Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
W H I T E PA P E R Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
Introduzione Nel 2017, l'elenco OWASP includeva API non
sufficientemente protette tra i 10 principali rischi
OWASP. Successivamente, nel 2019, il progetto ha
pubblicato le 10 principali vulnerabilità per la
Oggi, le API (Application Program Interface) sicurezza delle API riportando un elenco dei tipi più
permettono un'integrazione flessibile, rapida e comuni di vulnerabilità delle API. Con la
conveniente tra ogni tipo di software, dispositivo o pubblicazione dei 10 principali rischi e delle 10
fonte di dati. Le API offrono una vasta gamma di principali vulnerabilità per la sicurezza delle API, il
funzionalità e pongono le basi per l'innovazione e la progetto OWASP si propone di aumentare la
trasformazione digitale. Gli ambienti ibridi multi- consapevolezza riguardo alle comuni vulnerabilità
cloud, mobili e SaaS sono solo alcuni esempi che della sicurezza che gli sviluppatori dovrebbero
sottolineano l'importanza di fondo delle API. Le API prendere in considerazione, orientandola mediante
sono diventate anche lo standard effettivo per la una serie di pratiche di sviluppo e aiutando a
creazione e la connessione delle moderne divulgare una cultura di pratiche di sviluppo sicure.
applicazioni, specialmente con la crescente Non si tratta di semplici checklist sui vettori di
migrazione verso le architetture basate sui attacco che è possibile bloccare con una o qualsiasi
microservizi. I microservizi indipendenti vengono combinazione di soluzioni WAAP (Web Application
assemblati in applicazioni più complesse tramite le and API Protection), gateway API, gestione API e/o
API. Questi tipi di API sono importanti perché strumenti specifici per le API.
consentono di interagire con il microservizio a cui
sono correlate. Dai semplici flussi interni tra le parti La mitigazione dei rischi correlati alle API richiede
di un'applicazione di microservizi alle principali una comprensione non solo delle API, ma anche del
transazioni B2B del valore di milioni, è importante ruolo svolto dai fornitori dei servizi di sicurezza e
proteggere adeguatamente le API perché fungono dalla vostra organizzazione nell'intento di
da "collante" digitale per la connessione di vari proteggerle. Alcune aree a rischio possono essere
sistemi ed ecosistemi di partner, consentono di affrontate solo dagli sviluppatori, tuttavia i fornitori
offrire customer experience digitali e omnicanale e dei servizi di sicurezza possono dare una mano in
sono vulnerabili in pratica agli stessi rischi legati alle aree specifiche. Per poter affrontare le 10 principali
classiche applicazioni web. vulnerabilità per la sicurezza delle API, è necessario
comprendere dove e come (e quanto) i fornitori dei
Il nostro concetto tradizionale di API, come le API da servizi di sicurezza possono aiutare a migliorare le
macchina a macchina e quelle di terze parti, può e pratiche di sviluppo già utilizzate.
deve essere ampliato al fine di includere i servizi di
applicazioni mobili e web in quanto parte
dell'architettura basata sui microservizi. In altre Il nostro concetto tradizionale di
parole, una richiesta web nell'ambito
dell'architettura dei microservizi è un'API che
API può e deve essere ampliato
gestisce una chiamata ai vari microservizi. Ognuna al fine di includere i servizi di
di queste chiamate può potenzialmente aprire falle
nei sistemi di sicurezza e comportare rischi per la
applicazioni mobili e web in
privacy di vario tipo, da operazioni di conferma dei quanto parte dell'architettura
dati di bassa qualità ad errori di configurazione e
difetti di implementazione fino alla mancanza di basata sui microservizi.
integrazione tra i componenti del sistema di
sicurezza. Occorre tener conto di questo aspetto Di seguito vengono descritte le aree in cui Akamai
quando si affrontano le 10 principali vulnerabilità può contribuire a sostenere i vostri sforzi con le
per la sicurezza delle API riportate nell'elenco soluzioni per la sicurezza sull'edge, i servizi gestiti e
OWASP (Open Web Application Security Project). l'Intelligent Edge Platform.
akamai.com | 2
API1:2019 Violazione API2:2019 Violazione
dell'autorizzazione a dell'autorizzazione a
livello di oggetto livello di utente
Definizione di OWASP: le API tendono ad esporre gli Definizione di OWASP: i meccanismi di
endpoint che gestiscono gli identificatori di oggetti, autenticazione vengono spesso implementati in
creando problemi di controllo degli accessi con maniera errata, il che consente ai criminali di
un'ampia superficie di attacco. È consigliabile compromettere i token di autenticazione o di
prendere in considerazione i controlli di sfruttare i difetti di implementazione per assumere
autorizzazione a livello di oggetto in ogni funzione l'identità di altri utenti in modo temporaneo o
che accede ad una fonte di dati tramite l'input permanente. Compromettere la capacità di un
dell'utente. sistema di identificare il client/l'utente mette a
repentaglio la sicurezza delle API in generale.
