Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP

Pagina creata da Federico Monaco
 
CONTINUA A LEGGERE
Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
W H I T E PA P E R
Come Akamai
aiuta a mitigare le
10 principali
vulnerabilità per
la sicurezza delle
API riportate
nell'elenco OWASP
Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
Introduzione                                                 Nel 2017, l'elenco OWASP includeva API non
                                                             sufficientemente protette tra i 10 principali rischi
                                                             OWASP. Successivamente, nel 2019, il progetto ha
                                                             pubblicato le 10 principali vulnerabilità per la
Oggi, le API (Application Program Interface)                 sicurezza delle API riportando un elenco dei tipi più
permettono un'integrazione flessibile, rapida e              comuni di vulnerabilità delle API. Con la
conveniente tra ogni tipo di software, dispositivo o         pubblicazione dei 10 principali rischi e delle 10
fonte di dati. Le API offrono una vasta gamma di             principali vulnerabilità per la sicurezza delle API, il
funzionalità e pongono le basi per l'innovazione e la        progetto OWASP si propone di aumentare la
trasformazione digitale. Gli ambienti ibridi multi-          consapevolezza riguardo alle comuni vulnerabilità
cloud, mobili e SaaS sono solo alcuni esempi che             della sicurezza che gli sviluppatori dovrebbero
sottolineano l'importanza di fondo delle API. Le API         prendere in considerazione, orientandola mediante
sono diventate anche lo standard effettivo per la            una serie di pratiche di sviluppo e aiutando a
creazione e la connessione delle moderne                     divulgare una cultura di pratiche di sviluppo sicure.
applicazioni, specialmente con la crescente                  Non si tratta di semplici checklist sui vettori di
migrazione verso le architetture basate sui                  attacco che è possibile bloccare con una o qualsiasi
microservizi. I microservizi indipendenti vengono            combinazione di soluzioni WAAP (Web Application
assemblati in applicazioni più complesse tramite le          and API Protection), gateway API, gestione API e/o
API. Questi tipi di API sono importanti perché               strumenti specifici per le API.
consentono di interagire con il microservizio a cui
sono correlate. Dai semplici flussi interni tra le parti     La mitigazione dei rischi correlati alle API richiede
di un'applicazione di microservizi alle principali           una comprensione non solo delle API, ma anche del
transazioni B2B del valore di milioni, è importante          ruolo svolto dai fornitori dei servizi di sicurezza e
proteggere adeguatamente le API perché fungono               dalla vostra organizzazione nell'intento di
da "collante" digitale per la connessione di vari            proteggerle. Alcune aree a rischio possono essere
sistemi ed ecosistemi di partner, consentono di              affrontate solo dagli sviluppatori, tuttavia i fornitori
offrire customer experience digitali e omnicanale e          dei servizi di sicurezza possono dare una mano in
sono vulnerabili in pratica agli stessi rischi legati alle   aree specifiche. Per poter affrontare le 10 principali
classiche applicazioni web.                                  vulnerabilità per la sicurezza delle API, è necessario
                                                             comprendere dove e come (e quanto) i fornitori dei
Il nostro concetto tradizionale di API, come le API da       servizi di sicurezza possono aiutare a migliorare le
macchina a macchina e quelle di terze parti, può e           pratiche di sviluppo già utilizzate.
deve essere ampliato al fine di includere i servizi di
applicazioni mobili e web in quanto parte
dell'architettura basata sui microservizi. In altre             Il nostro concetto tradizionale di
parole, una richiesta web nell'ambito
dell'architettura dei microservizi è un'API che
                                                                API può e deve essere ampliato
gestisce una chiamata ai vari microservizi. Ognuna              al fine di includere i servizi di
di queste chiamate può potenzialmente aprire falle
nei sistemi di sicurezza e comportare rischi per la
                                                                applicazioni mobili e web in
privacy di vario tipo, da operazioni di conferma dei            quanto parte dell'architettura
dati di bassa qualità ad errori di configurazione e
difetti di implementazione fino alla mancanza di                basata sui microservizi.
integrazione tra i componenti del sistema di
sicurezza. Occorre tener conto di questo aspetto             Di seguito vengono descritte le aree in cui Akamai
quando si affrontano le 10 principali vulnerabilità          può contribuire a sostenere i vostri sforzi con le
per la sicurezza delle API riportate nell'elenco             soluzioni per la sicurezza sull'edge, i servizi gestiti e
OWASP (Open Web Application Security Project).               l'Intelligent Edge Platform.

