I 4 step per portare la sicurezza API a un livello superiore

Le API (Application Programming Interface) rappresentano una parte fondamentale dello sviluppo del software moderno. Consentono infatti alle applicazioni e ai servizi di comunicare tra loro, fornendo un sistema per far interagire tra loro diverse parti del software. Attraverso le API, un singolo servizio di backend è in grado di servire un gran numero di client, inclusi siti Web, applicazioni mobili e persino altri server. Secondo un recente studio di Cloudflare, il tema delle API è diventato talmente rilevante da alimentare una parte significativa di tutto il traffico Web.

Tuttavia, come ogni componente software, le API sono vulnerabili alle minacce per la sicurezza. Secondo il report “The 2022 API Security Trends Report”, realizzato da 451 Research su commissione di Noname Security, il 41% delle organizzazioni ha avuto un incidente di sicurezza legato alle API nel 2022. Di questi incidenti, il 63% ha comportato una violazione o una perdita di dati. Gli hacker possono sfruttare le vulnerabilità delle API per accedere a dati sensibili, interrompere servizi o addirittura assumere il controllo di un intero sistema. Pertanto, è indispensabile predisporre efficaci misure di sicurezza delle API per proteggerle da tali minacce.

La maggior parte delle organizzazioni ha l’esigenza di predisporre una strategia di sicurezza delle applicazioni ma, in realtà, si tratta di un compito più facile a dirsi che a farsi. È sempre più difficile reperire sul mercato persone competenti in tema di sicurezza e, pertanto, le aziende devono spesso provvedere in modo autonomo a formare le risorse sul posto di lavoro. Rendere la sicurezza dei vostri prodotti più visibile agli sviluppatori significa aiutarli, indipendentemente da quale sia il loro livello di competenza. Ogni volta che una vulnerabilità viene individuata, è importante focalizzarsi su come trasformare questo evento in un’opportunità di apprendimento anziché sulla ricerca di responsabilità. Perché, per esempio, non pensare di visualizzare i risultati delle ultime scansioni di sicurezza su uno schermo collocato nell’area break?

Di seguito vengono descritti 4 step per portare la sicurezza delle vostre API a un livello superiore.

1 – Fare un inventario

Partiamo dall’inizio: fare un inventario. Questo aspetto è più importante nel caso delle API rispetto ad altre risorse, perché le API sono spesso nascoste. Come sempre, non si può proteggere ciò che non si sa di avere. E non è sempre scontato che un’API venga utilizzata per fornire funzionalità a un utente finale! Può persino capitare che rimangano endpoint lasciati dal processo di sviluppo, che qualcuno si è dimenticato di rimuovere. L’inventario dovrebbe, pertanto, rappresentare una parte fondamentale di qualsiasi processo di business e l’utilizzo di strumenti per l’individuazione automatica delle API può essere di grande aiuto.

2 – Acquisire familiarità con OWASP Foundation e ASVS

Un’importante risorsa per la sicurezza delle applicazioni è la OWASP Foundation che, tra le altre cose, mantiene costantemente aggiornato OWASP Top 10, un documento standard di “awareness” sulla sicurezza delle applicazioni Web. Questo documento rappresenta una lettura essenziale per tutti gli sviluppatori Web, ma ne esiste anche una versione omologa, meno conosciuta, che riguarda la sicurezza delle API. Questi elenchi delle vulnerabilità più diffuse sono importanti da comprendere perché includono gli errori più comuni che si ripetono continuamente nel settore, indipendentemente dal framework e dal linguaggio utilizzati. Fondamentalmente, questi elenchi evidenziano come la sicurezza sia piuttosto noiosa, a prescindere da ciò che dicono i titoli dei giornali. Prevenire, rilevare e bloccare gli attacchi, infatti, ha più a che fare con una corretta igiene della sicurezza (le cose noiose) che con l’ultima vulnerabilità citata dai titoli dei giornali. Gli elenchi Top 10 sono utili strumenti di apprendimento, ma non sono sfruttabili dai team di sviluppo. A tal fine, bisogna indirizzarsi verso un altro progetto OWASP: l’Application Security Verification Standard (ASVS). Questo progetto fornisce agli sviluppatori diversi criteri “pass/fail” rispetto ai quali poter confrontare le proprie API.

L’ASVS può anche adattarsi a diverse esigenze, a seconda del livello di sicurezza desiderato dell’applicazione:

  • Livello 1, associato a un basso livello di sicurezza per fornire protezione dagli attacchi di base;
  • Livello 2, quello più comune, che richiede la predisposizione di controlli di sicurezza efficaci;
  • Livello 3, riservato alle applicazioni più critiche e che richiede test più approfonditi rispetto ai livelli inferiori.

