Le aziende continuano a spostarsi verso infrastrutture IT digitalizzate e basate sul cloud. I sistemi digitali consentono flessibilità, scalabilità e velocità senza precedenti rispetto alle loro controparti più tradizionali in sede.
Tuttavia, le infrastrutture digitali dipendono fortemente dalle interfacce di programmazione delle applicazioni – o API — facilitare i trasferimenti di dati tra applicazioni software e tra applicazioni e utenti finali. Essendo il framework backend per la maggior parte delle app web e mobili, le API sono rivolte verso Internet e quindi vulnerabili agli attacchi. E poiché molte API archiviano e trasferiscono dati sensibili, richiedono robusti protocolli di sicurezza e attente pratiche di monitoraggio per evitare che le informazioni cadano nelle mani sbagliate.
Spiegare la sicurezza dell'API
La sicurezza delle API si riferisce all'insieme di pratiche e prodotti utilizzati da un'organizzazione per prevenire attacchi dannosi e uso improprio delle API. Data la complessità degli ecosistemi API, la crescita di IoT piattaforme e l'enorme volume di API utilizzate dalle organizzazioni (in media circa 20,000), gestire la sicurezza delle API è sempre più impegnativo e sempre più necessario.
Le API si inseriscono tra le risorse IT di un'organizzazione e gli sviluppatori di software di terze parti, nonché tra le risorse IT e gli individui, fornendo dati e informazioni agli endpoint del processo. È a questi endpoint che i dati aziendali e degli utenti sono vulnerabili a vari tipi di attacchi e rischi per la sicurezza, tra cui:
- Attacchi basati sull'autenticazione: dove gli hacker cercano di indovinare o rubare le password degli utenti o sfruttare processi di autenticazione deboli per ottenere l'accesso ai server API.
- Attacchi man-in-the-middle: dove un malintenzionato ruba o modifica dati (ad esempio, credenziali di accesso o informazioni di pagamento) intercettando richieste e/o risposte tra le API.
- Iniezioni di codice/attacchi di iniezione: dove l'hacker trasmette uno script dannoso (per inserire informazioni false, cancellare o rivelare dati o interrompere la funzionalità dell'app) attraverso una richiesta API, sfruttando i punti deboli degli interpreti API che leggono e traducono i dati.
- Attacco Denial of Service (DoS).: questi attacchi inviano decine di richieste API per mandare in crash o rallentare il server. Gli attacchi DoS possono spesso provenire da più aggressori contemporaneamente in quello che viene chiamato attacco DDoS (Distributed Denial of Service).
- Attacchi BOLA (Broth Object Level Authorization).: si verificano quando i criminali informatici manipolano gli identificatori degli oggetti sugli endpoint API per ottenere l'accesso non autorizzato ai dati dell'utente. Questo problema si verifica quando un endpoint API consente a un utente di accedere a record che normalmente non dovrebbero. Gli attacchi BOLA sono particolarmente comuni perché l'implementazione di adeguati controlli di autorizzazione a livello di oggetto può essere difficile e richiedere molto tempo.
Questi e altri tipi di attacchi informatici sono quasi inevitabili nel dinamico panorama IT di oggi. E con la proliferazione dei criminali informatici e l’accesso a tecnologie di hacking sempre più sofisticate, l’implementazione dei protocolli di sicurezza API diventerà sempre più cruciale per la sicurezza dei dati aziendali.
Best practice per la sicurezza dell'API
Le API consentono alle aziende di semplificare l'integrazione tra sistemi e la condivisione dei dati, ma con questa interconnettività aumenta l'esposizione attacchi informatici. In effetti, la maggior parte degli attacchi hacker alle applicazioni web e mobili attacca le API per ottenere l'accesso ai dati aziendali o degli utenti. API hackerate o compromesse possono avere conseguenze catastrofiche violazioni dei dati e interruzioni del servizio che mettono a rischio dati personali, finanziari e medici sensibili.
