Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
W H I T E PA P E R Come Akamai aiuta a mitigare le 10 principali vulnerabilità per la sicurezza delle API riportate nell'elenco OWASP
Introduzione Nel 2017, l'elenco OWASP includeva API non sufficientemente protette tra i 10 principali rischi OWASP. Successivamente, nel 2019, il progetto ha pubblicato le 10 principali vulnerabilità per la Oggi, le API (Application Program Interface) sicurezza delle API riportando un elenco dei tipi più permettono un'integrazione flessibile, rapida e comuni di vulnerabilità delle API. Con la conveniente tra ogni tipo di software, dispositivo o pubblicazione dei 10 principali rischi e delle 10 fonte di dati. Le API offrono una vasta gamma di principali vulnerabilità per la sicurezza delle API, il funzionalità e pongono le basi per l'innovazione e la progetto OWASP si propone di aumentare la trasformazione digitale. Gli ambienti ibridi multi- consapevolezza riguardo alle comuni vulnerabilità cloud, mobili e SaaS sono solo alcuni esempi che della sicurezza che gli sviluppatori dovrebbero sottolineano l'importanza di fondo delle API. Le API prendere in considerazione, orientandola mediante sono diventate anche lo standard effettivo per la una serie di pratiche di sviluppo e aiutando a creazione e la connessione delle moderne divulgare una cultura di pratiche di sviluppo sicure. applicazioni, specialmente con la crescente Non si tratta di semplici checklist sui vettori di migrazione verso le architetture basate sui attacco che è possibile bloccare con una o qualsiasi microservizi. I microservizi indipendenti vengono combinazione di soluzioni WAAP (Web Application assemblati in applicazioni più complesse tramite le and API Protection), gateway API, gestione API e/o API. Questi tipi di API sono importanti perché strumenti specifici per le API. consentono di interagire con il microservizio a cui sono correlate. Dai semplici flussi interni tra le parti La mitigazione dei rischi correlati alle API richiede di un'applicazione di microservizi alle principali una comprensione non solo delle API, ma anche del transazioni B2B del valore di milioni, è importante ruolo svolto dai fornitori dei servizi di sicurezza e proteggere adeguatamente le API perché fungono dalla vostra organizzazione nell'intento di da "collante" digitale per la connessione di vari proteggerle. Alcune aree a rischio possono essere sistemi ed ecosistemi di partner, consentono di affrontate solo dagli sviluppatori, tuttavia i fornitori offrire customer experience digitali e omnicanale e dei servizi di sicurezza possono dare una mano in sono vulnerabili in pratica agli stessi rischi legati alle aree specifiche. Per poter affrontare le 10 principali classiche applicazioni web. vulnerabilità per la sicurezza delle API, è necessario comprendere dove e come (e quanto) i fornitori dei Il nostro concetto tradizionale di API, come le API da servizi di sicurezza possono aiutare a migliorare le macchina a macchina e quelle di terze parti, può e pratiche di sviluppo già utilizzate. deve essere ampliato al fine di includere i servizi di applicazioni mobili e web in quanto parte dell'architettura basata sui microservizi. In altre Il nostro concetto tradizionale di parole, una richiesta web nell'ambito dell'architettura dei microservizi è un'API che API può e deve essere ampliato gestisce una chiamata ai vari microservizi. Ognuna al fine di includere i servizi di di queste chiamate può potenzialmente aprire falle nei sistemi di sicurezza e comportare rischi per la applicazioni mobili e web in privacy di vario tipo, da operazioni di conferma dei quanto parte dell'architettura dati di bassa qualità ad errori di configurazione e difetti di implementazione fino alla mancanza di basata sui microservizi. integrazione tra i componenti del sistema di sicurezza. Occorre tener conto di questo aspetto Di seguito vengono descritte le aree in cui Akamai quando si affrontano le 10 principali vulnerabilità può contribuire a sostenere i vostri sforzi con le per la sicurezza delle API riportate nell'elenco soluzioni per la sicurezza sull'edge, i servizi gestiti e OWASP (Open Web Application Security Project). l'Intelligent Edge Platform. akamai.com | 2