                                                                                                        akamai.com | 2
Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
API1:2019 Violazione                                     API2:2019 Violazione
dell'autorizzazione a                                    dell'autorizzazione a
livello di oggetto                                       livello di utente

Definizione di OWASP: le API tendono ad esporre gli      Definizione di OWASP: i meccanismi di
endpoint che gestiscono gli identificatori di oggetti,   autenticazione vengono spesso implementati in
creando problemi di controllo degli accessi con          maniera errata, il che consente ai criminali di
un'ampia superficie di attacco. È consigliabile          compromettere i token di autenticazione o di
prendere in considerazione i controlli di                sfruttare i difetti di implementazione per assumere
autorizzazione a livello di oggetto in ogni funzione     l'identità di altri utenti in modo temporaneo o
che accede ad una fonte di dati tramite l'input          permanente. Compromettere la capacità di un
dell'utente.                                             sistema di identificare il client/l'utente mette a
                                                         repentaglio la sicurezza delle API in generale.

Il contributo di Akamai
Questa vulnerabilità si verifica quando                  Il contributo di Akamai
l'autorizzazione di un client non è adeguatamente        Mentre le organizzazioni devono rivedere il loro
confermata per l'accesso agli ID oggetto. Le             processo di autenticazione utente violato per poter
organizzazioni possono ridurre questo rischio non        affrontare al meglio questa vulnerabilità, Akamai
affidandosi soltanto agli ID oggetto passati nella       può aiutare a individuare e proteggere da molti
richiesta da un client o utilizzando un ID casuale a     vettori di attacco che cercano di sfruttarla.
cui non è possibile risalire facilmente. L'obiettivo è
confermare l'autorizzazione per tutti gli oggetti ai     • Le funzionalità dell'API Gateway di Akamai
quali si accede o mascherare il vero ID degli oggetti      supportano la convalida JWT (JSON Web Token)
quando occorre, al fine di mitigare ulteriormente il       per l'autenticazione di singole risorse (con chiavi
rischio poiché i criminali potrebbero tentare di           che consentono di controllare i reclami all'interno
effettuare una richiesta diretta delle risorse senza       dei token e calcolare le firme digitali RSA) al fine
passare attraverso il flusso di applicazioni previsto.     di garantire l'integrità dei token.
Akamai può aiutarvi nel seguente modo:
                                                         • La soluzione per la gestione dei bot di Akamai
• La soluzione WAAP (Web Application and API               può individuare e gestire l'automazione usata
  Protection) di Akamai, App & API Protector, può          negli attacchi all'autenticazione, quali il credential
  identificare in parte queste richieste tramite la        stuffing e gli attacchi di forza bruta.
  convalida dell'intestazione del referer.

Mentre le organizzazioni devono rivedere il loro processo di autenticazione
utente violato per poter affrontare al meglio questa vulnerabilità, Akamai
può aiutare a individuare e proteggere da molti vettori di attacco che
cercano di sfruttarla.

                                                                                                   akamai.com | 3
Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
API3:2019 Eccessiva
esposizione di dati

Definizione di OWASP: in attesa di implementazioni
generiche, gli sviluppatori tendono ad esporre tutte
le proprietà degli oggetti senza considerare se si
tratta di dati sensibili o meno, facendo affidamento
sui client per il filtraggio dei dati prima di mostrarli
all'utente.