Il contributo di Akamai
Questa vulnerabilità si verifica quando Il contributo di Akamai
l'autorizzazione di un client non è adeguatamente Mentre le organizzazioni devono rivedere il loro
confermata per l'accesso agli ID oggetto. Le processo di autenticazione utente violato per poter
organizzazioni possono ridurre questo rischio non affrontare al meglio questa vulnerabilità, Akamai
affidandosi soltanto agli ID oggetto passati nella può aiutare a individuare e proteggere da molti
richiesta da un client o utilizzando un ID casuale a vettori di attacco che cercano di sfruttarla.
cui non è possibile risalire facilmente. L'obiettivo è
confermare l'autorizzazione per tutti gli oggetti ai • Le funzionalità dell'API Gateway di Akamai
quali si accede o mascherare il vero ID degli oggetti supportano la convalida JWT (JSON Web Token)
quando occorre, al fine di mitigare ulteriormente il per l'autenticazione di singole risorse (con chiavi
rischio poiché i criminali potrebbero tentare di che consentono di controllare i reclami all'interno
effettuare una richiesta diretta delle risorse senza dei token e calcolare le firme digitali RSA) al fine
passare attraverso il flusso di applicazioni previsto. di garantire l'integrità dei token.
Akamai può aiutarvi nel seguente modo:
• La soluzione per la gestione dei bot di Akamai
• La soluzione WAAP (Web Application and API può individuare e gestire l'automazione usata
Protection) di Akamai, App & API Protector, può negli attacchi all'autenticazione, quali il credential
identificare in parte queste richieste tramite la stuffing e gli attacchi di forza bruta.
convalida dell'intestazione del referer.
Mentre le organizzazioni devono rivedere il loro processo di autenticazione
utente violato per poter affrontare al meglio questa vulnerabilità, Akamai
può aiutare a individuare e proteggere da molti vettori di attacco che
cercano di sfruttarla.
akamai.com | 3
API3:2019 Eccessiva
esposizione di dati
Definizione di OWASP: in attesa di implementazioni
generiche, gli sviluppatori tendono ad esporre tutte
le proprietà degli oggetti senza considerare se si
tratta di dati sensibili o meno, facendo affidamento
sui client per il filtraggio dei dati prima di mostrarli
all'utente.
Senza un controllo sullo stato di un client, i server
effettuano un ulteriore filtraggio, che può essere
sfruttato per accedere ai dati sensibili.
Il contributo di Akamai
Le API devono restituire unicamente dati rilevanti
e necessari al loro scopo previsto. Se si espongono
troppi dati, ad es. tecnologie e versioni software,
ecc., si consente ai criminali di scovare eventuali
punti vulnerabili e dati sensibili. Mentre le
organizzazioni riducono l'esposizione non necessaria
delle proprietà degli oggetti considerando se si
tratta di dati sensibili o meno, varie soluzioni Akamai
possono aiutare ad affrontare alcuni aspetti di queste
vulnerabilità.
• App & API Protector con Advanced Security
Management include una sicurezza positiva delle
API, in grado di definire formati oggetto JSON e
XML accettabili per separarli da quelli che
potrebbero inavvertitamente esporre troppi dati.
• App & API Protector offre azioni di risposta
personalizzate, che consentono ai clienti di definire
e offrire risposte basate su HTML, XML, JSON o di
altro tipo, al fine di sviare i criminali che mirano ai
dati sensibili.
akamai.com | 4
API4:2019 Mancanza di API5:2019 Autorizzazione
risorse e limitazione della violata a livello di funzione
velocità
Definizione di OWASP: policy di controllo degli
accessi complesse con gerarchie, gruppi e ruoli
Definizione di OWASP: troppo spesso, le API non diversi e una separazione poco chiara tra funzioni
impongono restrizioni in termini di dimensioni o amministrative e regolari tendono a causare difetti
numero di risorse che è possibile richiedere da di autorizzazione. Sfruttando questi problemi, i
parte del client/utente. Questo aspetto non solo criminali ottengono accesso alle risorse e/o alle
può influenzare le performance del server API, funzioni amministrative di altri utenti.