Fortunatamente, i progressi nella sicurezza delle API consentono di prevenire o mitigare l’impatto degli attacchi informatici da parte di soggetti malintenzionati. Ecco 11 pratiche comuni di sicurezza API e programmi che le organizzazioni possono sfruttare per proteggere le risorse informatiche e i dati degli utenti:
- Gateway API. L'installazione di un gateway API è uno dei modi più semplici per limitare l'accesso all'API. I gateway creano un unico punto di ingresso per tutte le richieste API e agiscono come livello di sicurezza applicando policy di sicurezza, aiutando a standardizzare le interazioni API e offrendo funzionalità come trasformazione di richiesta/risposta, memorizzazione nella cache e registrazione.
- Autenticazione e autorizzazione robuste. L'utilizzo di protocolli di autenticazione standard del settore, come OAuth 2.0, chiavi API, JWT, OpenID Connect e altri, garantisce che solo gli utenti autenticati possano accedere alle API aziendali. Inoltre, l’implementazione dei controlli di accesso basati sui ruoli impedisce agli utenti di accedere alle risorse per cui non sono autorizzati a utilizzare.
- Protocolli di crittografia. La connessione SSL o i protocolli di crittografia TLS, come HTTP Secure (HTTPS), aiutano i team a proteggere la comunicazione tra l'API e le applicazioni client. HTTPS crittografa tutte le trasmissioni di dati in rete, impedendo accessi non autorizzati e manomissioni. La crittografia dei dati inattivi, come le password archiviate, può proteggere ulteriormente i dati sensibili mentre sono in archivio.
- Firewall per applicazioni Web (WAF). I WAF forniscono un ulteriore livello di protezione per le API aziendali, in particolare dagli attacchi comuni alle app Web come attacchi injection, cross-site scripting (XSS) e cross-site request forgery (CSRF). Il software di sicurezza WAF può analizzare le richieste API in entrata e bloccare il traffico dannoso prima che raggiunga il server.
- Convalida dei dati. Allo stesso modo in cui le persone filtrano le telefonate ed evitano di aprire allegati da mittenti sconosciuti, le organizzazioni dovrebbero controllare tutto ciò che i loro server accettano e rifiutare qualsiasi trasmissione di dati o contenuti di grandi dimensioni (compresi quelli dei consumatori). Anche l'utilizzo della convalida dello schema XML o JSON e della conferma dei parametri può essere utile per prevenire gli attacchi.
- Limitazione di velocità. Ciò protegge le risorse dalla forza bruta e dagli attacchi DoS limitando il numero di richieste che un utente o un indirizzo IP può effettuare in un determinato periodo di tempo. I limiti di velocità garantiscono che le richieste vengano elaborate rapidamente e che nessun utente possa sovraccaricare il sistema con richieste dannose.
- Test di sicurezza. I test di sicurezza richiedono agli sviluppatori di inviare richieste standard utilizzando un client API per valutare la qualità e la correttezza delle risposte del sistema. L'esecuzione regolare di test di sicurezza delle API, ad esempio test di penetrazione, test di iniezione, test di autenticazione degli utenti, test di manomissione dei parametri e altro ancora, per identificare e affrontare le vulnerabilità aiuta i team a risolverle prima che gli aggressori le sfruttino.
- Monitoraggio e patch API. Come per qualsiasi applicazione o sistema software, il monitoraggio e la manutenzione regolari sono parte integrante del mantenimento della sicurezza delle API. Tieni d'occhio qualsiasi attività di rete insolita e aggiorna le API con le ultime patch di sicurezza, correzioni di bug e nuove funzionalità. Il monitoraggio dovrebbe includere anche la consapevolezza e la preparazione alle vulnerabilità comuni delle API, come quelle incluse nella top 10 dell'Open Web Application Security Project (OWASP).
