• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Elisabetta Franchi: A Convention of Fashion and Imagination in Mold
    • Vertiv: soluzioni di alimentazione a 800 VDC pronte nel 2026
    • Bando Consip: tra i fornitori cloud per la PA c’è anche Aruba
    • Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky
    • Cloud italiano: tra sovranità digitale e competitività
    • Storage intelligente: la chiave di volta per i data center moderni
    • TeamViewer ONE: la piattaforma unificata che rivoluziona il Digital Workplace
    • Design responsive: ecco perché è diventato un must in tutti i settori
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Sicurezza delle app o delle API? Ai bot non interessa

    Sicurezza delle app o delle API? Ai bot non interessa

    By Redazione LineaEDP26/04/20245 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Il rapporto annuale “State of Application Strategy” di F5 ha messo in luce una disparità nella gestione della sicurezza tra le applicazioni e le API all’interno delle organizzazioni

    utente F5 trasformazione digitale-supercloud-sicurezza
    Lori MacVitte, F5 Distinguished Engineer

    Quiz time: quale di questi endpoint appartiene a un’API e quale a un’applicazione? 

    https://www.example.com/product o https://www.example.com/product? 

    Se siete indecisi e non riuscite a rispondere, va bene così. È proprio questo il punto: gli endpoint delle app e delle API sono praticamente identici. Questo perché in termini tecnici, se sono RESTful (e la maggior parte lo sono) vengono richiamati allo stesso modo, tramite HTTPS e di solito con un metodo GET. Ciò che spesso è diverso è il carico utile inviato con la richiesta. Per le API questo contiene tipicamente alcuni dati in formato JSON o XML, mentre le richieste delle applicazioni web possono contenere, beh, nulla. 

    Tuttavia, uno dei risultati principali del rapporto annuale State of Application Strategy che come F5 realizziamo indica che le organizzazioni trattano le API in modo diverso dalle applicazioni quando si tratta di sicurezza. Lo deduciamo dal fatto che il 41% delle organizzazioni possiede un numero di API pari o superiore a quello delle applicazioni, ma attribuisce un valore minore agli stessi servizi di sicurezza che le proteggono. 

    Ci si potrebbe chiedere come mai le organizzazioni si ritrovino con più API che applicazioni. Mentre le API utilizzate per la comunicazione interna da servizio a servizio (come i microservizi) sono certamente strettamente accoppiate al servizio che supportano, questo non è necessariamente vero quando le API sono utilizzate per presentare interfacce esterne.

    Da dove vengono le API? 

    Considerate che, in una nostra ricerca del 2021, il 61% degli intervistati ha dichiarato che stava “aggiungendo un livello di API per consentire interfacce utente moderne” come metodo di modernizzazione. Nel 2022, la percentuale era del 45%. Ciò significa che le API che abilitano le moderne interfacce utente non sono necessariamente collegate direttamente alle applicazioni. Potrebbero essere façade che facilitano le interfacce utente e le applicazioni moderne, come le applicazioni mobili e i servizi digitali, oppure potrebbero essere façade progettate per consentire le comunicazioni con i partner e la supply chain. Questi casi d’uso sono supportati dai gateway API e dal routing di livello 7 nei load balancer, che spesso forniscono un certo livello di capacità di trasformazione che consente loro di tradurre dall’endpoint dell’API all’endpoint dell’applicazione, consentendo così una API façade come quelle che fanno apparire i vecchi edifici del West americano molto più imponenti di quanto non siano.   

    Naturalmente, un buon numero di API è costituito da entities rivolte al pubblico collegate alle applicazioni e accessibili tramite il Web (in genere HTTPS). 

    Indipendentemente dal modo in cui sono arrivate, le API public-facing sono soggette a molti degli stessi attacchi delle applicazioni. Ciò è particolarmente vero quando sono coinvolti i bot, poiché le API con una buona documentazione rendono più facile per gli aggressori eseguire attacchi su scala. 

    Ad esempio, poco più del 13% delle transazioni protette da F5 Distributed Cloud Bot Defense nel 2023 sono state automatizzate. Vale a dire, è stato utilizzato uno script o un software invece di un essere umano che utilizza un browser web o un’applicazione mobile. Queste transazioni avvengono sia tramite API che tramite mobile app. Una certa percentuale di queste transazioni automatizzate erano sicuramente “bad bots” a cui la presenza del nostro servizio di sicurezza ha impedito di fare qualsiasi attività malevola stessero cercando di fare. 

    Pertanto, quando abbiamo esaminato la percezione della gestione dei bot da parte degli intervistati in base al numero di API da loro stessi dichiarato, siamo rimasti un po’ scioccati nello scoprire che la gestione dei bot è piuttosto bassa nella scala di importanza. 

    Mentre l’importanza attribuita ai gateway API sembra essere adeguata al numero di API gestite, lo stesso non vale per la gestione dei bot. Anzi, è completamente il contrario! Al crescere del numero di API, l’importanza della gestione dei bot sembra diminuire rapidamente. 

    È possibile che la maggior parte di queste API sia interna. Si tratta cioè di API est-ovest tra microservizi che non sono esposte ad attori esterni che potrebbero essere bot cattivi con intenti malevoli. 

    Ma potrebbe anche essere così. Visto il numero di articoli che ho letto nell’ultimo anno su aggressori che ottengono l’accesso tramite API, immagino che ce ne siano molti di più esterni di quanto pensiamo. 

    È quindi giunto il momento di ricordare alla gente che, se da un lato esistono numerosi bot fastidiosi, come grinch bots, sneaker bots e così via, che interrompono le attività commerciali per impossessarsi di merci molto richieste, dall’altro esiste anche un numero significativo di bot il cui unico scopo è individuare le vulnerabilità e attaccarle. Sia nelle API che nelle applicazioni. 

    Pertanto, sarebbe una buona idea per le organizzazioni impiegare una gamma completa di opzioni di sicurezza per proteggere le loro API e, in ultima analisi, il loro business. La gestione dei bot è certamente una di queste opzioni di sicurezza e dovrebbe essere considerata una componente critica di qualsiasi strategia di sicurezza. 

    In fin dei conti, ai bot non importa se l’endpoint appartiene a un’app o a un’API. Li attaccheranno entrambi. 

    Ciò significa che le aziende devono proteggere sia le app che le API, rilevando i bot e impedendo loro di fare qualsiasi cosa cattiva stiano cercando di fare. 

    Articolo a cura di Lori MacVitte, F5 Distinguished Engineer  

    Api applicazioni F5 sicurezza
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025

    TA406: cybercrime contro le entità governative ucraine

    19/05/2025

    Ransomware contro le PMI: le azioni preventive da adottare

    15/05/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Defence Tech

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025

    TA406: cybercrime contro le entità governative ucraine

    19/05/2025

    Ransomware contro le PMI: le azioni preventive da adottare

    15/05/2025

    Commvault e CrowdStrike ampliano la partnership per la Cyber Recovery

    15/05/2025
    Report

    Aziende italiane e Intelligenza Artificiale: a che punto siamo?

    12/05/2025

    L’AI irrompe nel manufacturing

    02/05/2025

    L’AI è il futuro, ma senza dati rimane solo una promessa

    02/05/2025

    IBM X-Force Threat Index 2025: vecchi e nuovi trend delle minacce cyber

    18/04/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.