determinando un attacco DoS (Denial-of-Service),
ma può anche comportare difetti di autenticazione,
come gli attacchi di forza bruta. Il contributo di Akamai
Mentre le organizzazioni devono rivedere i loro
modelli di controllo degli accessi per poter
Il contributo di Akamai affrontare al meglio questa vulnerabilità, Akamai
Le API spesso non limitano il numero di richieste può aiutare a individuare e proteggere da molti
inviate entro un certo periodo di tempo né limitano vettori di attacco che cercano di sfruttare
la quantità di dati restituiti. In tal modo, i criminali l'autorizzazione violata a livello di funzione.
possono sferrare attacchi DoS per impedire agli
utenti legittimi di accedere al sistema. Le soluzioni • Akamai Enterprise Application Access offre un
Akamai offrono funzioni di limitazione della velocità modello di accesso basato sul privilegio minimo
e protezione dagli attacchi ad attività bassa e lenta per gli utenti aziendali, consentendo solo agli
per limitare e controllare le richieste API. utenti autenticati la visibilità e l'accesso alle
applicazioni autorizzate. In tal modo, è possibile
• App & API Protector con Advanced Security creare una separazione tra funzioni utente
Management offre controlli della velocità che amministrative e regolari, oltre a mitigare il rischio
consentono ai clienti di definire soglie per le di difetti di autorizzazione con un modello di
richieste in base alle API, limitando i client qualora sicurezza Zero Trust.
tali soglie vengano superate. Le funzioni di
limitazione possono applicarsi all'intera API, ad • App & API Protector può essere utilizzata per
alcune risorse e/o ai verbi HTTP per una data risorsa. rilevare automaticamente gli endpoint API
sensibili (ad es. i pannelli di amministrazione) che
• App & API Protector protegge l'infrastruttura di potrebbero essere inavvertitamente esposti al
back-end dell'API dall'esaurimento delle risorse pubblico.
lanciato tramite gli attacchi DoS ad attività bassa
e lenta (ad es. Slow POST).
• App & API Protector con Advanced Security
Management può limitare le dimensioni, il tipo e
la portata delle richieste, ad esempio, è possibile
utilizzare limitazioni delle richieste per la convalida
JSON e XML a fronte di formati predefiniti per
impedire l'esaurimento delle risorse.
Le soluzioni Akamai offrono funzioni di limitazione della velocità e protezione
dagli attacchi ad attività bassa e lenta per limitare e controllare le richieste API.
akamai.com | 5
API6:2019 Assegnazione
di massa
Definizione di OWASP: l'associazione di dati forniti
dal client (ad es. JSON) ai modelli di dati, senza
l'adeguato filtraggio delle proprietà basato su una
whitelist, di solito causano assegnazioni di massa.
Supporre proprietà per gli oggetti, esplorare altri
endpoint API, leggere la documentazione o fornire
ulteriori proprietà degli oggetti nei payload delle
richieste consente ai criminali di modificare
proprietà per loro altrimenti inaccessibili.
Il contributo di Akamai
I moderni framework di API invitano gli sviluppatori
ad associare automaticamente l'input del client
alle variabili dei codici e agli oggetti interni.
Anche se gli utenti legittimi possono aggiornare
alcuni campi di dati, non dovrebbero poter
modificare le autorizzazioni a livello di utente e/o
altre funzioni amministrative. Gli endpoint API
vengono considerati vulnerabili se convertono
automaticamente l'input del client in proprietà
interne degli oggetti, senza tener conto del loro
livello di esposizione e se si tratta di dati sensibili o
meno. Akamai può aiutarvi a mitigare questo rischio.
• App & API Protector con Advanced Security
Management include una sicurezza positiva delle
API, in grado di definire formati oggetto JSON e
XML accettabili per separarli da quelli dannosi.
akamai.com | 6
API7:2019 Errata • App & API Protector con Advanced Security
Management consente di esaminare la risposta HTTP
configurazione della proveniente dalle applicazioni web per rilevare i dati
sensibili in uscita, come nel caso di fughe di codici/
sicurezza messaggi di errore SQL, directory e nomi file.