Senza un controllo sullo stato di un client, i server
effettuano un ulteriore filtraggio, che può essere
sfruttato per accedere ai dati sensibili.

Il contributo di Akamai
Le API devono restituire unicamente dati rilevanti
e necessari al loro scopo previsto. Se si espongono
troppi dati, ad es. tecnologie e versioni software,
ecc., si consente ai criminali di scovare eventuali
punti vulnerabili e dati sensibili. Mentre le
organizzazioni riducono l'esposizione non necessaria
delle proprietà degli oggetti considerando se si
tratta di dati sensibili o meno, varie soluzioni Akamai
possono aiutare ad affrontare alcuni aspetti di queste
vulnerabilità.

• App & API Protector con Advanced Security
  Management include una sicurezza positiva delle
  API, in grado di definire formati oggetto JSON e
  XML accettabili per separarli da quelli che
  potrebbero inavvertitamente esporre troppi dati.

• App & API Protector offre azioni di risposta
  personalizzate, che consentono ai clienti di definire
  e offrire risposte basate su HTML, XML, JSON o di
  altro tipo, al fine di sviare i criminali che mirano ai
  dati sensibili.

                                                            akamai.com | 4
Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
API4:2019 Mancanza di                                       API5:2019 Autorizzazione
risorse e limitazione della                                 violata a livello di funzione
velocità
                                                            Definizione di OWASP: policy di controllo degli
                                                            accessi complesse con gerarchie, gruppi e ruoli
Definizione di OWASP: troppo spesso, le API non             diversi e una separazione poco chiara tra funzioni
impongono restrizioni in termini di dimensioni o            amministrative e regolari tendono a causare difetti
numero di risorse che è possibile richiedere da             di autorizzazione. Sfruttando questi problemi, i
parte del client/utente. Questo aspetto non solo            criminali ottengono accesso alle risorse e/o alle
può influenzare le performance del server API,              funzioni amministrative di altri utenti.
determinando un attacco DoS (Denial-of-Service),
ma può anche comportare difetti di autenticazione,
come gli attacchi di forza bruta.                           Il contributo di Akamai
                                                            Mentre le organizzazioni devono rivedere i loro
                                                            modelli di controllo degli accessi per poter
Il contributo di Akamai                                     affrontare al meglio questa vulnerabilità, Akamai
Le API spesso non limitano il numero di richieste           può aiutare a individuare e proteggere da molti
inviate entro un certo periodo di tempo né limitano         vettori di attacco che cercano di sfruttare
la quantità di dati restituiti. In tal modo, i criminali    l'autorizzazione violata a livello di funzione.
possono sferrare attacchi DoS per impedire agli
utenti legittimi di accedere al sistema. Le soluzioni       • Akamai Enterprise Application Access offre un
Akamai offrono funzioni di limitazione della velocità         modello di accesso basato sul privilegio minimo
e protezione dagli attacchi ad attività bassa e lenta         per gli utenti aziendali, consentendo solo agli
per limitare e controllare le richieste API.                  utenti autenticati la visibilità e l'accesso alle
                                                              applicazioni autorizzate. In tal modo, è possibile
• App & API Protector con Advanced Security                   creare una separazione tra funzioni utente
  Management offre controlli della velocità che               amministrative e regolari, oltre a mitigare il rischio
  consentono ai clienti di definire soglie per le             di difetti di autorizzazione con un modello di
  richieste in base alle API, limitando i client qualora      sicurezza Zero Trust.
  tali soglie vengano superate. Le funzioni di
  limitazione possono applicarsi all'intera API, ad         • App & API Protector può essere utilizzata per
  alcune risorse e/o ai verbi HTTP per una data risorsa.      rilevare automaticamente gli endpoint API
                                                              sensibili (ad es. i pannelli di amministrazione) che
• App & API Protector protegge l'infrastruttura di            potrebbero essere inavvertitamente esposti al
  back-end dell'API dall'esaurimento delle risorse            pubblico.
  lanciato tramite gli attacchi DoS ad attività bassa
  e lenta (ad es. Slow POST).

