono anche essere un modo per i malintenzionati di ottenere l'accesso alle applicazioni, ai sistemi su cui vengono eseguiti e ai dati che trasportano.
Come funziona la sicurezza delle API?
La sicurezza delle API utilizza strumenti come autenticazione e autorizzazione, controlli di accesso proattivi, tecnologie di crittografia dei dati e misure di rilevamento e risposta alle minacce per difendere le API da una varietà di minacce accidentali e dannose, tra cui:
- Violazioni dei dati
- Furto o uso improprio dei dati
- Attacchi DDoS (Distributed Denial-of-Service)
- Hack e altri tentativi di accesso non autorizzati
- Exploit delle vulnerabilità
- Attacchi di tipo injection
- Attacchi basati sull'autenticazione per il furto degli account
- Attacchi al controllo degli accessi non funzionante
- Attacchi Man-in-the-middle (MITM)
Quali sono i principali protocolli delle API?
Le API sono disponibili in tutte le forme e dimensioni. Alcuni comuni includono:
- API REST (representational state transfer): consentono alle app di condividere dati e altre risorse tramite richieste HTTP (hypertext transfer protocol) utilizzando i principi dell'architettura API web. La maggior parte delle API si basa su REST oggi.
- API SOAP (simple object access protocol): consentono agli endpoint di inviare, ricevere e condividere i dati in modo sicuro in base ai messaggi XML. Le applicazioni aziendali, come l'elaborazione dei pagamenti, spesso si affidano a SOAP a causa di standard di comunicazione più rigorosi.
- API GraphQL: forniscono un recupero più rapido e preciso dei dati attraverso query on-demand, il che rende questo protocollo adatto alle applicazioni che richiedono un'enorme quantità di query di dati, come le applicazioni di e-commerce in cui vengono negoziati grandi volumi di dati su prodotti, utenti e ordini.
- API RPC (chiamata a procedura remota): consente a un programma di essere eseguito su un server remoto come se fosse una macchina locale. Mentre REST o gRPC (implementazione moderna di RPC) stanno sostituendo RPC in alcuni casi d'uso. RPC è ideale per calcoli complessi su un server diverso, come l'esecuzione di un algoritmo di IA per identificare le frodi sui server remoti.
Le API includono fondamentalmente qualsiasi interfaccia di programmazione che consente agli sviluppatori di software di accedere e integrare dati o funzioni da diverse applicazioni nelle proprie app.
Il vantaggio delle API è che gli sviluppatori non devono creare da zero tutte le proprie funzionalità. Invece, possono semplicemente "prendersi in prestito" dalle applicazioni esistenti per migliorare il proprio software.
Perché la sicurezza delle API è importante?
La sicurezza delle API è importante perché aiuta le organizzazioni a proteggere l'integrità delle loro API, a tenere le informazioni sensibili o riservate lontane dalle mani dei cyber criminali e a salvaguardare la loro reputazione e la fiducia dei loro partner e clienti.
Ciò è importante perché le organizzazioni dipendono sempre più dalle API per fornire prodotti, servizi e informazioni in modo sicuro e protetto su più piattaforme e dispositivi diversi. Ciò include applicazioni mobili, applicazioni native per il cloud e basate sul cloud, applicazioni web e applicazioni Software as a Service (SaaS).
I dati utilizzati da queste applicazioni sono diventati una risorsa preziosa e una parte essenziale del business. Le API sono la porta d'ingresso e i canali di comunicazione per i dati in queste applicazioni. Se compromessa, potrebbe avere gravi conseguenze per la produttività, la redditività e lo stato del marchio, fino a includere sanzioni finanziarie significative, lunghe interruzioni dell'attività e persino conseguenze legali.
A causa di questi fattori, le API sono diventate un vettore di attacco primario per gli aggressori.
Una solida soluzione di sicurezza delle API aiuta inoltre le organizzazioni a rimanere conformi a tutte le leggi e normative governative e di settore in materia di privacy dei dati, tra cui il Regolamento generale sulla protezione dei dati (GDPR) e il California Consumer Privacy Act (CCPA).