• App & API Protector offre regole personalizzate
Definizione di OWASP: un'errata configurazione da poter usare per rilevare la presenza di
della sicurezza, in genere, è il risultato di informazioni di identificazione personale (IIP),
configurazioni predefinite non sicure, incomplete come i numeri di previdenza sociale, che è
o ad hoc, storage nel cloud aperto, intestazioni possibile utilizzare anche per applicare patch
HTTP non correttamente configurate, metodi HTTP virtuali alle API.
non necessari, impostazioni CORS (Cross-Origin
Resource Sharing) permissive e messaggi di errore • È possibile configurare e applicare sull'edge un
dettagliati contenenti informazioni sensibili. controllo granulare delle policy CORS tramite le
relative funzionalità con le funzionalità dell'API
Gateway.
Il contributo di Akamai
Per definizione, un'errata configurazione della • App & API Protector offre azioni di risposta
sicurezza copre molteplici aspetti della sicurezza personalizzate sull'edge, laddove i clienti possono
delle applicazioni e delle API e richiede alle definire e offrire risposte basate su HTML, XML,
organizzazioni di configurare in modo adeguato i JSON o di altro tipo, al fine di sviare i criminali che
controlli di sicurezza. Pur non riuscendo a sostituire mirano ai dati sensibili contenuti nei messaggi di
un'appropriata configurazione, Akamai può aiutare errore.
a proteggere da eventuali fughe di dati, correggere
• App & API Protector può aggiungere e rimuovere
le intestazioni non correttamente configurate,
intestazioni HTTP per applicare patch alle
limitare i metodi non necessari e altro.
configurazioni errate e implementare le best
practice di sicurezza.
akamai.com | 7
API8:2019 Injection
Definizione di OWASP: le vulnerabilità agli attacchi
injection, come SQL, NoSQL, Command Injection,
ecc., si verificano quando vengono inviati dati
inattendibili a un interprete come parte di un
comando o una query. I dati dannosi inviati dai
criminali possono portare l'interprete ad eseguire
comandi indesiderati o ad accedere ai dati senza
un'adeguata autorizzazione.
Il contributo di Akamai
Le organizzazioni possono usare una soluzione
WAAP per proteggere le applicazioni web e le API
dalle vulnerabilità agli attacchi injection. Tuttavia,
devono sempre applicare le patch alle applicazioni
web e alle API per affrontare eventuali vulnerabilità
rilevate in base al proprio ciclo di sviluppo.
• App & API Protector protegge dagli attacchi
injection (ad es. SQLi, XSS, CMDi, RFI e LFI)
e analizza automaticamente le richieste JSON
e XML.
• L'applicazione di patch virtuali con regole
personalizzate può risolvere vulnerabilità agli
attacchi injection nuove o emergenti, emerse
dalle applicazioni e dalle API in continua
evoluzione. L'applicazione di patch virtuali
può anche essere automatizzata e integrata
nei workflow CI/CD, sfruttando le API di
configurazione AppSec di Akamai.
• App & API Protector protegge le API da client
con comportamenti inappropriati bloccando
immediatamente e in maniera continua le sessioni
di attacco attive. I client che fanno richieste
inappropriate saranno trasferiti in una "penalty
box" e le loro richieste saranno negate con
incrementi da 10 minuti.
akamai.com | 8API9:2019 Gestione • App & API Protector rileva automaticamente le
API sconosciute, compresi endpoint, risorse,
inappropriata delle risorse caratteristiche e definizioni, per permettere ai
team addetti alla sicurezza di stare al passo con
le mutevoli definizioni e scoprire le API obsolete
Definizione di OWASP: le API tendono a esporre più e/o esistenti.
endpoint rispetto alle applicazioni web tradizionali,
pertanto è fondamentale disporre di una • App & API Protector offre regole personalizzate
documentazione adeguata e aggiornata. Host da poter usare per applicare patch virtuali e
adeguati e inventari delle versioni API distribuite affrontare vulnerabilità emerse dalle definizioni
giocano un ruolo altrettanto importante nella API in continua evoluzione.
mitigazione di problemi come versioni API obsolete
• Le funzionalità dell'API Gateway possono aiutare a
ed endpoint di debug vulnerabili.
definire la versione delle API in maniera adeguata
per gestire i loro cicli di vita.
