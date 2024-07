Qualys, fornitore di innovative soluzioni per IT, sicurezza e conformità basate su cloud, presenta Qualys API Security, una versione migliorata di Web Application Scanning (WAS) con sicurezza API che sfrutta la scansione AI e il rilevamento di malware web basato sul deep learning per proteggere le app web e le API sull’intera superficie di attacco – compresi i server web on-prem, i database, gli ambienti ibridi e multi-cloud, i gateway API, le architetture containerizzate e i microservizi.

Lo scenario

L’ascesa delle API presenta sia opportunità che sfide nel mondo digitale iperconnesso di oggi. Le API sono parte integrante delle iniziative di trasformazione digitale in tutti i settori. I dati più recenti indicano che oltre l’83% del traffico web è costituito da API, evidenziando il loro ruolo critico nelle moderne applicazioni web che utilizzano microservizi, cloud e ambienti ibridi. Tuttavia, ciò sottolinea anche le vulnerabilità che accompagnano la loro adozione diffusa. Questo rapido aumento dell’utilizzo delle API espande la superficie di attacco, rendendo le soluzioni di sicurezza API efficaci più cruciali che mai.

Inoltre, normative come il GDPR in Europa e il CCPA in California impongono misure rigorose di protezione dei dati, e la mancata conformità comporta multe salate. Ad esempio, le violazioni del GDPR possono comportare multe fino al 4% del fatturato globale annuo o 20 milioni di euro, a seconda di quale sia il valore più alto. Queste normative rendono necessaria una solida sicurezza delle API per garantire la conformità e proteggere i dati sensibili.

Tuttavia, la protezione delle API per il moderno mondo dello sviluppo delle applicazioni comporta una serie di sfide. Scoprire tutte le API nei vari ambienti – ibridi, multi-cloud e altri – rimane una sfida significativa a causa della complessità e della diversità delle moderne architetture IT. Le previsioni di Forrester per il 2024 evidenziano la difficoltà di gestire la sicurezza delle API senza una visibilità completa dell’inventario delle API, dato che un’azienda media dispone di oltre 300 API.

La protezione delle API dalle minacce automatiche e avanzate senza compromettere la funzionalità o le performance è una delle principali preoccupazioni. Il numero crescente di API e la mancanza di dati in tempo reale sulla loro sicurezza complicano il rilevamento delle vulnerabilità e la definizione delle priorità.

La conformità agli standard OpenAPI è fondamentale per l’interoperabilità e la sicurezza delle API, ma implica una serie di sfide, dalle complessità tecniche alle considerazioni sulla sicurezza, dall’adozione organizzativa all’integrazione degli strumenti.

Dall’altro lato dello spettro, è fondamentale individuare e correggere tempestivamente i rischi per la sicurezza delle API senza rallentare i processi di sviluppo. L’implementazione di pratiche di sicurezza shift-left e l’automazione dei test di sicurezza all’interno delle pipeline CI/CD sono compiti cruciali ma impegnativi.

Le sfide di una postura di sicurezza API frammentata

Molte organizzazioni utilizzano una serie di strumenti di sicurezza, come SAST, DAST, SCA, o soluzioni puntuali per la sicurezza delle API che spesso operano in modo isolato, senza una piattaforma unificata per integrare i loro risultati. Inoltre, l’assenza di integrazione tra questi strumenti porta a una visione frammentata della postura di sicurezza delle applicazioni, con conseguenti sforzi non coordinati e lacune nella copertura della sicurezza. Allo stesso modo, gli strumenti SAST e DAST offrono una copertura limitata per i problemi specifici delle API e si concentrano prevalentemente sulle vulnerabilità del codice.

Principalmente, queste soluzioni non riescono a estendere la loro valutazione al runtime o alle minacce ambientali in cui operano le API e a fornire visibilità sulle vulnerabilità dell’infrastruttura sottostante che ospita queste API, lasciando lacune significative nella sicurezza a livello di rete e di host.

La maggior parte delle aziende utilizza questi diversi strumenti di sicurezza con algoritmi e meccanismi di rilevamento diversi, che possono produrre risultati contrastanti, aumentando la probabilità di falsi positivi. Inoltre, il gran numero di avvisi generati da questi strumenti non aiuta, portando a un affaticamento da avviso, in cui i problemi critici possono essere trascurati o ignorati.

In genere, i test di sicurezza sono spesso un ripensamento e vengono condotti in ritardo nel ciclo di sviluppo, prima della distribuzione, e quando le vulnerabilità critiche vengono scoperte all’ultimo minuto, non c’è tempo sufficiente per rimediare. Utilizzando le pratiche shift-left, incorporando i test di sicurezza nella pipeline CI/CD nelle prime fasi dello sviluppo, le vulnerabilità possono essere identificate e affrontate prima, riducendo il rischio di sorprese dell’ultimo minuto.

Inoltre, la correlazione dei dati tra i vari strumenti richiede un contesto, ad esempio la comprensione del modo in cui una vulnerabilità in un componente potrebbe avere un impatto su un altro. Senza questo contesto, il significato delle vulnerabilità può essere frainteso, con conseguente errata prioritizzazione degli sforzi di rimedio.

Per ridurre questi problemi, le organizzazioni dovrebbero adottare piattaforme di sicurezza integrate, enfatizzare le pratiche shift-left e garantire una correlazione completa dei dati in tutto lo spettro dei test di sicurezza.

Perché Qualys API Security

Per affrontare queste sfide, Qualys lancia Qualys API Security, basata su AI e deep learning per proteggere le app web e le API sull’intera superficie di attacco, e permettere alle organizzazioni di:

Misurare i rischi delle API su tutte le superfici di attacco con una visione unificata della sicurezza delle API, scoprendo e monitorando ogni risorsa API in ambienti diversi, consentendo un migliore processo decisionale e tempi di risposta più rapidi.

Comunicare i rischi API come le vulnerabilità OWASP API Top 10 e le derive dalle specifiche OpenAPI con il rilevamento e la risposta alle minacce in tempo reale, riducendo al minimo la finestra di rischio e migliorando la sicurezza complessiva.

Eliminare i rischi API con flussi di lavoro integrati che supportano le pratiche Shift-Left e Shift-Right, colmando il divario tra i team IT e di sicurezza, promuovendo una collaborazione perfetta e migliorando l’efficienza operativa.

Caratteristiche principali della soluzione dedicata alla sicurezza delle API