Aumentano le applicazioni web e le API (e con esse, i rischi alla sicurezza)

In un contesto aziendale che subisce costanti attacchi, la protezione delle applicazioni web e delle API (interfacce di programmazione delle applicazioni) si complica.

Lo conferma il rapporto “Balancing Requirements for Application Protection” di Fastly in collaborazione con Informa TechTarget’s Enterprise Strategy Group, che raccoglie le impressioni di professionisti dei settori della cybersecurity e della Tecnologia dell’Informazione in Nord America.

Questi intervistati prevedono che le applicazioni e i siti web cresceranno del 39% nei prossimi due anni. Ciò significa superare la media di 145 a 201 applicazioni e pagine per impresa.

Allo stesso tempo, aumenterà l’utilizzo delle API. L’80% degli intervistati si aspetta che la maggior parte delle loro applicazioni utilizzi questa risorsa, il che porterà a cicli di sviluppo agili e generalizzerà l’adozione dell’infrastruttura cloud.

Crescono anche i rischi. Il 57% delle aziende di medie e grandi dimensioni ha subito negli ultimi ventiquattro mesi attacchi a applicazioni web o API che hanno sfruttato vulnerabilità poco note.

“La rapida crescita delle API ha cambiato radicalmente gli ambienti applicativi e ha introdotto importanti sfide di sicurezza e governance”, identifica John Grady, analista principale di TechTarget’s Enterprise Strategy Group, “da errori di configurazione a iniezione di API e attacchi DDoS volumetrici”.

“Tuttavia”, sottolinea, “man mano che le organizzazioni hanno sovrapposto più WAF” o firewall di applicazioni web “e strumenti di gestione dei bot per affrontare questi rischi, la complessità è aumentata”.

“Siamo arrivati a un punto di svolta in cui aggiungere diversi strumenti di sicurezza fornisce rendimenti decrescenti”, avverte.

Secondo il rapporto, almeno 9 organizzazioni su 10, esattamente il 92%, dispongono di qualche WAF. Il 67% arriva a implementare diversi firewall di fornitori diversi.

Di fronte a questa situazione, Grady ritiene che “i team di cybersecurity e IT dovrebbero cercare modi per semplificare le operazioni e migliorare la sicurezza attraverso il consolidamento di soluzioni che offrano sia automatizzazione che protezione specializzata contro un’ampia gamma di minacce”.

Attualmente, il 45% delle organizzazioni che hanno subito attacchi DDoS afferma che facevano parte di una tecnica di distrazione in un attacco più grande al loro business, con interruzioni operative e perdite di dati tra le loro conseguenze.

Un altro dato che emerge dal rapporto è l’opinione condivisa dal 59% dei professionisti IT, che credono che i cybercriminali dominino lo sfruttamento dell’intelligenza artificiale per le loro campagne.

Fernando Medrano, Deputy Chief Information Security Officer di Fastly, spiega che “la rapidità è essenziale nella sicurezza delle applicazioni. Gli attacchi automatizzati richiedono difese automatizzate altrettanto rapide per mantenere il rispetto delle normative sulla privacy e la sicurezza e proteggere le informazioni degli utenti”.

“Man mano che le applicazioni web e le API diventano sempre più critiche, le organizzazioni devono dare priorità all’integrazione della sicurezza nel processo di sviluppo del prodotto fin dall’inizio, invece di considerarla un’idea successiva”, conclude.