Molte aziende hanno un falso senso di sicurezza quando si tratta di protezione API. Questo è il principale risultato dell’API Security Status Report 2022 pubblicato da Radware in collaborazione con Enterprise Management Associates. Il sondaggio include le risposte di CIO, CTO, VP e CIO di organizzazioni globali in Nord America, Europa, Medio Oriente, Africa e Asia Pacifico.
Il sondaggio mostra che l’utilizzo delle API continua a crescere. Il 92% delle aziende intervistate ha aumentato significativamente o leggermente l’utilizzo delle API, con il 59% che esegue già la maggior parte delle proprie app nel cloud. Inoltre, quasi il 97% delle organizzazioni utilizza le API per comunicare tra carichi di lavoro e sistemi, sottolineando la crescente dipendenza dalle API nelle operazioni aziendali quotidiane.
La minaccia sottovalutata delle API non documentate
Mentre più di nove intervistati su 10 ritengono di proteggere adeguatamente le proprie API e il 70% ritiene di avere una visibilità sufficiente nelle proprie applicazioni che elaborano dati sensibili, il 62% afferma che un terzo o più delle proprie API non sono documentate. Le API non documentate rendono le organizzazioni vulnerabili alle minacce informatiche come l’esposizione del database, le violazioni dei dati e gli attacchi di scraping.
“C’è chiaramente un falso senso di sicurezza in molte organizzazioni che sono adeguatamente protette dagli attacchi informatici. In effetti, hanno vulnerabilità significative alle API sconosciute e non documentate. ” “La sicurezza delle API non è una ‘tendenza’ che andrà via. Programmazione delle applicazioni è una parte essenziale della maggior parte delle tecnologie attuali e la sua sicurezza dovrebbe essere una priorità per qualsiasi azienda”.
Anche gli attacchi dei bot rimangono una minaccia
Quasi un terzo delle aziende intervistate (32%) ha affermato che gli attacchi bot sono una delle maggiori minacce alle API. Quando vengono rilevati attacchi API, la metà di essi si basa su avvisi provenienti da un portale API (29%) o da firewall di applicazioni Web (21%).
Commenti “I dati del sondaggio mostrano che la protezione dell’API non tiene il passo con l’utilizzo dell’API” Michael Gießelbach, Direttore regionale DACH presso Radware. “Molte aziende basano le proprie strategie di sicurezza delle API su presupposti falsi, ad esempio i gateway API tradizionali e i WAF forniscono una protezione adeguata. Ciò rende le API vulnerabili alle minacce comuni come gli attacchi dei bot”.
Una soluzione di protezione API completa, che include anche la protezione da botnet dannose, può fermare tali minacce. Tuttavia, pochissimi degli intervistati hanno indicato di disporre di soluzioni che effettivamente forniscono, o almeno potrebbero fornire, una protezione efficace. In effetti, metà delle organizzazioni intervistate ha affermato che i propri strumenti esistenti erano abbastanza o minimamente efficaci nel proteggere le proprie API e il 7% ha affermato che le proprie soluzioni non sono riuscite a rilevare gli attacchi. L’incapacità degli strumenti esistenti di proteggere adeguatamente le API dalle minacce comuni mette a rischio le implementazioni cloud.
L’open source contribuisce al mito della sicurezza
Un altro pericoloso equivoco è che il codice open source sia più sicuro del codice proprietario. Quasi i due terzi degli intervistati la pensano così e quasi tre quarti ritengono che le distribuzioni basate su container e le architetture di microservizi siano più sicure per impostazione predefinita rispetto alle architetture e alle distribuzioni monolitiche.
“La convinzione che l’open source sia intrinsecamente più sicuro potrebbe spiegare perché alcune aziende sono così permissive riguardo alla gestione delle patch”, afferma Gaby Malka. “Ma come abbiamo visto con Log4j e Heartbleed, l’open source può avere gli stessi difetti di sicurezza del codice proprietario. La convinzione che l’open source sia intrinsecamente più sicuro non fa che aumentare la falsa narrativa che rende le organizzazioni vulnerabili agli attacchi informatici”.
Il rapporto completo può essere ottenuto da Sito Web Radware (Rapporto sulla sicurezza API 2022) può essere scaricato.
“Studente amichevole. Giocatore certificato. Evangelista dei social media. Fanatico di Internet. Cade molto. Futuro idolo degli adolescenti.”
More Stories
Farmaci rinvenuti nelle filiali Lidl: i dipendenti effettuano un'operazione su larga scala
Pasta gialla nei test ambientali: solo una senape “difettosa”
Nonostante le vendite record, il produttore di bevande offre lavoro a orario ridotto su larga scala