3 – Integrare il “penetration testing”

L’ASVS ci porta direttamente al prossimo elemento essenziale della sicurezza delle API: i penetration test. L’intervento di un esperto consente di svolgere un’analisi approfondita e di scoprire problemi difficili da individuare in altri modi. L’ASVS incoraggia fortemente l’uso di strumenti automatizzati, ma anche questo non basta. I diversi livelli impongono requisiti differenti per le fasi di test. In teoria, un’applicazione ASVS di Livello 1 può essere testata in modo “black box”, mentre gli altri livelli richiedono maggiori informazioni, quali documentazione, codice sorgente, configurazione e così via. In ogni caso, è sempre raccomandabile eseguire i test con il maggior numero di risorse possibile. Inoltre, il valore di un penetration test dipende dal modo in cui viene gestito. Bisogna chiedersi, per esempio, se ai tester viene assegnato l’ambito corretto, se hanno a disposizione un tempo sufficiente per completare i test e se dispongono di tutta la documentazione necessaria.

4 – Utilizzare strumenti di scansione della sicurezza statica e dinamica (SAST e DAST)

La raccomandazione finale è quella di utilizzare strumenti per la scansione della sicurezza. Un’API è definita attraverso uno Schema, ovvero un file di testo leggibile dalla macchina che descrive tutti gli endpoint, quali metodi supportano, quali dati si aspettano e come questi vengono restituiti. Questo Schema può essere definito prima dello sviluppo dell’applicazione oppure generato a posteriori. In ogni caso, se studiate lo Schema, potreste imparare cose che non sapevate sulla vostra applicazione. Forse ci sono alcuni endpoint che vi sono sfuggiti nella fase di inventario oppure noterete che un codice di stato è impostato sul valore sbagliato. Queste sono solo alcune delle scoperte relative alla sicurezza che si possono fare. Studiare lo Schema manualmente può essere noioso ed è, pertanto, utile sapere che esistono strumenti che possono aiutare gli sviluppatori a lavorare in modo più efficiente.

Dopo lo studio dello Schema è il momento di eseguire la scansione della sicurezza ed è consigliabile iniziare con un test statico di sicurezza delle applicazioni (SAST). Si tratta di un test dall’interno all’esterno (inside-out) che analizza il codice sorgente e che aiuta a garantire che i metodi siano chiamati nel modo giusto, che il framework sia configurato correttamente e che sia possibile controllare i flussi di dati interni. Il SAST può e deve essere eseguito fin dall’inizio: è consigliabile iniziare quando si scrive la prima riga di codice. Testando in anticipo, si individuano i bug quando sono facili da correggere e non si è ancora consolidata completamente l’architettura. Il SAST è particolarmente indicato per individuare gli attacchi di tipo “injection”.

Non appena l’applicazione è in grado di operare autonomamente è necessario aggiungere un test di sicurezza dinamico (DAST). Questo è un test che opera dall’esterno verso l’interno (outside-in) inviando all’API richieste create appositamente e verificando la risposta, simulando così diversi tipi di attacco. Il DAST è un test olistico che interviene su tutto l’ecosistema, che permette di individuare i bug di autenticazione presenti sia nella OWASP Top 10 sia nella API Top 10. Va tenuto presente che uno scanner DAST necessita dello Schema API di cui abbiamo parlato in precedenza, per cui è bene accertarsi di averlo pronto per poter avviare la scansione.

Non bisogna, infine, dimenticare di sfruttare tutti gli strumenti esistenti. Per esempio, se le vostre API sono fornite da un cloud provider è utile utilizzare le funzioni di sicurezza già disponibili: la limitazione al numero di tentativi autenticazione falliti, i firewall per applicazioni Web, la registrazione degli audit, l’autenticazione forte e altre ancora.

I penetration test offrono il miglior livello di protezione ma sono costosi e richiedono molto tempo. Pertanto, è importante che i tester si concentrino sulla parte più importante dell’applicazione. Le scansioni di sicurezza automatizzate permettono di individuare e risolvere la maggior parte dei problemi prima ancora che il penetration test abbia inizio.

Gli scanner di alta qualità permettono anche di integrare SAST e DAST all’interno dell’ambiente IDE, consentendo di ottenere un feedback immediato mentre viene scritto il codice, migliorandone la sicurezza.

Ricordate: nessuno strumento può sostituire completamente un penetration test, ma potrebbe consentirvi di eseguire test completi meno spesso e di risparmiare denaro.

In sintesi

Garantire la sicurezza delle API può essere un processo lungo, ma il modo migliore per iniziare è quello di compiere il primo passo.

Abbiamo esaminato molti punti di partenza da prendere in considerazione. Sapete quali API avete e chi le possiede? State seguendo una metodologia come l’ASVS e state eseguendo correttamente i test di penetrazione?