- Controllo e registrazione. Mantenere registri di controllo completi e aggiornati, e rivederli spesso, consente alle organizzazioni di monitorare l'accesso e l'utilizzo di tutti i dati degli utenti e di registrare ogni richiesta API. Mantenere il controllo dell'attività dell'API può essere impegnativo, ma l'implementazione di procedure di controllo e registrazione può far risparmiare tempo quando i team devono tornare sui propri passi a seguito di una violazione dei dati o di una mancata conformità. E poiché forniscono una registrazione del normale comportamento della rete, i registri di controllo possono anche facilitare l’individuazione delle anomalie.
- Quote e limitazioni. Come la limitazione della velocità, la limitazione limita il numero di richieste ricevute dal sistema. Tuttavia, invece di operare a livello di utente o client, la limitazione funziona a livello di server/rete. I limiti e le quote di limitazione proteggono la larghezza di banda del sistema backend dell'API limitando l'API a un determinato numero di chiamate o messaggi al secondo. Indipendentemente dalle quote, è importante valutare il volume delle chiamate di sistema nel tempo, poiché un volume maggiore può indicare abusi e/o errori di programmazione.
- Versionamento e documentazione. Ogni nuova versione del software API include aggiornamenti di sicurezza e correzioni di bug che colmano le lacune di sicurezza delle versioni precedenti. Inoltre, senza pratiche di documentazione adeguate, gli utenti potrebbero accidentalmente distribuire una versione obsoleta o vulnerabile dell'API. La documentazione dovrebbe essere approfondita e coerente, compresi parametri di input chiaramente indicati, risposte previste e requisiti di sicurezza.
Sicurezza dell'intelligenza artificiale e delle API
Tra le misure di sicurezza delle API esistenti, l’intelligenza artificiale è emersa come uno strumento nuovo e potenzialmente potente per fortificare le API. Ad esempio, le aziende possono sfruttare l’intelligenza artificiale per il rilevamento di anomalie negli ecosistemi API. Una volta che un team ha stabilito una linea di base del normale comportamento dell'API, può utilizzare l'intelligenza artificiale per identificare le deviazioni del sistema (come modelli di accesso insoliti o richieste ad alta frequenza), segnalare potenziali minacce e rispondere immediatamente agli attacchi.
Le tecnologie di intelligenza artificiale possono anche consentire la modellazione automatizzata delle minacce. Utilizzando i dati API storici, l’intelligenza artificiale può creare modelli di minaccia per prevedere vulnerabilità e minacce prima che i malintenzionati possano sfruttarle. Se un’organizzazione deve far fronte a un volume elevato di attacchi basati sull’autenticazione, può utilizzare l’intelligenza artificiale per installare metodi avanzati di autenticazione degli utenti (come il riconoscimento biometrico), rendendo più difficile per gli aggressori ottenere un accesso non autorizzato.
Inoltre, gli strumenti basati sull’intelligenza artificiale possono automatizzare i protocolli di test di sicurezza delle API, identificando le lacune e i rischi di sicurezza in modo più efficiente ed efficace rispetto ai test manuali. E con la crescita degli ecosistemi API, crescono anche i protocolli di sicurezza basati sull’intelligenza artificiale. L'intelligenza artificiale consente alle aziende di monitorare e proteggere molte API contemporaneamente, rendendo la sicurezza delle API scalabile quanto le API stesse.
Rimani aggiornato sulla sicurezza delle API con IBM
L'importanza della sicurezza API non può essere sopravvalutata. Man mano che ci addentriamo nell’era della trasformazione digitale, la dipendenza dalle API continuerà a crescere, con l’evoluzione delle minacce alla sicurezza e dei malintenzionati. Tuttavia, con strumenti di gestione API come Connessione API IBM, le organizzazioni possono garantire che le proprie API siano gestite, sicure e conformi durante l'intero ciclo di vita.
