I progetti di trasformazione digitale sembrano accelerare più rapidamente degli sforzi delle aziende tesi a proteggerli. A rivelarlo un rapporto pubblicato da Salt Security, dal quale risulta che il 23% delle società interpellate ammette di aver subito una violazione tramite le API, durante lo scorso anno.

L'indagine è stata condotta su un campione formato da 250 aziende, focalizzate su una vasta gamma di settori e di diverse dimensioni, di ogni parte del mondo, dando vita allo “State of API Security Report” per il 2024.

Cosa afferma il rapporto di Salt Security

Il rapporto compilato da Salt Security rappresenta una vera e propria cartina di tornasole, per quanto concerne la sicurezza delle API. Prescindendo dalle violazioni dei sistemi informatici, addirittura il 95% del campione che ha preso parte alla rilevazione ha riconosciuto di aver riscontrato problemi di sicurezza delle API nel corso dell'ultimo anno. Una lista che include vulnerabilità (37%), esposizione di dati sensibili (38%), problemi di autenticazione (38%), negazione del servizio ( 21%) e abuso del conto (24%).

A dare problemi, sembra essere proprio la velocità con cui le API si stanno diffondendo all'interno di queste aziende. Basta scorrere le pagine dello studio per notare come nel corso dell'ultimo anno il loro numero sia cresciuto nell'ordine del 167%, mentre il 66% del campione afferma di gestirne più di cento. Nonostante questa enorme crescita, gli intervistati non hanno messo in campo accorgimenti tesi a proteggere una superficie di attacco in grande espansione.

Tutto ciò ad onta dell'evidente consapevolezza dell'inadeguatezza delle strategie di sicurezza API adottate. Appena l'8% delle aziende interpellate, infatti, ritiene che quella messa in campo possa essere definita “avanzata”. Mentre ammonta addirittura al 37% il dato di quelle che non hanno proprio fatto passi in tale direzione. E, ancora, soltanto il 58% dispone di procedure in grado di scoprire tutte le API nel proprio ambiente.

Dati sorprendenti soprattutto alla luce di una constatazione: il 46% delle aziende che hanno risposto all'indagine non ha eccessivi problemi a indicare nella sicurezza delle API un tema di forte discussione nella propria dirigenza.

Il compito degli aggressori è agevolato dalle lacune della sicurezza

Il punto su quanto rivelato dal rapporto è stato fornito da Roey Eliyahu, il cofondatore e CEO di Salt Security. Secondo lui, gli aggressori vanno a sfruttare i punti deboli delle API al fine di condurre i propri raid e sottrarre i dati di azienda e clienti una volta ottenuto l'accesso ai sistemi informatici. Per poi aggiungere: “Poiché i malintenzionati perfezionano costantemente le loro tattiche per lanciare in modo discreto attacchi API, spesso attraverso mezzi legittimi, è necessario che le organizzazioni adottino un approccio più sofisticato per proteggere le API. Tale da comprendere forti capacità di rilevamento delle API e la capacità di rilevare in modo rapido ed efficiente minacce attive e traffico API dannoso”. Affermazione che, del resto, si fonda su un altro dato emerso dalla rilevazione: appena il 21% del campione ha infatti affermato che l'attuale approccio alla sicurezza API, rappresentato dai firewall delle app Web e dai gateway API, mostrano efficacia nella protezione dagli attacchi. Infine, il 70% ha indicato le API “zombie” alla stregua di una grande o forte preoccupazione, con un aumento del 54% rispetto a quanto emerso un anno prima.

Tweet