• App & API Protector con Advanced Security
  Management può limitare le dimensioni, il tipo e
  la portata delle richieste, ad esempio, è possibile
  utilizzare limitazioni delle richieste per la convalida
  JSON e XML a fronte di formati predefiniti per
  impedire l'esaurimento delle risorse.

Le soluzioni Akamai offrono funzioni di limitazione della velocità e protezione
dagli attacchi ad attività bassa e lenta per limitare e controllare le richieste API.

                                                                                                      akamai.com | 5
Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
API6:2019 Assegnazione
di massa

Definizione di OWASP: l'associazione di dati forniti
dal client (ad es. JSON) ai modelli di dati, senza
l'adeguato filtraggio delle proprietà basato su una
whitelist, di solito causano assegnazioni di massa.
Supporre proprietà per gli oggetti, esplorare altri
endpoint API, leggere la documentazione o fornire
ulteriori proprietà degli oggetti nei payload delle
richieste consente ai criminali di modificare
proprietà per loro altrimenti inaccessibili.

Il contributo di Akamai
I moderni framework di API invitano gli sviluppatori
ad associare automaticamente l'input del client
alle variabili dei codici e agli oggetti interni.
Anche se gli utenti legittimi possono aggiornare
alcuni campi di dati, non dovrebbero poter
modificare le autorizzazioni a livello di utente e/o
altre funzioni amministrative. Gli endpoint API
vengono considerati vulnerabili se convertono
automaticamente l'input del client in proprietà
interne degli oggetti, senza tener conto del loro
livello di esposizione e se si tratta di dati sensibili o
meno. Akamai può aiutarvi a mitigare questo rischio.

• App & API Protector con Advanced Security
  Management include una sicurezza positiva delle
  API, in grado di definire formati oggetto JSON e
  XML accettabili per separarli da quelli dannosi.

                                          akamai.com | 6
Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
API7:2019 Errata                                         • App & API Protector con Advanced Security
                                                           Management consente di esaminare la risposta HTTP
configurazione della                                       proveniente dalle applicazioni web per rilevare i dati
                                                           sensibili in uscita, come nel caso di fughe di codici/
sicurezza                                                  messaggi di errore SQL, directory e nomi file.

                                                         • App & API Protector offre regole personalizzate
Definizione di OWASP: un'errata configurazione             da poter usare per rilevare la presenza di
della sicurezza, in genere, è il risultato di              informazioni di identificazione personale (IIP),
configurazioni predefinite non sicure, incomplete          come i numeri di previdenza sociale, che è
o ad hoc, storage nel cloud aperto, intestazioni           possibile utilizzare anche per applicare patch
HTTP non correttamente configurate, metodi HTTP            virtuali alle API.
non necessari, impostazioni CORS (Cross-Origin
Resource Sharing) permissive e messaggi di errore        • È possibile configurare e applicare sull'edge un
dettagliati contenenti informazioni sensibili.             controllo granulare delle policy CORS tramite le
                                                           relative funzionalità con le funzionalità dell'API
                                                           Gateway.
Il contributo di Akamai
Per definizione, un'errata configurazione della          • App & API Protector offre azioni di risposta
sicurezza copre molteplici aspetti della sicurezza         personalizzate sull'edge, laddove i clienti possono
delle applicazioni e delle API e richiede alle             definire e offrire risposte basate su HTML, XML,
organizzazioni di configurare in modo adeguato i           JSON o di altro tipo, al fine di sviare i criminali che
controlli di sicurezza. Pur non riuscendo a sostituire     mirano ai dati sensibili contenuti nei messaggi di
un'appropriata configurazione, Akamai può aiutare          errore.
a proteggere da eventuali fughe di dati, correggere
                                                         • App & API Protector può aggiungere e rimuovere
le intestazioni non correttamente configurate,
                                                           intestazioni HTTP per applicare patch alle
limitare i metodi non necessari e altro.
                                                           configurazioni errate e implementare le best
                                                           practice di sicurezza.

