La sicurezza delle API sta diventando un fattore sempre più critico per la cybersecurity. Lo evidenzia il 2024 State of Application Strategy Report: API Security pubblicato da F5, all’interno del quale si trovano dati particolarmente significativi. Uno su tutti è che meno del 70% delle API customer-facing utilizza il protocollo HTTPS: indirettamente significa che quasi un terzo delle API è esposte a potenziali attacchi. Il dato è particolarmente significativo se confrontato con il 90% delle pagine web che ormai sfruttano HTTPS per garantire comunicazioni sicure.

L’analisi è stata condotta su un campione globale di organizzazioni e fornisce una visione dettagliata delle criticità nella gestione della sicurezza delle API in epoca attuale, caratterizzata da una crescente dipendenza dalle tecnologie digitali e dall’intelligenza artificiale. Ricordiamo che le API sono diventate un elemento centrale con la trasformazione digitale, perché costituiscono di fatto la connessione fra applicazioni e servizi critici all'interno delle organizzazioni.

La questione della sicurezza delle API nasce nel momento in cui la loro rapida diffusione non è stata affiancata da un adeguato sviluppo delle misure di sicurezza, che ha dato spazio a significative vulnerabilità. Per avere una idea della proporzione del problema basti sapere che in media le organizzazioni gestiscono 421 API diverse, per lo più ospitate in ambienti cloud pubblici.

I dati del report

Una delle principali lacune messe in evidenza dal report riguarda la protezione del traffico API. Attualmente, le misure di sicurezza sono orientate prevalentemente al traffico in entrata, mentre quello in uscita resta spesso privo di una protezione adeguata. Questa problematica si somma a quella dell'integrazione crescente delle API con servizi di intelligenza artificiale, come quelli offerti da OpenAI, che richiedono un modello di sicurezza in grado di ispezionare e rispondere in tempo reale sia al traffico in entrata che in uscita. È così che la mancanza di attenzione verso il traffico in uscita aumenta il rischio di sfruttamento delle API da parte di attori malevoli.

Un altro aspetto critico è la frammentazione delle responsabilità all'interno delle organizzazioni. La sicurezza delle API viene ripartita tra diversi ambiti: per il 53% è gestita dal team di sicurezza delle applicazioni, per il 31% è in carico a piattaforme di gestione e integrazione. Come sempre, la gestione a silos crea lacune nella copertura della sicurezza e ostacola la capacità di una gestione efficace delle minacce.

La ricerca sottolinea anche l’importanza della programmabilità come capacità chiave per la sicurezza delle API, ossia di quella best practice che consente alle aziende di ispezionare il traffico in tempo reale per rispondere rapidamente alle minacce. In altre parole, le soluzioni di sicurezza devono essere in grado di adattarsi dinamicamente alle esigenze delle organizzazioni, offrendo strumenti per proteggere le API lungo tutto il loro ciclo di vita, dalla progettazione al deployment.

Focalizzando l’attenzione sulla regione EMEA emerge poi un contesto particolarmente complesso per la sicurezza delle API: ci sono organizzazioni che devono affrontare (oltre alle minacce globali), sfide normative locali e una digitalizzazione accelerata che ha spinto le aziende a implementare API per supportare i servizi critici, senza gestire adeguatamente la conseguente esposizione al rischio. Ritroviamo poi anche in EMEA la questione della frammentazione delle responsabilità e della carenza di strumenti integrati.

Per affrontare queste sfide, il report di F5 raccomanda un approccio completo alla sicurezza delle API che preveda l’integrazione della protezione API sin dalle prime fasi di sviluppo.