Zero trust nelle API in un mondo aziendale connesso

24. Ottobre 2022
| Non ci sono commenti
Zero trust nelle API in un mondo aziendale connesso

Condividi post

Nell'economia digitale, dove i flussi di dati e la centralità del cliente determinano i processi aziendali delle aziende, le API occupano una posizione cruciale. Forniscono l'accesso a dati, sistemi e componenti software pertinenti. Tuttavia, questo li rende anche un obiettivo interessante per gli hacker. È tempo di zero trust nelle API.

Gli hacker tentano di rubare dati come nomi, numeri di account, e-mail e indirizzi fisici attaccando le API e il traffico delle API. Tuttavia, per loro stessa natura, proteggere le API e integrarle in una strategia Zero Trust presenta diverse sfide per le organizzazioni che richiedono un ripensamento nel loro approccio alla sicurezza.

Agli hacker piace attaccare le API

"È incredibile quanti piloti, anche in Formula 1, pensino che i freni siano lì per rallentare la macchina." Con questa battuta, il pilota automobilistico Mario Andretti una volta ha sottolineato il fatto che i freni, al di là del loro ovvio scopo, sono anche lì per controllare l'inclinazione e il peso di un'auto e quindi ottimizzare le curve. Allo stesso modo, l'applicazione delle policy di sicurezza IT dovrebbe idealmente perfezionare i processi sottostanti piuttosto che renderli più complicati e quindi più frustranti per gli utenti.

Esistono API ovunque sia necessario accelerare, semplificare o migliorare il percorso dell'utente: ad esempio, per effettuare pagamenti con carta di credito nei processi di ordinazione digitale o per eseguire la manutenzione remota e gli aggiornamenti dei dispositivi. Secondo l'affermazione, la sicurezza dovrebbe essere "a bordo" in scenari applicativi come questi fin dall'inizio, ma la realtà mostra che gli hacker usano impropriamente le API per i propri scopi. Ciò accade ancora e ancora a causa di processi di autenticazione e autorizzazione inadeguati.

API senza autenticazione in uso

Ad esempio, la scorsa primavera, gli esperti di sicurezza API di Salt Security hanno scoperto un'API presso John Deere, un'azienda nota per i suoi trattori, tra le altre cose, che gli hacker potevano chiamare per determinare se un determinato nome utente era in uso. Gli esperti hanno automatizzato una routine di query che ha permesso loro di determinare in due minuti quale delle aziende Fortune 1000 disponeva di account John Deere perché l'API non richiedeva l'autenticazione né limitava il numero di query. Circa il 20 per cento delle aziende aveva un conto.

Un altro endpoint API ha reso possibile inviare un numero di identificazione del veicolo (VIN) e recuperare una grande quantità di metadati sul dispositivo, il proprietario e la posizione. Gli hacker possono facilmente ottenere VIN da siti di aste generali. Sebbene l'API richiedesse l'autenticazione, non è riuscita ad autorizzare correttamente i mittenti della richiesta API.

Zero trust lungo il ciclo di vita dell'API

Apparentemente "Security by Design" come base per la protezione dei dati nell'IT è difficile da implementare con le API. Ciò a volte può essere dovuto al fatto che i processi di sviluppo delle API si basano principalmente su specifiche aziendali e sono disaccoppiati dal punto di vista organizzativo dai processi di sicurezza IT. Diversi attori nelle aziende sviluppano e forniscono le API di cui hanno bisogno per il loro scopo. Oppure rilevano le interfacce di altre società. Il presupposto che queste API siano connesse all'infrastruttura di rete e quindi alla struttura di sicurezza che le circonda dà agli utenti un falso senso di sicurezza. Tuttavia, questo di solito non è sufficiente per proteggere i flussi di dati tramite API sia all'esterno che all'interno di un'azienda.