                                                                                                   akamai.com | 7
Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
API8:2019 Injection

Definizione di OWASP: le vulnerabilità agli attacchi
injection, come SQL, NoSQL, Command Injection,
ecc., si verificano quando vengono inviati dati
inattendibili a un interprete come parte di un
comando o una query. I dati dannosi inviati dai
criminali possono portare l'interprete ad eseguire
comandi indesiderati o ad accedere ai dati senza
un'adeguata autorizzazione.

Il contributo di Akamai
Le organizzazioni possono usare una soluzione
WAAP per proteggere le applicazioni web e le API
dalle vulnerabilità agli attacchi injection. Tuttavia,
devono sempre applicare le patch alle applicazioni
web e alle API per affrontare eventuali vulnerabilità
rilevate in base al proprio ciclo di sviluppo.

• App & API Protector protegge dagli attacchi
  injection (ad es. SQLi, XSS, CMDi, RFI e LFI)
  e analizza automaticamente le richieste JSON
  e XML.

• L'applicazione di patch virtuali con regole
  personalizzate può risolvere vulnerabilità agli
  attacchi injection nuove o emergenti, emerse
  dalle applicazioni e dalle API in continua
  evoluzione. L'applicazione di patch virtuali
  può anche essere automatizzata e integrata
  nei workflow CI/CD, sfruttando le API di
  configurazione AppSec di Akamai.

• App & API Protector protegge le API da client
  con comportamenti inappropriati bloccando
  immediatamente e in maniera continua le sessioni
  di attacco attive. I client che fanno richieste
  inappropriate saranno trasferiti in una "penalty
  box" e le loro richieste saranno negate con
  incrementi da 10 minuti.

                                                         akamai.com | 8
API9:2019 Gestione                                      • App & API Protector rileva automaticamente le
                                                          API sconosciute, compresi endpoint, risorse,
inappropriata delle risorse                               caratteristiche e definizioni, per permettere ai
                                                          team addetti alla sicurezza di stare al passo con
                                                          le mutevoli definizioni e scoprire le API obsolete
Definizione di OWASP: le API tendono a esporre più        e/o esistenti.
endpoint rispetto alle applicazioni web tradizionali,
pertanto è fondamentale disporre di una                 • App & API Protector offre regole personalizzate
documentazione adeguata e aggiornata. Host                da poter usare per applicare patch virtuali e
adeguati e inventari delle versioni API distribuite       affrontare vulnerabilità emerse dalle definizioni
giocano un ruolo altrettanto importante nella             API in continua evoluzione.
mitigazione di problemi come versioni API obsolete
                                                        • Le funzionalità dell'API Gateway possono aiutare a
ed endpoint di debug vulnerabili.
                                                          definire la versione delle API in maniera adeguata
                                                          per gestire i loro cicli di vita.
Il contributo di Akamai
Le soluzioni per la sicurezza delle API possono
proteggere le API note, ma le API sconosciute,            Le soluzioni per la sicurezza delle
comprese le API obsolete, legacy e/o non                  API possono proteggere le API
aggiornate, possono restare prive di patch e, quindi,
                                                          note, ma le API sconosciute,
vulnerabili agli attacchi. i criminali possono
potenzialmente accedere ai dati sensibili o, persino,     comprese le API obsolete, legacy
al server tramite API sconosciute, che sono connesse      e/o non aggiornate, possono
allo stesso database. Akamai è in grado di scoprire e
profilare le API per mitigare questo rischio.
                                                          restare prive di patch e, quindi,
                                                          vulnerabili agli attacchi.