La protezione delle API non sarà mai un'attività una tantum; piuttosto, le aziende dovrebbero vederlo come un processo continuo e dinamico che richiede vigilanza, abilità e apertura a nuove tecnologie e soluzioni. Utilizzando una combinazione di pratiche di sicurezza API tradizionali e approcci più recenti basati sull'intelligenza artificiale come Sicurezza API avanzata Noname per IBM, le aziende possono garantire che le risorse IT rimangano il più sicure possibile, proteggendo sia il consumatore che l'impresa.
Registrati ora al nostro webinar su AI, automazione e sicurezza delle API Scopri di più sulla partnership IBM con Noname Security
Altro da Automazione
Newsletter IBM
Ricevi le nostre newsletter e aggiornamenti sugli argomenti che forniscono la leadership di pensiero più recente e approfondimenti sulle tendenze emergenti.
Iscriviti ora Altre newsletter
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.ibm.com/blog/api-security-best-practices/
- :ha
- :È
- :Dove
- $ SU
- 000
- 1
- 10
- 11
- 20
- 2023
- 26
- 27
- 28
- 29
- 30
- 300
- 40
- 400
- 7
- 9
- a
- WRI
- abuso
- Accetta
- accesso
- Accedendo
- responsabilità
- Legge
- attività
- attori
- indirizzo
- Adozione
- Avanzate
- avanzamenti
- Pubblicità
- contro
- AI
- AI-alimentato
- Tutti
- consente
- anche
- quantità
- amp
- an
- analitica
- analizzare
- ed
- Annunci
- rilevamento anomalie
- Un altro
- in qualsiasi
- Apache
- Apache Kafka
- api
- Accesso API
- API
- App
- Applicazioni
- sicurezza delle applicazioni
- applicazioni
- AMMISSIONE
- approcci
- applicazioni
- SONO
- articolo
- AS
- valutare
- At
- attacco
- attacchi
- revisione
- revisione
- autenticato
- Autenticazione
- autore
- autorizzazione
- autorizzato
- automatizzare
- Automatizzata
- Automazione
- disponibilità
- evitare
- premi
- consapevolezza
- precedente
- BACKEND
- Vasca
- Larghezza di banda
- Linea di base
- BE
- perché
- diventare
- diventando
- prima
- comportamento
- MIGLIORE
- best practice
- fra
- Conto
- biometrico
- Bloccare
- Blog
- entrambi
- confini
- violazione
- sfondamento
- portare
- ampio
- forza bruta
- Insetto
- costruire
- Costruzione
- affari
- aziende
- ma
- pulsante
- by
- detto
- Bandi
- Materiale
- non può
- funzionalità
- carbonio
- carta
- Carte
- CAT
- catastrofico
- Categoria
- certo
- impegnativo
- canale
- ricarica
- dai un'occhiata
- Controlli
- Cina
- classe
- chiaramente
- cliente
- Cloud
- collaborazione
- colore
- combinazione
- Venire
- viene
- Uncommon
- Comunicazione
- Aziende
- azienda
- rispetto
- concorrenza
- complessità
- conformità
- compiacente
- complicato
- globale
- Compromissione
- informatica
- conduzione
- Connettiti
- veloce
- Prendere in considerazione
- coerente
- costante
- Consumer
- Consumatori
- Contenitore
- contenuto
- continua
- continua
- continuo
- controlli
- Nucleo
- Costo