API1:2019 Violazione API2:2019 Violazione dell'autorizzazione a dell'autorizzazione a livello di oggetto livello di utente Definizione di OWASP: le API tendono ad esporre gli Definizione di OWASP: i meccanismi di endpoint che gestiscono gli identificatori di oggetti, autenticazione vengono spesso implementati in creando problemi di controllo degli accessi con maniera errata, il che consente ai criminali di un'ampia superficie di attacco. È consigliabile compromettere i token di autenticazione o di prendere in considerazione i controlli di sfruttare i difetti di implementazione per assumere autorizzazione a livello di oggetto in ogni funzione l'identità di altri utenti in modo temporaneo o che accede ad una fonte di dati tramite l'input permanente. Compromettere la capacità di un dell'utente. sistema di identificare il client/l'utente mette a repentaglio la sicurezza delle API in generale. Il contributo di Akamai Questa vulnerabilità si verifica quando Il contributo di Akamai l'autorizzazione di un client non è adeguatamente Mentre le organizzazioni devono rivedere il loro confermata per l'accesso agli ID oggetto. Le processo di autenticazione utente violato per poter organizzazioni possono ridurre questo rischio non affrontare al meglio questa vulnerabilità, Akamai affidandosi soltanto agli ID oggetto passati nella può aiutare a individuare e proteggere da molti richiesta da un client o utilizzando un ID casuale a vettori di attacco che cercano di sfruttarla. cui non è possibile risalire facilmente. L'obiettivo è confermare l'autorizzazione per tutti gli oggetti ai • Le funzionalità dell'API Gateway di Akamai quali si accede o mascherare il vero ID degli oggetti supportano la convalida JWT (JSON Web Token) quando occorre, al fine di mitigare ulteriormente il per l'autenticazione di singole risorse (con chiavi rischio poiché i criminali potrebbero tentare di che consentono di controllare i reclami all'interno effettuare una richiesta diretta delle risorse senza dei token e calcolare le firme digitali RSA) al fine passare attraverso il flusso di applicazioni previsto. di garantire l'integrità dei token. Akamai può aiutarvi nel seguente modo: • La soluzione per la gestione dei bot di Akamai • La soluzione WAAP (Web Application and API può individuare e gestire l'automazione usata Protection) di Akamai, App & API Protector, può negli attacchi all'autenticazione, quali il credential identificare in parte queste richieste tramite la stuffing e gli attacchi di forza bruta. convalida dell'intestazione del referer. Mentre le organizzazioni devono rivedere il loro processo di autenticazione utente violato per poter affrontare al meglio questa vulnerabilità, Akamai può aiutare a individuare e proteggere da molti vettori di attacco che cercano di sfruttarla. akamai.com | 3
API3:2019 Eccessiva esposizione di dati Definizione di OWASP: in attesa di implementazioni generiche, gli sviluppatori tendono ad esporre tutte le proprietà degli oggetti senza considerare se si tratta di dati sensibili o meno, facendo affidamento sui client per il filtraggio dei dati prima di mostrarli all'utente. Senza un controllo sullo stato di un client, i server effettuano un ulteriore filtraggio, che può essere sfruttato per accedere ai dati sensibili. Il contributo di Akamai Le API devono restituire unicamente dati rilevanti e necessari al loro scopo previsto. Se si espongono troppi dati, ad es. tecnologie e versioni software, ecc., si consente ai criminali di scovare eventuali punti vulnerabili e dati sensibili. Mentre le organizzazioni riducono l'esposizione non necessaria delle proprietà degli oggetti considerando se si tratta di dati sensibili o meno, varie soluzioni Akamai possono aiutare ad affrontare alcuni aspetti di queste vulnerabilità. • App & API Protector con Advanced Security Management include una sicurezza positiva delle API, in grado di definire formati oggetto JSON e XML accettabili per separarli da quelli che potrebbero inavvertitamente esporre troppi dati. • App & API Protector offre azioni di risposta personalizzate, che consentono ai clienti di definire e offrire risposte basate su HTML, XML, JSON o di altro tipo, al fine di sviare i criminali che mirano ai dati sensibili. akamai.com | 4