Quali sono i principali rischi per la sicurezza delle API?
Con l'aumento della diffusione dell'uso delle API, aumentano anche il numero, la frequenza e la sofisticazione degli attacchi informatici e altri rischi per la sicurezza delle API. Alcuni dei rischi più grandi e pericolosi per la sicurezza delle API includono:
- Autenticazione e autorizzazione non funzionante: dove i cyber criminali possono accedere alle API senza un'autenticazione adeguata, che consente loro di accedere a funzioni o dati riservati a cui non dovrebbero accedere. Potrebbero anche rubare credenziali, chiavi API o token API per eseguire un furto dell'account.
- Errore di configurazione, in cui i malintenzionati sfruttano i difetti per attaccare le API. Ad esempio, possono avviare attacchi denial-of-service (DoS) e denial-of-service distribuiti (DDoS) contro API che non dispongono di un'adeguata limitazione dei flussi.
- Problemi di crittografia: i malintenzionati cercano di intercettare le comunicazioni API non crittografate.
- API Shadow e zombie: con la proliferazione delle API in cui gli sviluppatori creano molte API, è possibile dimenticare le API legacy che sono pubblicamente disponibili ma non monitorate. Queste API non dispongono di misure di sicurezza e diventano un obiettivo facile per gli aggressori.
- Richieste API anomale: c'è un indizio sugli attacchi API anche se gli aggressori fingono di essere innocui. Ciò include gli attacchi SQL injection e command injection.
Man mano che gli attacchi alle API diventano sempre più diffusi, le aziende di tutte le dimensioni sono a rischio. Alcune delle aziende più grandi e sicure al mondo hanno subito la compromissione delle loro API solo negli ultimi anni, tra cui Honda, Dell e T-Mobile.
Nel 2024, gli attacchi di exploit delle vulnerabilità hanno compromesso anche gli account privati di centinaia di milioni di utenti di servizi come LinkedIn, Facebook, Snapchat, Duolingo e X (precedentemente Twitter).
I 10 principali rischi per la sicurezza delle API di OWASP
Nel 2023, Open Web Application Security Project (OWASP) ha pubblicato un elenco aggiornato dei 10 principali rischi per la sicurezza delle API per aiutare le aziende a identificare, comprendere e proteggersi dalle minacce più pericolose alla sicurezza delle API. L'elenco include:
- Autorizzazioni a livello di oggetto non funzionanti, che espongono gli endpoint che gestiscono gli identificatori degli oggetti.
- Meccanismi di autenticazione non funzionanti che consentono ai malintenzionati di rubare token di autorizzazione o di assumere le identità di altri utenti.
- Autorizzazioni a livello di proprietà oggetto non funzionanti derivanti da convalide improprie o inadeguate a livello di proprietà oggetto.
- Consumo illimitato di risorse di larghezza di banda di rete, memoria, archiviazione, CPU o altre risorse attraverso attacchi DDoS (Distributed Denial-of-Service) e altri attacchi.
- Autorizzazioni a livello di funzione non funzionanti, che creano difetti di accesso e autorizzazione che possono essere sfruttati dai cyber criminali.
- Accesso illimitato a flussi aziendali sensibili derivanti dallo sfruttamento automatizzato delle API utilizzate per svolgere funzioni aziendali, come fare acquisti online o pubblicare commenti sui social media.
- Difetti della falsificazione delle richieste lato server (SSRF) che consentono agli aggressori di bypassare firewall e reti private virtuali (VPN) per compromettere le API che recuperano le risorse remote.
- Errori di configurazione della sicurezza che rendono le API e i loro sistemi di supporto vulnerabili a violazioni o attacchi dannosi.
- Gestione impropria dell'inventario che può esporre gli endpoint nelle API.
- Consumo non sicuro di API che consente ai malintenzionati di infiltrarsi nelle API prendendo di mira dati o servizi di terze parti.
