Le applicazioni web e le API sono diventate un elemento essenziale per molte aziende e organizzazioni, consentendo loro di offrire servizi online e interagire con i propri utenti in modi innovativi. Tuttavia, con la crescente dipendenza dalle applicazioni web e dalle API, le minacce alla sicurezza si sono moltiplicate, rendendo la protezione di queste applicazioni una priorità assoluta. In questo articolo, esploreremo l’importanza della protezione delle applicazioni web e delle API e le misure che possono essere adottate per mitigare le minacce.
Web app e API sempre più importanti per le aziende
WAAP sta per Web application and API protection e indica un’insieme di soluzioni che sono diventate sempre più importanti mano a mano che la programmazione è andata evolvendosi. I programmatori creano applicazioni web e interfacce sempre più efficienti e sempre più necessarie per l’operatività delle aziende. Queste web app e le API necessarie per farle funzionare ed integrare con altri servizi, hanno accesso a quantità sempre crescenti di dati sensibili ed è ovvia conseguenza il fatto che web app e API finiscano sempre più spesso nel mirino dei cyber attaccanti.
Un’applicazione web “gira” infatti su web server che sono esposti in Internet, così da consentire agli utenti di interagire con l’interfaccia software tramite i propri browser web. Le API invece ricomprendono tutti quei servizi o protocolli di back-end che supportano il front-end (archiviazione dei dati, integrazione con servizi esterni ecc…). Di fatto le applicazioni web e i micro-servizi che tutte le aziende ormai utilizzano sono sempre più dipendenti dalle API per la quasi totalità delle interazioni. Il problema è che le soluzioni di sicurezza classiche non forniscono più una protezione sufficiente. Rendendo così necessaria l’adozione di nuove soluzioni di sicurezza al passo coi tempi.
Perchè le tradizionali soluzioni WAF (web application firewall) non bastano più?
E’ una legge inviolabile quella per cui quando uno sviluppatore crea una nuova funzionalità, servizio o caratteristica, la superficie di attacco va a crescere. Nel frattempo le tecniche di attacco ovviamente sono andate evolvendosi di pari passo con l’evolversi delle moderne web app. Le soluzioni WAAP nascono proprio dalla consapevolezza dell’evoluzione sia del cyber crimine. I team di sicurezza hanno avuto la necessità di mitigare attacchi DDoS e contro le API senza però dover ricorrere all’ottimizzazione manuale. Una pratica che richiede tempo e risorse eccessivi da parte di personale molto qualificato.
Ecco quindi che le tradizionali soluzioni WAF (web application firewall) non sono più state adatte allo scopo e non scalabili. Fosse anche solo perché messa a punto, ottimizzazione e mantenimento manuali non sono più sostenibili in un ambiente sottoposto a continui cambiamenti. In un mondo in cui ormai tutto corre (molto) veloce, le soluzioni e i protocolli WAF sono ad alto rischio di divenire obsoleti in pochissimo tempo. Può quindi capitare che i team di sicurezza che non riescono a fare fronte a questo lavoro manuale di messa a punto e aggiornamento delle regole di sicurezza, si trovino nella condizione di dover sospendere i sistemi di protezione per non interrompere le attività aziendali e non impattare negativamente sull’attività degli utenti.
Per uno sguardo più ampio > SOC – Security Operation Center: che cosa, perché, come
WAAP: arginare le minacce contro web app e API
Le soluzioni WAAP, va detto, integrano anche WAF. Il punto è che non si limitano più solo a quello. I servizi WAF ora sono affiancati a più soluzioni, come quelle di API Security, Bad Bot Mitigation, Dos Protection, CDN, Virtual Patching ecc…
Ecco il primo grande vantaggio delle soluzioni WAAP: attingono dati da più fonti, consentono una gestione unificata della sicurezza e forniscono report aggregati. Non solo: l’insieme combinato di soluzioni e funzionalità, protocolli e policy offerti dai servizi WAAP consentono la protezione da una vasta gamma di minacce come
- Cross-Site Scripting (XSS): avviene quando gli attaccanti iniettano ed eseguono porzioni di codice dannoso in web app legittime / innocue;
- Cross-site Request Forgery (XSRF): accade quando una fonte esterna esegue comandi e determinate attività tramite utenti autenticati senza il loro consenso;
- SQL Injection, OS Command Injection: sono, questi, vettori di attacco piuttosto comuni, che utilizzano codice SQL dannoso per manipolare i atabase del backend, così da avere accesso a informazioni che non dovrebbero essere disponibili;
- Bad Bots: qui si parla di software che eseguono in internet task automatiche a scopi dannosi, come frodi o furti;
- Attacchi DoS: detti anche Denial of Servic, sono attacchi con i quali si tenta il blocco o il down di web app o API indondandoli di una enorme quantità di taffico fasullo
e non solo: altri rischi sono l’esecuzione di codice dannoso da remoto, l’esecuzione di comandi da remoto, l’Hijacking delle sessioni ecc… Per maggiori info, consigliamo la lettura dell’ Open Web Application Security Project (OWASP): elenca le top10 minacce che colpiscono web app e API.
Lo sapevi che esiste una suite di cyber security made in Italy, che integra 4 diversi moduli di sicurezza come WAAP, SOC, CTI e Log Managent?