- Gestione dei costi
- omologhi
- copertura
- Crash
- creare
- Credenziali
- cruciale
- CSS
- costume
- Clienti
- attacchi informatici
- i criminali informatici
- Cybersecurity
- dati
- l'accesso ai dati
- violazione di dati
- la sicurezza dei dati
- condivisione dei dati
- Data
- Protezione
- trattare
- decisione
- Decision Making
- Predefinito
- definizioni
- consegnare
- consegna
- richieste
- dipendente
- schierare
- descrizione
- progettato
- rivelazione
- sviluppato
- sviluppatori
- difficile
- digitale
- DIGITAL TRANSFORMATION
- disciplina
- disturbare
- interruzioni
- distribuito
- documentazione
- Dont
- DOS
- giù
- dinamico
- e
- In precedenza
- più facile
- più semplice
- ecosistemi
- in maniera efficace
- in modo efficiente
- emerse
- emergenti del mondo
- enable
- Abilita
- crittografia
- fine
- endpoint
- endpoint
- migliorando
- garantire
- assicura
- entrare
- Impresa
- aziende
- Intero
- iscrizione
- episodio
- Equinix
- errori
- ESG
- particolarmente
- sviluppate
- Etere (ETH)
- valutare
- alla fine
- Ogni
- qualunque cosa
- evoluzione
- di preciso
- esempio
- esistente
- uscita
- previsto
- esperto
- Sfruttare
- Esposizione
- extra
- occhio
- facilitare
- fatto
- Caduta
- falso
- Caratteristiche
- Grazie
- finanziario
- responsabilità finanziaria
- gestione finanziaria
- firewall
- Fissare
- Flessibilità
- seguire
- i seguenti
- font
- Nel
- Forbes
- forza
- essere trovato
- Fondazione
- Contesto
- da
- funzionalità
- ulteriormente
- Guadagno
- guadagnando
- lacune
- porta
- generatore
- ottenere
- ottenere
- dato
- maggiore
- Griglia
- Crescere
- Crescita
- hacked
- degli hacker
- hacker
- pirateria informatica
- hack
- maniglia
- Mani
- dannoso
- Avere
- Titolo
- pesantemente
- altezza
- Aiuto
- utile
- aiutare
- aiuta
- qui
- Alta
- Alta frequenza
- vivamente
- storico
- ospitato
- Casa
- Tuttavia
- http
- HTTPS
- i
- IBM
- ICO
- ICON
- idealmente
- identificatori
- identificare
- identificazione
- if
- Immagine
- subito
- Impact
- Implementazione
- importanza
- importante
- in
- includere
- incluso
- Compreso
- In arrivo
- Aumento
- è aumentato
- sempre più
- Index
- indicare
- individui
- inevitabile
- informazioni
- infrastruttura
- creativi e originali
- ingresso
- intuizioni
- install
- installazione
- esempio
- invece
- integrale
- integrazione
- interazioni
- interfacce
- ai miglioramenti
- investimento
- IP
- Indirizzo IP
- problema
- IT
- SUO
- jpg
- json
- Beh
- kafka
- mantenere
- conservazione
- Tasti
- Genere
- paesaggio
- grandi
- con i più recenti
- strato
- portare
- Leadership
- Eredità
- Livello
- Leva
- ciclo di vita
- piace
- limiti
- Lista
- lobbying
- locale
- località
- registrazione
- accesso
- logo
- fatto
- mantenimento
- manutenzione
- make
- Fare
- gestito
- gestione
- Strumenti di gestione
- Manuale
- molti
- partita
- max-width
- Maggio..
