Akamai Technologies ha pubblicato oggi una nuova ricerca sul mutevole panorama delle minacce alle API (Application Programming Interface), che, secondo Gartner, costituirà il più frequente vettore di attacco online entro il 2022. Il report “API: la superficie di attacco che ci collega tutti” è l’ultima pubblicazione della serie sullo stato di Internet – Security. Il nuovo report annovera anche una collaborazione tra i ricercatori di Akamai e Veracode, incluso un saggio di Chris Eng, Chief Research Officer per Veracode.
Le API sono progettate, per loro natura intrinseca, in modo da offrire un accesso rapido e semplice a varie piattaforme. Offrire praticità e semplicità nelle user experience rende le API vitali per molte aziende ma ne fa anche un facile bersaglio per i criminali informatici. Il report di Akamai evidenzia i meccanismi delle vulnerabilità delle API, nonostante i miglioramenti apportati alle fasi SDLC (Software Development Life Cycle) e agli strumenti di test. La sicurezza delle API viene spesso rimandata a un secondo momento nella fretta di immettere i prodotti sul mercato oppure molte aziende si basano ancora su tradizionali soluzioni per la sicurezza di rete che non sono progettate per proteggere l’ampia superficie di attacco potenzialmente introdotta dalle API.
“Dalla violazione dei dati di autenticazione agli attacchi injection fino a semplici configurazioni errate, sono numerose le preoccupazioni inerenti alla sicurezza delle API per chi crea un’applicazione connessa a Internet”, ha affermato Steve Ragan, ricercatore sulla sicurezza di Akamai e autore del report sullo stato di Internet – Security. “Gli attacchi alle API sono sottostimati e raramente segnalati una volta rilevati. Mentre gli attacchi DDoS e ransomware vengono considerati problemi seri, gli attacchi alle API non ricevono lo stesso livello di attenzione, in parte perché i criminali le utilizzano in modo più subdolo rispetto agli attacchi ransomware, anche se ciò non significa che debbano passare inosservati”.
Non è chiaro dove risiedano le vulnerabilità delle API. Ad esempio, le API sono spesso nascoste all’interno delle app per dispositivi mobili, facendo credere che siano immuni da manipolazioni. Gli sviluppatori partono dal presupposto che l’interazione tra utenti e API avvenga solo tramite l’interfaccia utente dei dispositivi mobili, ma, come osservato in questo report, non è proprio così.
Chris Eng, Chief Research Officer per Veracode, ha dichiarato: “Rispetto all’elenco OWASP Top 10, l’OWASP API Security Top 10 sostiene di trattare le vulnerabilità e i rischi per la sicurezza specifici delle API, ma, ad un’analisi più approfondita, contiene le stesse vulnerabilità web descritte in un ordine e con termini leggermente diversi. Tanto per rincarare la dose, le chiamate API sono più semplici e veloci da automatizzare (volutamente!): un’arma a doppio taglio da cui possono trarre vantaggio sia gli sviluppatori che i criminali”.
I picchi di traffico puntano alle continue vulnerabilità delle API
Come si legge anche nel report, Akamai ha esaminato il traffico degli attacchi su un periodo di 18 mesi tra gennaio 2020 e giugno 2021, individuando più di 11 miliardi di tentativi di attacchi in totale. Con 6,2 miliardi di tentativi registrati, l’attacco SQL Injection (SQLi) rimane in cima alla lista degli attacchi web, seguito dagli attacchi LFI (Local File Inclusion) con 3,3 miliardi e XSS (Cross-Site Scripting) con 1,019 miliardi.
Anche se è difficile identificare la percentuale di attacchi esclusivamente API rispetto a quelli menzionati sopra, l’OWASP (Open Web Application Security Project), una fondazione non profit impegnata nell’intento di migliorare la sicurezza del software, ha recentemente pubblicato la Top 10 API Security, che riflette, in larga parte, le conclusioni di Akamai.
Tra gli altri punti salienti del report:
- Gli attacchi di credential stuffing monitorati per 18 mesi tra gennaio 2020 e giugno 2021 sono rimasti stabili, con picchi di un solo giorno nei mesi di gennaio 2021 e maggio 2021, in cui è stato registrato oltre 1 miliardo di attacchi.
- Gli Stati Uniti sono stati il bersaglio principale degli attacchi sferrati contro le applicazioni web nel periodo osservato, con un traffico quasi sei volte superiore a quello registrato in Inghilterra, la seconda nazione che ha subito più attacchi.
- Gli Stati Uniti hanno anche primeggiato come paese di origine degli attacchi, scalzando la Russia, con un traffico quasi quattro volte superiore.
- Il traffico degli attacchi DDoS è rimasto costante fino a oggi, con picchi registrati nel primo trimestre di quest’anno. A gennaio 2021, Akamai ha rilevato 190 eventi DDoS in un solo giorno, seguito da 183 eventi a marzo.