Quali strumenti vengono utilizzati nella sicurezza delle API?
Le soluzioni API combinano una serie di strumenti, tecnologie e best practice diversi per salvaguardare le API in ogni fase del loro ciclo di vita, dalla progettazione e codifica all'implementazione e alla manutenzione. Ciò include:
- Gateway API che aiutano a proteggere, gestire e controllare il flusso di dati
- Protocolli di crittografia per proteggere da furto, violazione o uso improprio dei dati
- Chiavi API o token per gestire le autorizzazioni di accesso
- Transport Layer Security (TLS) per proteggere i dati mentre sono in transito
- Firewall applicativi per proteggere API, credenziali di autorizzazione e informazioni sensibili
Esempi di best practice per la sicurezza delle API
Esistono diverse best practice che ogni organizzazione deve seguire quando crea una strategia di sicurezza API per proteggere dati e applicazioni da minacce note ed emergenti.
In primo luogo, le organizzazioni dovrebbero inventariare tutte le API esistenti per individuare e risolvere eventuali punti deboli, difetti o vulnerabilità nella loro sicurezza.
È inoltre necessario implementare e applicare una serie di rigorosi meccanismi di autenticazione e autorizzazione per monitorare e controllare chi ha accesso alle API e ai dati che contengono, inclusi strumenti come token di autorizzazione aperti (OAuth), controlli OpenID Connect (OIDC), chiavi API e/o TLS reciproco (mTLS).
Devono essere impostate misure di crittografia avanzate per proteggere i dati da furto, utilizzo o accesso senza autorizzazione. Inoltre, è possibile ricorrere a misure di limitazione della velocità, throttling e quote di dati per aiutare a prevenire l'abuso, l'uso eccessivo o lo sfruttamento delle API, preservare la larghezza di banda, proteggere i backend delle API e mitigare il rischio che le API siano sopraffatte da DDoS o altri attacchi.
Infine, tutti i sistemi, gli strumenti e gli endpoint di sicurezza delle API devono essere regolarmente testati e monitorati continuamente per rilevare eventuali vulnerabilità, identificare potenziali difetti o configurazioni errate e assicurarsi che le difese di sicurezza delle API rimangano complete e aggiornate.
Quali sono le novità nella sicurezza delle API?
Nuove minacce, vettori di attacco e rischi per la sicurezza continueranno a emergere man mano che la tecnologia API si evolve. Ciò è sempre più importante, poiché le aziende si adattano sempre più alle comunicazioni IA agentiche attraverso MCP (Model Context Protocol) che viene eseguito sulle API. Per affrontare queste sfide, la sicurezza delle API probabilmente si baserà maggiormente su tecnologie di intelligenza artificiale (IA) come reti neurali e machine learning.
Questi nuovi strumenti basati sull'intelligenza artificiale aiuteranno le organizzazioni a migliorare le funzionalità di rilevamento e risposta alle minacce alla sicurezza delle API, a rafforzare le difese contro le violazioni dei dati e gli attacchi informatici e a prevedere e prevenire la maggior parte delle minacce prima che causino danni duraturi.
Altre tendenze future della sicurezza delle API probabilmente includeranno una crescente necessità di valutazioni continue della sicurezza delle API, l'applicazione degli standard e delle best practice del settore e la conformità alle normative applicabili sulla privacy dei dati. Pratiche come queste aiuteranno le organizzazioni a salvaguardare le informazioni preziose e a mantenere l'integrità, la sicurezza e la resilienza delle loro API.
Dove posso ottenere assistenza per la sicurezza delle API?
Trend Vision One™ Cloud Security offre una protezione completa e leader del settore contro minacce informatiche, attacchi informatici e altri rischi per ambienti cloud e cloud ibridi.
Combinando visibilità e sicurezza in tempo reale, monitoraggio e valutazione continui e perfetta integrazione con gli strumenti e le tecnologie di sicurezza e cybersecurity esistenti, Cloud Security offre una protezione completa e senza preoccupazioni dell'intera superficie di attacco, inclusi container cloud, workload, risorse cloud e API (Application Programming Interface).
