La promessa del cloud computing è altrettanto entusiasmante quanto lo è stata l'invenzione del telefono da parte di Alexander Graham Bell: consente un accesso immediato a livello di massa, ma con lo stesso caos di quelle prime reti cablate che dominavano i contesti urbani. All'epoca, gli intrecci dei cavi erano un segno di progresso, ma introducevano anche problemi, dalla manutenzione alle interruzioni impreviste. Oggi, i ”cavi“ virtuali, sono le API (Application Programming Interfaces), le connessioni invisibili che alimentano i moderni servizi di cloud.

Questi cavi virtuali trasportano i dati tra i service provider e gli utenti ad alta velocità, proprio come le linee telefoniche trasportano le nostre voci. Allo stesso tempo, le API hanno ampliato le superfici di attacco, rendendo gli endpoint fisici e digitali bersagli privilegiati per le minacce informatiche. Dal furto di dati sensibili all'avvio di attacchi ransomware, i criminali sfruttano le vulnerabilità delle API con conseguenze spesso devastanti. Le misure di sicurezza tradizionali da sole non sono più sufficienti e sottolineano la necessità di un approccio moderno e guidato dall’AI per salvaguardare queste connessioni.

Nel 2024, un presunto insider di Star Health ha consentito l'accesso ai codici API, compromettendo i dati di 31 milioni di clienti. Questo caso ha provocato un terremoto nella comunità della sicurezza informatica, poiché il colpevole non era un hacker esterno, ma un insider che ha contattato direttamente il CISO e lo ha convinto a fornirgli un'API protetta. Poi ha sfruttato dall'interno il sistema già scarsamente protetto.

Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne

Il passaggio dal software on-premise alle applicazioni basate su cloud ha determinato un aumento senza precedenti dell'uso delle API. Tutte le organizzazioni adottano architetture basate su microservizi e integrano API di terze parti e open-source a un ritmo sempre più veloce. Di conseguenza, l'utilizzo delle API è aumentato del 30% rispetto all'anno precedente, riflettendo la domanda sui servizi interconnessi e incrementando l’impennata degli attacchi API soprattutto nelle istituzioni finanziarie e i servizi di pubblico interesse.

L'aumento delle vulnerabilità connesse alle API

Mentre le organizzazioni ampliano il profilo digitale, i criminali informatici sfruttano API non protette o mal configurate. Secondo un recente studio, si è registrato un incredibile aumento del 1.025% di vulnerabilità connesse all’AI, e di queste, il 99% è legato a errate configurazioni delle API, con vulnerabilità mirate al danneggiamento dei dati in memoria.

La Cybersecurity and Infrastructure Security Agency (CISA) in USA ha riscontrato che oltre la metà delle vulnerabilità sfruttabili erano collegate alle API, a dimostrazione del fatto che gli attuali sistemi sono insufficienti per contrastare le minacce in rapida evoluzione.

Uno dei maggiori freni alla sicurezza completa delle API è la visibilità. Le API si evolvono rapidamente e di conseguenza le loro risorse sono dedicate ad autorizzazioni per nuovi endpoint, versioni o integrazioni di terze parti, senza che i dispositivi di accesso inattivi abbiano terminato il loro ciclo di vita. Le Shadow API, ad esempio, sono un esempio del fatto che questa licenza, un tempo legittima ma non monitorata, è stata dimenticata.

La portata delle API utilizzate per abilitare i servizi basati sul web mette a rischio anche l'intera supply chain del software. I team di sicurezza devono garantire la sicurezza dei servizi che utilizzano e di quelli che dipendono da terzi. Se non si attivano standard di sicurezza rigorosi, una vulnerabilità basata su API può lasciare la porta spalancata.

Con l'aumento degli attacchi alle API, i firewall statici, le patch e le supervisioni manuali guidate dai team non riescono a tenere il passo. Le soluzioni di cybersecurity basate sull’AI risultano essere il modo migliore per sconfiggere i nuovi attacchi avanzati, offrendo approfondimenti in tempo reale, rilevamento automatico delle minacce e avvisi consapevoli del contesto che aiutano le imprese a contrastare gli aggressori.

Sicurezza guidata dall'automazione

• Identificazione proattiva delle vulnerabilità: i sistemi guidati dall’AI eseguono una scansione continua delle API per rilevare configurazioni errate, chiavi obsolete o potenziali punti di intrusione prima che gli aggressori possano sfruttarli.
• Rilevamento delle anomalie basate sul comportamento: queste soluzioni monitorano l'attività sulle reti e si affidano all’AI per identificare i pattern anomali in tempo reale.
• Risposta rapida agli incidenti: l’AI generativa chiarisce gli incidenti, consentendo anche ai professionisti più giovani di ridurre drasticamente il danno complessivo.

Processo decisionale basato sul contesto

• Alert prioritari: invece di sommergere il team di sicurezza con avvisi generici, l’AI assegna punteggi di rischio alle vulnerabilità, per concentrarsi sulle minacce gravi.
• Approfondimenti basati sui dati: i dettagli come la posizione dell'utente, le abitudini di utilizzo e gli schemi storici, forniscono informazioni per affinare le misure di protezione.
• Rilevamento e risposta automatizzati: l’AI è in grado non solo di rilevare le anomalie in tempo reale, ma di rispondere automaticamente alle minacce su più superfici.

Le API sono qui per restare e la loro rapida diffusione ha portato notevoli innovazioni nel mondo del business. Tuttavia, ha anche introdotto rischi significativi per la sicurezza, in quanto le API, se non adeguatamente protette, possono rivelarsi un punto di accesso per una compromissione massiccia dei dati. La sfida abbraccia tutti gli aspetti, dalle sviste di configurazione all'abuso deliberato da parte degli addetti ai lavori.

Le organizzazioni non possono più dipendere esclusivamente dal monitoraggio o dalle risposte manuali in un'epoca di attacchi guidati dall’AI e con tattiche sempre più astute dei criminali informatici. Abbracciando la cybersecurity basata sull'AI, le aziende possono mantenere una visibilità costante su ecosistemi API molto estesi, identificare le minacce prima che si aggravino e rispondere alle violazioni in pochi secondi anziché in giorni. Con la continua digitalizzazione delle aziende, la questione non è se le API utilizzate saranno prese di mira, ma quando e se saremo pronti a difenderle.

Paolo Cecchi è Sales Director Mediterranean Region di SentinelOne