API4:2019 Mancanza di API5:2019 Autorizzazione risorse e limitazione della violata a livello di funzione velocità Definizione di OWASP: policy di controllo degli accessi complesse con gerarchie, gruppi e ruoli Definizione di OWASP: troppo spesso, le API non diversi e una separazione poco chiara tra funzioni impongono restrizioni in termini di dimensioni o amministrative e regolari tendono a causare difetti numero di risorse che è possibile richiedere da di autorizzazione. Sfruttando questi problemi, i parte del client/utente. Questo aspetto non solo criminali ottengono accesso alle risorse e/o alle può influenzare le performance del server API, funzioni amministrative di altri utenti. determinando un attacco DoS (Denial-of-Service), ma può anche comportare difetti di autenticazione, come gli attacchi di forza bruta. Il contributo di Akamai Mentre le organizzazioni devono rivedere i loro modelli di controllo degli accessi per poter Il contributo di Akamai affrontare al meglio questa vulnerabilità, Akamai Le API spesso non limitano il numero di richieste può aiutare a individuare e proteggere da molti inviate entro un certo periodo di tempo né limitano vettori di attacco che cercano di sfruttare la quantità di dati restituiti. In tal modo, i criminali l'autorizzazione violata a livello di funzione. possono sferrare attacchi DoS per impedire agli utenti legittimi di accedere al sistema. Le soluzioni • Akamai Enterprise Application Access offre un Akamai offrono funzioni di limitazione della velocità modello di accesso basato sul privilegio minimo e protezione dagli attacchi ad attività bassa e lenta per gli utenti aziendali, consentendo solo agli per limitare e controllare le richieste API. utenti autenticati la visibilità e l'accesso alle applicazioni autorizzate. In tal modo, è possibile • App & API Protector con Advanced Security creare una separazione tra funzioni utente Management offre controlli della velocità che amministrative e regolari, oltre a mitigare il rischio consentono ai clienti di definire soglie per le di difetti di autorizzazione con un modello di richieste in base alle API, limitando i client qualora sicurezza Zero Trust. tali soglie vengano superate. Le funzioni di limitazione possono applicarsi all'intera API, ad • App & API Protector può essere utilizzata per alcune risorse e/o ai verbi HTTP per una data risorsa. rilevare automaticamente gli endpoint API sensibili (ad es. i pannelli di amministrazione) che • App & API Protector protegge l'infrastruttura di potrebbero essere inavvertitamente esposti al back-end dell'API dall'esaurimento delle risorse pubblico. lanciato tramite gli attacchi DoS ad attività bassa e lenta (ad es. Slow POST). • App & API Protector con Advanced Security Management può limitare le dimensioni, il tipo e la portata delle richieste, ad esempio, è possibile utilizzare limitazioni delle richieste per la convalida JSON e XML a fronte di formati predefiniti per impedire l'esaurimento delle risorse. Le soluzioni Akamai offrono funzioni di limitazione della velocità e protezione dagli attacchi ad attività bassa e lenta per limitare e controllare le richieste API. akamai.com | 5
API6:2019 Assegnazione di massa Definizione di OWASP: l'associazione di dati forniti dal client (ad es. JSON) ai modelli di dati, senza l'adeguato filtraggio delle proprietà basato su una whitelist, di solito causano assegnazioni di massa. Supporre proprietà per gli oggetti, esplorare altri endpoint API, leggere la documentazione o fornire ulteriori proprietà degli oggetti nei payload delle richieste consente ai criminali di modificare proprietà per loro altrimenti inaccessibili. Il contributo di Akamai I moderni framework di API invitano gli sviluppatori ad associare automaticamente l'input del client alle variabili dei codici e agli oggetti interni. Anche se gli utenti legittimi possono aggiornare alcuni campi di dati, non dovrebbero poter modificare le autorizzazioni a livello di utente e/o altre funzioni amministrative. Gli endpoint API vengono considerati vulnerabili se convertono automaticamente l'input del client in proprietà interne degli oggetti, senza tener conto del loro livello di esposizione e se si tratta di dati sensibili o meno. Akamai può aiutarvi a mitigare questo rischio. • App & API Protector con Advanced Security Management include una sicurezza positiva delle API, in grado di definire formati oggetto JSON e XML accettabili per separarli da quelli dannosi. akamai.com | 6
