Quali sono alcuni modi per rendere le API più sicure?

Domanda: In che modo le organizzazioni possono assicurarsi che le proprie API siano resistenti alle compromissioni, a fronte di crescenti attacchi basati su API?

Rory Blundell, fondatore e CEO di Gravitee: Le aziende di tutte le dimensioni e di tutti i settori si affidano abitualmente alle API interne per unire le proprie app line-of-business e alle API esterne per condividere dati o servizi con fornitori, clienti o partner. Poiché una singola API può avere accesso a più applicazioni o servizi, compromettere l'API è un modo semplice per compromettere un ampio insieme di risorse aziendali con il minimo sforzo.

Le API sono diventate un popolare vettore di attacco e la frequenza degli attacchi API è aumentata in modo sorprendente 681%, secondo recenti ricerca da Salt Labs. Il primo passo per proteggere le tue API è seguire le migliori pratiche, come quelle di OWASP consiglia di proteggersi dai comuni rischi per la sicurezza delle API.

Tuttavia, le pratiche di sicurezza API di base non sono sufficienti per mantenere le risorse IT al sicuro. Le aziende dovrebbero adottare le seguenti misure aggiuntive per proteggere le proprie API.

1. Adottare l'autenticazione basata sul rischio

Le aziende dovrebbero adottare politiche di autenticazione basate sul rischio, che consentano di applicare protezioni di sicurezza in casi di rischio elevato. Ad esempio, un client API con una lunga esperienza nell'emissione di richieste legittime che seguono uno schema prevedibile potrebbe non aver bisogno di sottoporsi allo stesso livello di autenticazione per ogni richiesta di un nuovo client che non si è mai connesso prima. Ma se il modello di accesso del client API di lunga data cambia – se, ad esempio, il client inizia improvvisamente a emettere richieste da un indirizzo IP diverso – richiedere un’autenticazione più rigorosa sarebbe un modo intelligente per garantire che le richieste non provengano da un client compromesso.

2. Aggiungi l'autenticazione biometrica

Sebbene i token rimangano importanti come mezzo di base per autenticare client e richieste, essi può essere rubato. Per questo motivo, abbinare l’autenticazione basata su token con l’autenticazione biometrica è un modo intelligente per migliorare la sicurezza delle API. Invece di dare per scontato che chiunque possieda un token API sia un utente valido, gli sviluppatori dovrebbero progettare applicazioni in modo che anche gli utenti debbano autenticarsi utilizzando impronte digitali, scansioni facciali o un metodo simile, almeno in contesti ad alto rischio.

3. Applicare l'autenticazione esternamente

Più complessi diventano i tuoi schemi di autenticazione API, più difficile sarà applicare i requisiti di sicurezza all'interno della tua stessa applicazione. Per questo motivo, gli sviluppatori dovrebbero sforzarsi di separare le regole di sicurezza delle API dalla logica dell’applicazione e utilizzare invece strumenti esterni, come i gateway API, per applicare i requisiti di sicurezza. Questo approccio rende le policy di sicurezza API più scalabili e flessibili perché possono essere facilmente implementate e aggiornate all'interno dei gateway API, anziché tramite il codice sorgente dell'applicazione. E, cosa più importante, ti consente di applicare regole diverse a utenti o richieste diversi in base a diversi profili di rischio.

4. Bilanciare la sicurezza delle API con l'usabilità

È importante non lasciare che la sicurezza diventi nemica dell'usabilità. Se rendi le misure di autenticazione API troppo invasive o onerose, i tuoi utenti potrebbero abbandonare le tue API, il che è l'opposto di ciò che desideri che accada. Evita ciò assicurando che le regole di sicurezza delle API siano rigide quando esiste un motivo per esserlo, ma senza imporre requisiti non necessari.

Gli attacchi contro le API non mostrano segni di rallentamento. Durante la progettazione e la protezione delle API, gli sviluppatori dovrebbero andare oltre le raccomandazioni OWASP per rendere più difficile lo sfruttamento dell'API.