                                                                                                akamai.com | 9
API10:2019 Scarse                                         Akamai offre alla telemetria
funzioni di registrazione                                 dettagliata sugli attacchi e alle
e monitoraggio                                            analisi degli eventi di sicurezza
                                                          un dashboard di analisi della
                                                          sicurezza web.
Definizione di OWASP: scarse funzioni di
registrazione e monitoraggio, associate a
un'integrazione assente o inefficace con la risposta
agli incidenti, consente ai criminali di continuare ad
attaccare i sistemi, mantenere la persistenza e
focalizzarsi su altri sistemi per manomettere, estrarre
o distruggere i dati. La maggior parte degli studi
sulle violazioni dimostra che il tempo per individuare
una violazione è superiore ai 200 giorni e che la
violazione viene rilevata solitamente da parti esterne
piuttosto che da un monitoraggio o processi interni.

Il contributo di Akamai
Scarse funzioni di registrazione e monitoraggio non
rappresentano di per sé una vulnerabilità, quanto
piuttosto una falla nella capacità di un'organizzazione
di individuare le vulnerabilità e i tentativi dei
criminali di sfruttarle. Akamai include molteplici
funzionalità per fornire alle organizzazioni una
maggiore visibilità sugli attacchi.

• Akamai offre alla telemetria dettagliata sugli
  attacchi e all'analisi degli eventi di sicurezza un
  dashboard di analisi della sicurezza web e funzioni
  di creazione di rapporti per monitorare e valutare
  gli eventi di sicurezza a livello delle API.

• App & API Protector si integra con le soluzioni
  di gestione di eventi e informazioni di sicurezza
  on-premise e basate sul cloud (SIEM, ad es.
  Splunk, QRadar e ArcSight) con registri di dati
  completi per aiutare a correlare gli eventi rilevati
  da Akamai con altre soluzioni per la sicurezza.

• App & API Protector può aumentare
  dinamicamente la registrazione delle attività di
  controllo effettuate sui client sospetti. È possibile
  implementare questa configurazione trap-and-
  trace con un avviso di sicurezza per includere i
  client sospetti in un elenco da tenere sotto
  controllo. In tal modo, si avvia una registrazione
  completa delle attività di controllo sul client.

• Akamai Managed Security Service fornisce
  monitoraggio 24/7, gestione della sicurezza e
  mitigazione delle minacce.

                                                                                    akamai.com | 10
Conclusione                                                               migliaia di miliardi di richieste API ogni giorno. Le
                                                                          soluzioni per la sicurezza delle applicazioni web e
                                                                          delle API di Akamai vi aiuteranno a proteggere la
                                                                          vostra organizzazione dalle forme più avanzate di
Le organizzazioni e i loro fornitori dei servizi di
                                                                          attacchi alle applicazioni web, attacchi DDoS e
sicurezza devono lavorare a stretto contatto,
                                                                          basati sulle API.
sincronizzando persone, processi e tecnologie, al
fine di costituire una solida difesa contro i rischi per
                                                                          Per maggiori informazioni relative ai prodotti per
la sicurezza descritti nelle 10 principali vulnerabilità
                                                                          la sicurezza sull'edge di Akamai, potete consultare
per la sicurezza delle API riportate nell'elenco
                                                                          il nostro sito web; se desiderate discutere ed
OWASP. Akamai offre soluzioni per la sicurezza
                                                                          esplorare più in dettaglio come possiamo
leader del settore, esperti della sicurezza altamente
                                                                          collaborare per creare la migliore protezione per
competenti e una piattaforma edge intelligente,
                                                                          la vostra azienda, contattate il vostro rappresentante
che raccoglie informazioni da milioni di attacchi
                                                                          vendite Akamai oggi stesso.
alle applicazioni web, miliardi di richieste di bot e

Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni
ambito, dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad
Akamai per ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud.
Più di ogni altra azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il
portfolio Akamai di soluzioni per l'edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è
affiancato da un servizio clienti di assoluta qualità e da un monitoraggio 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Per scoprire
perché i principali brand mondiali si affidano ad Akamai, visitate il sito www.akamai.com o blogs.akamai.com e seguite @Akamai su
Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations. Data di pubblicazione: 08/21.

                                                                                                                            akamai.com | 11
Puoi anche leggere