- analisi
- medicale
- dati medici
- Soddisfare
- messaggi
- metodi
- verbale
- verbale
- uso improprio
- Ridurre la perdita dienergia con una
- Mobile
- mobili-apps
- modello
- modellismo
- modelli
- Monitorare
- monitoraggio
- Scopri di più
- maggior parte
- cambiano
- movimento
- in movimento
- molti
- multiplo
- Navigazione
- necessaria
- Bisogno
- esigenze
- Rete
- Dati di rete
- mai
- New
- Nuove funzionalità
- Nuove tecnologie
- più nuovo
- notizie
- Newsletter
- no
- normale
- normalmente
- Niente
- Novembre
- adesso
- numero
- OAuth
- oggetto
- verificarsi
- ottobre
- of
- offerta
- di frequente
- on
- una volta
- ONE
- esclusivamente
- aprire
- open source
- apertura
- Apertura
- operativo
- ottimale
- OTTIMIZZA
- ottimizzati
- or
- organizzazione
- organizzazioni
- Altro
- nostro
- ancora
- sopravvalutato
- Pace
- pagina
- parametro
- parametri
- Partnership
- Le password
- Patch
- patching
- modelli
- Pagamento
- penetrazione
- Persone
- per
- performance
- cronologia
- telefono
- telefonate
- PHP
- piano
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- plug-in
- punto
- Termini e Condizioni
- politica
- posizione
- possibile
- Post
- potenziale
- potenzialmente
- potente
- pratiche
- predire
- preparazione
- prevenire
- prevenzione
- impedisce
- prezzi
- primario
- procedure
- processi
- elaborati
- i processi
- lavorazione
- Prodotti
- Programmazione
- Programmi
- progetto
- corretto
- protegge
- proteggere
- protezione
- protocolli
- fornire
- fornitori
- la percezione
- cloud pubblico
- pubblicato
- spingendo
- metti
- qualità
- rapidamente
- R
- tasso
- piuttosto
- RE
- raggiunge
- Leggi
- Lettura
- tempo reale
- dati in tempo reale
- riceve
- riconoscimento
- record
- record
- si riferisce
- Indipendentemente
- Basic
- fiducia
- fare affidamento
- rimanere
- richiesta
- richieste
- richiedere
- Requisiti
- richiede
- riparazioni
- Risorse
- Rispondere
- risposte
- di risposta
- REST
- limitare
- limitando
- colpevole
- rivelare
- revisione
- destra
- Rischio
- rischi
- robot
- robusto
- stesso
- Risparmi
- Scalabilità
- scalabile
- punteggi
- allo
- copione
- script
- Secondo
- sicuro
- problemi di
- Misure di sicurezza
- politiche di sicurezza
- rischi per la sicurezza
- Software di sicurezza
- test di sicurezza
- Minacce alla sicurezza
- aggiornamenti di sicurezza
- vedere
- visto
- inviare
- delicata
- SEO
- Serie
- server
- server
- servizio
- set
- compartecipazione
- dovrebbero
- contemporaneamente
- da
- singolo
- sedere
- site
- rallentare
- piccole
- So
- Software
- Sviluppatori di software
- soluzione
- Soluzioni
- sofisticato
- velocità
- spendere
- Sponsored
- Spot
- Standard
- inizia a
- Startup
- ha dichiarato
- soggiorno
- ruba
- Passi
- conservazione
- Tornare al suo account
- memorizzati
- ruscello
- snellire
- strutture
- inviare
- abbonati
- tale
- sicuro
- superare
- sorpresa
- sistema
- SISTEMI DI TRATTAMENTO
- Task
- team
- le squadre
- Tech
- Tecnologie
- Tecnologia
- terziario
- Testing
- test
- di
- che
- Il
- il mondo
- loro
- Li
- tema
- si
- perciò
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- di parti terze standard
- questo
- quelli
- pensiero
- leadership di pensiero
- minaccia
- minacce
- Attraverso
- per tutto
- tempo
- richiede tempo
- Titolo
- TLS
- a
- di oggi
- pure
- strumenti
- top
- Top 10
- argomento
- Argomenti
- verso
- pista
- tradizionale
- traffico
- trasferimento
- trasferimenti
- Trasformazione
- tradurre
- tendenze
- prova
- Digitare
- Tipi di
- non autorizzato
- capire
- Sconosciuto
- inaudito
- insolito
- up-to-date
- Aggiornanento
- Aggiornamenti
- URL
- Impiego
- uso
- Utente
- utenti
- usa
- utilizzando
- utilizzare
- convalida
- variabile
- vario
- venditore
- versione
- Video
- vigilanza
- volume
- vulnerabilità
- Vulnerabile
- W
- Modo..
- modi
- we
- sito web
- applicazione web
- webinar
- WELL
- Che
- quando
- while
- bianca
- Casa Bianca
- volere
- con
- senza
- WordPress
- lavorato
- lavori
- mondo
- scritto
- Wrong
- mani sbagliate
- XML
- XSS
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- youtube
- zefiro