Il contributo di Akamai
Le soluzioni per la sicurezza delle API possono
proteggere le API note, ma le API sconosciute, Le soluzioni per la sicurezza delle
comprese le API obsolete, legacy e/o non API possono proteggere le API
aggiornate, possono restare prive di patch e, quindi,
note, ma le API sconosciute,
vulnerabili agli attacchi. i criminali possono
potenzialmente accedere ai dati sensibili o, persino, comprese le API obsolete, legacy
al server tramite API sconosciute, che sono connesse e/o non aggiornate, possono
allo stesso database. Akamai è in grado di scoprire e
profilare le API per mitigare questo rischio.
restare prive di patch e, quindi,
vulnerabili agli attacchi.
akamai.com | 9API10:2019 Scarse Akamai offre alla telemetria
funzioni di registrazione dettagliata sugli attacchi e alle
e monitoraggio analisi degli eventi di sicurezza
un dashboard di analisi della
sicurezza web.
Definizione di OWASP: scarse funzioni di
registrazione e monitoraggio, associate a
un'integrazione assente o inefficace con la risposta
agli incidenti, consente ai criminali di continuare ad
attaccare i sistemi, mantenere la persistenza e
focalizzarsi su altri sistemi per manomettere, estrarre
o distruggere i dati. La maggior parte degli studi
sulle violazioni dimostra che il tempo per individuare
una violazione è superiore ai 200 giorni e che la
violazione viene rilevata solitamente da parti esterne
piuttosto che da un monitoraggio o processi interni.
Il contributo di Akamai
Scarse funzioni di registrazione e monitoraggio non
rappresentano di per sé una vulnerabilità, quanto
piuttosto una falla nella capacità di un'organizzazione
di individuare le vulnerabilità e i tentativi dei
criminali di sfruttarle. Akamai include molteplici
funzionalità per fornire alle organizzazioni una
maggiore visibilità sugli attacchi.
• Akamai offre alla telemetria dettagliata sugli
attacchi e all'analisi degli eventi di sicurezza un
dashboard di analisi della sicurezza web e funzioni
di creazione di rapporti per monitorare e valutare
gli eventi di sicurezza a livello delle API.
• App & API Protector si integra con le soluzioni
di gestione di eventi e informazioni di sicurezza
on-premise e basate sul cloud (SIEM, ad es.
Splunk, QRadar e ArcSight) con registri di dati
completi per aiutare a correlare gli eventi rilevati
da Akamai con altre soluzioni per la sicurezza.
• App & API Protector può aumentare
dinamicamente la registrazione delle attività di
controllo effettuate sui client sospetti. È possibile
implementare questa configurazione trap-and-
trace con un avviso di sicurezza per includere i
client sospetti in un elenco da tenere sotto
controllo. In tal modo, si avvia una registrazione
completa delle attività di controllo sul client.
• Akamai Managed Security Service fornisce
monitoraggio 24/7, gestione della sicurezza e
mitigazione delle minacce.
akamai.com | 10Conclusione migliaia di miliardi di richieste API ogni giorno. Le
soluzioni per la sicurezza delle applicazioni web e
delle API di Akamai vi aiuteranno a proteggere la
vostra organizzazione dalle forme più avanzate di
Le organizzazioni e i loro fornitori dei servizi di
attacchi alle applicazioni web, attacchi DDoS e
sicurezza devono lavorare a stretto contatto,
basati sulle API.
sincronizzando persone, processi e tecnologie, al
fine di costituire una solida difesa contro i rischi per
Per maggiori informazioni relative ai prodotti per
la sicurezza descritti nelle 10 principali vulnerabilità
la sicurezza sull'edge di Akamai, potete consultare
per la sicurezza delle API riportate nell'elenco
il nostro sito web; se desiderate discutere ed
OWASP. Akamai offre soluzioni per la sicurezza
esplorare più in dettaglio come possiamo
leader del settore, esperti della sicurezza altamente
collaborare per creare la migliore protezione per
competenti e una piattaforma edge intelligente,
la vostra azienda, contattate il vostro rappresentante
che raccoglie informazioni da milioni di attacchi
vendite Akamai oggi stesso.
alle applicazioni web, miliardi di richieste di bot e
Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni
ambito, dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad
Akamai per ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud.
Più di ogni altra azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il
portfolio Akamai di soluzioni per l'edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è
affiancato da un servizio clienti di assoluta qualità e da un monitoraggio 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Per scoprire
perché i principali brand mondiali si affidano ad Akamai, visitate il sito www.akamai.com o blogs.akamai.com e seguite @Akamai su
Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations. Data di pubblicazione: 08/21.
akamai.com | 11Puoi anche leggere