API7:2019 Errata • App & API Protector con Advanced Security Management consente di esaminare la risposta HTTP configurazione della proveniente dalle applicazioni web per rilevare i dati sensibili in uscita, come nel caso di fughe di codici/ sicurezza messaggi di errore SQL, directory e nomi file. • App & API Protector offre regole personalizzate Definizione di OWASP: un'errata configurazione da poter usare per rilevare la presenza di della sicurezza, in genere, è il risultato di informazioni di identificazione personale (IIP), configurazioni predefinite non sicure, incomplete come i numeri di previdenza sociale, che è o ad hoc, storage nel cloud aperto, intestazioni possibile utilizzare anche per applicare patch HTTP non correttamente configurate, metodi HTTP virtuali alle API. non necessari, impostazioni CORS (Cross-Origin Resource Sharing) permissive e messaggi di errore • È possibile configurare e applicare sull'edge un dettagliati contenenti informazioni sensibili. controllo granulare delle policy CORS tramite le relative funzionalità con le funzionalità dell'API Gateway. Il contributo di Akamai Per definizione, un'errata configurazione della • App & API Protector offre azioni di risposta sicurezza copre molteplici aspetti della sicurezza personalizzate sull'edge, laddove i clienti possono delle applicazioni e delle API e richiede alle definire e offrire risposte basate su HTML, XML, organizzazioni di configurare in modo adeguato i JSON o di altro tipo, al fine di sviare i criminali che controlli di sicurezza. Pur non riuscendo a sostituire mirano ai dati sensibili contenuti nei messaggi di un'appropriata configurazione, Akamai può aiutare errore. a proteggere da eventuali fughe di dati, correggere • App & API Protector può aggiungere e rimuovere le intestazioni non correttamente configurate, intestazioni HTTP per applicare patch alle limitare i metodi non necessari e altro. configurazioni errate e implementare le best practice di sicurezza. akamai.com | 7
API8:2019 Injection Definizione di OWASP: le vulnerabilità agli attacchi injection, come SQL, NoSQL, Command Injection, ecc., si verificano quando vengono inviati dati inattendibili a un interprete come parte di un comando o una query. I dati dannosi inviati dai criminali possono portare l'interprete ad eseguire comandi indesiderati o ad accedere ai dati senza un'adeguata autorizzazione. Il contributo di Akamai Le organizzazioni possono usare una soluzione WAAP per proteggere le applicazioni web e le API dalle vulnerabilità agli attacchi injection. Tuttavia, devono sempre applicare le patch alle applicazioni web e alle API per affrontare eventuali vulnerabilità rilevate in base al proprio ciclo di sviluppo. • App & API Protector protegge dagli attacchi injection (ad es. SQLi, XSS, CMDi, RFI e LFI) e analizza automaticamente le richieste JSON e XML. • L'applicazione di patch virtuali con regole personalizzate può risolvere vulnerabilità agli attacchi injection nuove o emergenti, emerse dalle applicazioni e dalle API in continua evoluzione. L'applicazione di patch virtuali può anche essere automatizzata e integrata nei workflow CI/CD, sfruttando le API di configurazione AppSec di Akamai. • App & API Protector protegge le API da client con comportamenti inappropriati bloccando immediatamente e in maniera continua le sessioni di attacco attive. I client che fanno richieste inappropriate saranno trasferiti in una "penalty box" e le loro richieste saranno negate con incrementi da 10 minuti. akamai.com | 8
API9:2019 Gestione • App & API Protector rileva automaticamente le API sconosciute, compresi endpoint, risorse, inappropriata delle risorse caratteristiche e definizioni, per permettere ai team addetti alla sicurezza di stare al passo con le mutevoli definizioni e scoprire le API obsolete Definizione di OWASP: le API tendono a esporre più e/o esistenti. endpoint rispetto alle applicazioni web tradizionali, pertanto è fondamentale disporre di una • App & API Protector offre regole personalizzate documentazione adeguata e aggiornata. Host da poter usare per applicare patch virtuali e adeguati e inventari delle versioni API distribuite affrontare vulnerabilità emerse dalle definizioni giocano un ruolo altrettanto importante nella API in continua evoluzione. mitigazione di problemi come versioni API obsolete • Le funzionalità dell'API Gateway possono aiutare a ed endpoint di debug vulnerabili. definire la versione delle API in maniera adeguata per gestire i loro cicli di vita. Il contributo di Akamai Le soluzioni per la sicurezza delle API possono proteggere le API note, ma le API sconosciute, Le soluzioni per la sicurezza delle comprese le API obsolete, legacy e/o non API possono proteggere le API aggiornate, possono restare prive di patch e, quindi, note, ma le API sconosciute, vulnerabili agli attacchi. i criminali possono potenzialmente accedere ai dati sensibili o, persino, comprese le API obsolete, legacy al server tramite API sconosciute, che sono connesse e/o non aggiornate, possono allo stesso database. Akamai è in grado di scoprire e profilare le API per mitigare questo rischio. restare prive di patch e, quindi, vulnerabili agli attacchi. akamai.com | 9