Quest'ultimo in particolare richiede le proprie misure di sicurezza. Perché non tutti gli accessi provenienti dalla tua infrastruttura vengono autorizzati automaticamente. Per controllare le richieste in modo reale ed efficiente, le tecnologie di sicurezza devono anche rivolgersi a persone, processi e modelli di accesso. Inoltre, vale sempre il principio: la fiducia è buona, il controllo è migliore. Zero Trust richiede quindi che ogni dispositivo e connessione debba autenticarsi ogni volta che viene contattato per ottenere l'accesso autorizzato. Affinché ciò funzioni in modo affidabile anche con le API, sono necessarie misure di sicurezza lungo l'intero ciclo di vita delle interfacce. Per evitare che le API diventino vulnerabilità di sicurezza, le aziende dovrebbero seguire queste cinque regole di base:

  • Autenticazione e autorizzazione end-to-end: I processi associati non devono avvenire solo direttamente sull'API o sul gateway. Devono essere ripetuti nelle applicazioni sottostanti.
  • Sfrutta i processi di integrazione continua/consegna continua: Gli sviluppatori dovrebbero verificare come possono integrare le linee guida di sicurezza nei loro cicli di produzione e quali processi di convalida possono automatizzare con CI/CD nel corso di questo.
  • Implementare misure di sicurezza automatizzate: I team delle operazioni di sicurezza dovrebbero garantire che i dati scambiati nelle comunicazioni API siano protetti durante tutta la trasmissione, sia all'interno dell'infrastruttura che con altri sistemi. Per fare ciò, i processi dovrebbero applicare automaticamente le policy, ad esempio per proteggere i dati dall'accesso ovunque si trovino.
  • Cattura tutto centralmente: Per integrare meglio la sicurezza IT e lo sviluppo delle applicazioni, è essenziale registrare e analizzare tutti i processi e, se necessario, verificarne la presenza di rischi. Il luogo appropriato per questo è un repository centrale in cui i responsabili possono tracciare tutti i processi in qualsiasi momento.
  • Collaborazione con la sicurezza informatica: I team di sviluppo delle API devono collaborare con i responsabili della sicurezza IT. Insieme possono determinare l'efficacia delle misure esistenti per possibili problemi di sicurezza delle API e ampliarle se necessario. Dovrebbero anche esaminare vari scenari di perdita di dati e sviluppare un piano di emergenza. In tutte le circostanze, è necessario evitare un'API shadow di cui solo i reparti che la utilizzano sono a conoscenza.

Crea trasparenza ed esercita il controllo

La sicurezza e lo scambio di dati possono rappresentare una contraddizione, e questo vale anche e soprattutto per le API: da un lato, le aziende le utilizzano per scomporre i processi, aprire le proprie strutture, semplificare i processi per gli utenti ed espandere il proprio modello di business. D'altra parte, a questo punto non devono perdere il controllo del traffico dati. Per riconciliare i due, le aziende hanno bisogno di trasparenza. Tutti i soggetti coinvolti devono essere sicuri di conoscere e gestire in modo affidabile tutte le API che utilizzano.

I gateway API possono aiutarli a rilevare automaticamente tutte le API dell'azienda e ad applicare le policy di sicurezza. Un'efficace soluzione di gestione delle API monitora chi sta utilizzando quali API e avvisa anche il manager di qualsiasi comportamento insolito o sospetto che potrebbe indicare che una persona non autorizzata è al lavoro. I rispettivi dipartimenti sono anche coinvolti nella sicurezza. In combinazione con la governance API centralizzata, le organizzazioni possono integrare la sicurezza durante tutto il ciclo di vita di un'API e proteggerla da manomissioni di comunicazioni non autorizzate senza compromettere l'esperienza dell'utente.

Altro su Axway.com

 

A proposito di Axway

Axway dà nuovo slancio alle infrastrutture IT esistenti, aiutando più di 11.000 clienti in tutto il mondo a costruire su ciò che già hanno e raggiungere la digitalizzazione, nuove opportunità di business e crescita. Amplify API Management Platform è l'unica piattaforma aperta e indipendente per la gestione e la governance delle API tra team, cloud ibrido e soluzioni esterne.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Nuova ondata di phishing: gli aggressori utilizzano Adobe InDesign

Attualmente si registra un aumento degli attacchi di phishing che abusano di Adobe InDesign, un sistema di pubblicazione di documenti noto e affidabile. ➡ Leggi di più

racconti
, , , , , ,