Le API sono oggi al centro di numerosi attacchi informatici. Come può Microsoft Defender for APIs aiutare a proteggerle?
La sicurezza delle API (Application Programming Interfaces) è diventata un fattore critico per la protezione delle applicazioni web. L’Open Web Application Security Project (OWASP), attraverso i propri studi e analisi, fornisce una guida sulle principali minacce alla sicurezza delle API, denominata “API Security Top 10”. Microsoft Defender for APIs, parte integrante del più ampio Microsoft Defender for Cloud, promette di offrire una soluzione efficace contro questi rischi, coprendo in modo specifico le vulnerabilità individuate da OWASP.
Microsoft Defender for APIs è stato progettato per offrire una protezione completa durante l’intero ciclo di vita delle API: dalla prima fase di progettazione e sviluppo, fino alla pubblicazione e l’uso in ambito produttivo, includendo rilevamento e risposta a eventuali minacce in tempo reale. Questo strumento consente di acquisire una visibilità essenziale sulle API critiche per l’attività commerciale, indagare e migliorare la propria postura di sicurezza, nonché prioritizzare la risoluzione delle vulnerabilità e rilevare tempestivamente minacce attive.
Le strategie di sicurezza offerte da Defender for APIs si basano su un benchmark di sicurezza Microsoft costruito sulle direttive comuni dei framework di conformità, quali quelli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST), con un focus specifico sulla sicurezza incentrata sul cloud. Questo approccio garantisce una copertura adeguata e su misura per il contesto operativo delle API.
Un punto di forza del servizio è l’analisi del percorso d’attacco, attraverso il quale Defender for Cloud valuta i rischi associati alle problematiche di sicurezza, identificando poi quelle che potrebbero rientrare in percorsi d’attacco potenzialmente sfruttabili dagli aggressori. L’integrazione con strumenti di terze parti estende ulteriormente le capacità di sicurezza fornite da Defender for APIs, incorporando test di sicurezza API proattivi fin dalle fasi iniziali del ciclo di sviluppo del software.
Per quanto riguarda la mappatura delle coperture di sicurezza di Defender for APIs rispetto ai rischi elencati dall’OWASP API Security Top 10, vi è una varietà di consigli di sicurezza e alert di sicurezza per ciascuno di essi: dalla gestione degli errori di autorizzazione a livello di oggetto (API1:2023) e dell’autenticazione (API2:2023), fino alla configurazione di sicurezza (API8:2023) e la gestione di inventario impropria (API9:2023). Alcune categorie, come l’uso improprio di livelli di funzione (API5:2023) e la Request Forgery lato server (API7:2023), al momento non presentano una copertura diretta.
Il passo successivo per gli utenti è apprendere come Defender for APIs possa integrarsi con altre soluzioni come Azure Web Application Firewall e Azure API Management per offrire una sicurezza ancora più robusta. Comprendere e mitigare i rischi indicati dall’OWASP può guidare verso una protezione più completa delle preziose risorse digitale che le API rappresentano.