API10:2019 Scarse Akamai offre alla telemetria funzioni di registrazione dettagliata sugli attacchi e alle e monitoraggio analisi degli eventi di sicurezza un dashboard di analisi della sicurezza web. Definizione di OWASP: scarse funzioni di registrazione e monitoraggio, associate a un'integrazione assente o inefficace con la risposta agli incidenti, consente ai criminali di continuare ad attaccare i sistemi, mantenere la persistenza e focalizzarsi su altri sistemi per manomettere, estrarre o distruggere i dati. La maggior parte degli studi sulle violazioni dimostra che il tempo per individuare una violazione è superiore ai 200 giorni e che la violazione viene rilevata solitamente da parti esterne piuttosto che da un monitoraggio o processi interni. Il contributo di Akamai Scarse funzioni di registrazione e monitoraggio non rappresentano di per sé una vulnerabilità, quanto piuttosto una falla nella capacità di un'organizzazione di individuare le vulnerabilità e i tentativi dei criminali di sfruttarle. Akamai include molteplici funzionalità per fornire alle organizzazioni una maggiore visibilità sugli attacchi. • Akamai offre alla telemetria dettagliata sugli attacchi e all'analisi degli eventi di sicurezza un dashboard di analisi della sicurezza web e funzioni di creazione di rapporti per monitorare e valutare gli eventi di sicurezza a livello delle API. • App & API Protector si integra con le soluzioni di gestione di eventi e informazioni di sicurezza on-premise e basate sul cloud (SIEM, ad es. Splunk, QRadar e ArcSight) con registri di dati completi per aiutare a correlare gli eventi rilevati da Akamai con altre soluzioni per la sicurezza. • App & API Protector può aumentare dinamicamente la registrazione delle attività di controllo effettuate sui client sospetti. È possibile implementare questa configurazione trap-and- trace con un avviso di sicurezza per includere i client sospetti in un elenco da tenere sotto controllo. In tal modo, si avvia una registrazione completa delle attività di controllo sul client. • Akamai Managed Security Service fornisce monitoraggio 24/7, gestione della sicurezza e mitigazione delle minacce. akamai.com | 10
Conclusione migliaia di miliardi di richieste API ogni giorno. Le soluzioni per la sicurezza delle applicazioni web e delle API di Akamai vi aiuteranno a proteggere la vostra organizzazione dalle forme più avanzate di Le organizzazioni e i loro fornitori dei servizi di attacchi alle applicazioni web, attacchi DDoS e sicurezza devono lavorare a stretto contatto, basati sulle API. sincronizzando persone, processi e tecnologie, al fine di costituire una solida difesa contro i rischi per Per maggiori informazioni relative ai prodotti per la sicurezza descritti nelle 10 principali vulnerabilità la sicurezza sull'edge di Akamai, potete consultare per la sicurezza delle API riportate nell'elenco il nostro sito web; se desiderate discutere ed OWASP. Akamai offre soluzioni per la sicurezza esplorare più in dettaglio come possiamo leader del settore, esperti della sicurezza altamente collaborare per creare la migliore protezione per competenti e una piattaforma edge intelligente, la vostra azienda, contattate il vostro rappresentante che raccoglie informazioni da milioni di attacchi vendite Akamai oggi stesso. alle applicazioni web, miliardi di richieste di bot e Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni ambito, dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad Akamai per ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud. Più di ogni altra azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il portfolio Akamai di soluzioni per l'edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è affiancato da un servizio clienti di assoluta qualità e da un monitoraggio 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Per scoprire perché i principali brand mondiali si affidano ad Akamai, visitate il sito www.akamai.com o blogs.akamai.com e seguite @Akamai su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations. Data di pubblicazione: 08/21. akamai.com | 11
Puoi anche leggere