Intercettare il traffico attraverso le API, identificare i server backend e la logica di business, e poi attingere a possibili scappatoie per attaccare: Gli hacker lavorano sempre più con i bot, e un rapporto di Barracuda suggerisce una professionalizzazione dei criminali informatici.
La maggior parte delle app oggi sono sviluppate "API-first". Portare le interfacce in primo piano di solito porta a "rilasci" più veloci, la pratica dimostra. Un'altra tendenza delle applicazioni è quella delle applicazioni a pagina singola, cioè applicazioni che consistono in un unico documento HTML e il cui contenuto viene ricaricato dinamicamente. Sono sviluppati per i browser mobili e simulano solo le applicazioni mobili senza doverne installare una.
Dove si trova la logica di business?
Tushar Richabadas, Product Marketing Manager, Application Security di Barracuda Networks, evidenzia le differenze: "Con una web app, il browser è un intermediario. Parla con l'applicazione e l'applicazione esegue determinate azioni in base alla richiesta dell'utente e risponde attraverso il browser. Tutta la logica di business è nascosta nell'applicazione e la maggior parte degli attacchi sono noti". Nell'applicazione basata su API, i dati vengono richiesti attraverso l'API e poi sulla base di questo, la logica di business viene eseguita sul dispositivo end-client, ha detto Richabadas.
Se qualcuno intercetta il traffico API, può identificare il server backend, capire la logica ed eseguire vari controlli per identificare le vulnerabilità di sicurezza e attaccare il sistema.
Furto di dati
Le API forniscono quindi accesso diretto a molte informazioni sensibili. "L'API della tua banca può garantire l'accesso a dati privati sensibili, e un'API non adeguatamente protetta permette agli aggressori di recuperare queste informazioni in massa", dice lo specialista della sicurezza. I criminali informatici sono davvero alla ricerca di API aperte. Molto spesso si vedono aziende che espongono le loro API di prova con accesso ai dati di produzione su Internet. Una volta che i criminali informatici li hanno scoperti, possono causare molti danni, avverte il manager.
Trovare le vulnerabilità
Un altro problema sono le API che non sono sufficientemente protette. È relativamente facile testare le API per vedere, ad esempio, se applicano un limite di valutazione, spiega Richabadas, consigliando ai team di sicurezza IT di iniziare guardando le 10 raccomandazioni di OWASP (Open Web Application Security Project) per la sicurezza delle API delle dieci vulnerabilità più comunemente sfruttate per rafforzare le loro difese. In questo contesto, ricorda le massicce fughe di dati, come la vulnerabilità di T-Mobile scoperta nel 2019.
Una difesa a strati con salvaguardie contro gli attacchi bot, API e catena di approvvigionamento è il modo migliore per rispondere a questi attacchi proliferanti, ha detto.
Rapporto di Barracuda
Barracuda ha dato uno sguardo più attento alla sicurezza delle applicazioni nel suo documento "The state of application security in 2021". Secondo il rapporto, in media più di due terzi (72%) degli intervistati sono stati attaccati almeno una volta negli ultimi dodici mesi. Gli attacchi dei bot hanno superato gli attacchi tradizionali tramite le vulnerabilità zero-day e le prime 10 vulnerabilità dell'Open Web Application Security Project con il 44% e sono ora avanzati fino a diventare il vettore di attacco più comune.
Il rapporto rivela che le organizzazioni sono spesso attaccate attraverso le loro applicazioni web. Quasi la metà degli intervistati, il 46 per cento, ha subito una violazione della sicurezza più volte e un altro 26 per cento almeno una volta. Oltre alla frequenza degli attacchi, Richabadas è stato sorpreso dalla scoperta del sondaggio che gli attacchi bot sembrano essere sempre più difficili da difendere nella pratica.