Fernando Cardoso
Vicepresidente della gestione dei prodotti
Fernando Cardoso è vicepresidente della gestione dei prodotti presso Trend Micro, concentrandosi sul mondo in continua evoluzione dell'IA e del cloud. La sua carriera è iniziata come Network and Sales Engineer, dove ha affinato le sue competenze in datacenter, cloud, DevOps e cybersecurity, aree che continuano a alimentare la sua passione.
Con oltre 13 anni di esperienza nel settore della cybersecurity, Fernando ha guidato numerose iniziative nella sicurezza del cloud, DevSecOps e sicurezza dell'IA, lavorando a stretto contatto con clienti globali e partner strategici come AWS, NVIDIA e Microsoft. È anche un leader di pensiero riconosciuto e relatore frequente in occasione di eventi globali, da AWS re:Invent a NVIDIA GTC e l'AI Summit a Black Hat.
Fernando guida un team globale di product manager, guidando le strategie di commercializzazione, conducendo ricerche di mercato e offrendo innovazioni che continuano a plasmare il futuro degli ambienti cloud sicuri e intelligenti.
Domande frequenti (FAQ)
Cosa significa API?
API sta per "interfaccia di programmazione delle applicazioni". Le API sono i framework di back-end che consentono alle applicazioni mobili e web di interagire, condividere i dati e comunicare tra loro.
Perché ho bisogno della sicurezza delle API?
La sicurezza delle API aiuta le organizzazioni a proteggere le API dagli attacchi informatici e a proteggere i dati sensibili, riservati e proprietari da compromissioni o furti.
Puoi farmi un esempio di API?
- Le API che utilizziamo ogni giorno includono le API di elaborazione dei pagamenti che consentono di utilizzare PayPal per pagare gli acquisti online, le API di Google Maps che consentono di tenere traccia delle consegne o di trovare un Uber e le API di accesso che consentono di accedere ai siti web utilizzando il proprio account Facebook o Google.
Come funziona la sicurezza delle API?
- La sicurezza delle API previene le violazioni dei dati e gli attacchi informatici limitando l'accesso alle API e impedendo l'accesso ai dati delle API senza autorizzazione.
Come si protegge un'API con https?
Le API Web utilizzano HTTP per condividere i dati. L'abilitazione di HTTPS può crittografare i dati condivisi e proteggere le comunicazioni tra le API REST (Representational State Transfer) e i client HTTP.
Quali sono i modi migliori per proteggere un'API?
Le API possono essere protette utilizzando una varietà di strumenti tra cui limitazione della velocità, limitazione dei dati, controlli di autorizzazione e accesso, convalida dello schema e mitigazione DDoS.
Qual è la differenza tra autenticazione e autorizzazione API?
L'autenticazione API verifica l'identità degli utenti API. L'autorizzazione API controlla a quali dati o servizi possono accedere.
In che modo OAuth 2.0 aiuta nella sicurezza delle API?
OAuth 2.0 è un protocollo di autorizzazione standard del settore che stabilisce, limita o gestisce il modo in cui i client di terze parti accedono alle API.
In che modo i gateway API migliorano la sicurezza delle API?
I gateway API proteggono il traffico API autenticando e controllando l'accesso ai dati man mano che questi fluiscono tra API e client o utenti.
Come posso proteggere i miei endpoint API?
Gli endpoint API possono essere protetti utilizzando strumenti come gateway API, token API, autenticazione OAuth, policy zero-trust e crittografia TLS reciproca (mTLS).
Articoli correlati
I 10 principali rischi e mitigazioni per LLM e app IA generative per il 2025
Gestione dei rischi emergenti per la pubblica sicurezza
Quanto possono portarci lontano gli standard internazionali?
Come scrivere una politica di cybersecurity per l'intelligenza artificiale generativa
Attacchi dannosi potenziati dall'intelligenza artificiale tra i principali rischi
Minaccia crescente delle identità Deepfake