Strumenti sofisticati di scansione della sicurezza come quelli presenti nel portafoglio Fortify di OpenText vi aiuteranno a eseguire test automatizzati e a integrarvi facilmente in un flusso di lavoro DevSecOps, consentendovi di effettuare rilasci rapidi e frequenti in assoluta sicurezza.

Se volete saperne di più scaricate gratuitamente la Guida alla sicurezza delle API per gli sviluppatori

A cura di Stefano Di Capua, Presales Manager, OpenText Cybersecurity

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/notizie/i-4-step-per-portare-la-sicurezza-api-a-un-livello-superiore/




Le SecOps di nuova generazione sono, prima di tutto, intelligenti

I team addetti alle Security Operations devono affrontare sfide sempre più difficili: dall’eccesso di avvisi, alla carenza di strumenti di automazione, alla scarsità di risorse e finanziamenti. Per riuscire a difendere efficacemente le loro organizzazioni i responsabili dei SOC sono chiamati a rivedere i modelli secondo un approccio di nuova generazione guidato dall’automazione e dal Machine Learning. Le soluzioni ArcSight di CyberRes permettono di conseguire tali obiettivi e di realizzare un SOC più efficiente, automatizzato e allineato agli obiettivi di business.

La scarsità di risorse specializzate unitamente a uno scenario di rischio in costante aumento in termini di numero di attacchi e di sofisticazione degli stessi crea importanti sfide di efficienza per le aziende, che sono chiamate a rivedere le modalità con cui effettuano le loro operazioni, alla ricerca non solo della massima sicurezza, ma anche di un livello di efficienza operativa sempre più elevato.

Il team dedicato alla gestione delle Security Operation (SecOps) ha il compito di difendere la propria organizzazione da un’ampia varietà di attacchi, molti dei quali sono incredibilmente difficili da individuare.

Le sfide che questi team sicurezza devono affrontare sono molteplici e in aumento. Il primo ostacolo è riuscire a monitorare la sicurezza su una superficie di attacco in costante crescita. L’implementazione di strumenti di analisi della sicurezza non risolve il problema perché ogni dispositivo e ogni sistema trasmette enormi quantità di dati nell’ambiente aziendale, determinando un eccesso di avvisi che non riesce a essere gestito.

A ciò si aggiungono: ambienti suddivisi in silos che causano inefficienze operative; carenza di personale tecnico qualificato; scarsa adozione di metodi di orchestrazione all’interno del Security Operations Center(SOC); una carente visibilità dello scenario di sicurezza complessivo; scarsità di strumenti di automazione che portano ancora a dover affrontare innumerevoli operazioni di sicurezza in modo manuale.

In uno scenario in cui i falsi positivi e la stanchezza da allerta abbondano, i professionisti della sicurezza faticano a ottenere gli approfondimenti contestuali di cui hanno bisogno per comprendere appieno le minacce e prendere decisioni informate. Il risultato è una condizione di stanchezza e logoramento in cui i team di sicurezza devono affrontare troppi dati, troppi avvisi senza disporre mai di abbastanza tempo o risorse per rispondere adeguatamente.

Mettere l’intelligenza nel SOC

All’interno dei miliardi di dati analizzati nel SOC si nasconde un piccolo numero di indizi in cui un malintenzionato sta cercando di rubare informazioni preziose. Gli approcci tradizionali basati sulla sicurezza non sempre riescono a cogliere comportamenti altamente dinamici e sottili che passano sotto il radar delle regole tradizionali. Per riuscire ad affrontare queste sfide una priorità assoluta è costruire processi ripetibili, automatizzati e dinamici supportati da requisiti di intelligenza.

L’importante ruolo dell’intelligenza artificiale e dell’automazione nel colmare il gap della sicurezza informatica è evidenziato anche nella ricerca “The 2022 Study on Closing the IT Security Gap: Global” realizzata dal Ponemom Institute. I tre principali vantaggi dell’uso di AI e ML sono indagini più efficienti (42% degli intervistati), team di sicurezza più efficaci (38% degli intervistati) e una migliore integrazione con le fonti di intelligence sulle minacce (35% degli intervistati). Inoltre, oltre la metà 52% degli intervistati afferma che Machine Learning e analisi comportamentale sono essenziali per rilevare gli attacchi all’interno prima che facciano danni.

Tutto ciò porta alla constatazione che ciò che serve oggi è un “SOC intelligente” guidato da tecnologie di intelligenza artificiale e Machine Learning non supervisionato, che permetta di prevenire, fronteggiare e ripristinare la normalità nel minor tempo possibile, aumentando in modo significativo l’efficienza e l’efficacia operativa grazie all’accelerazione del rilevamento e della risposta alle minacce reali. Questo SOC di nuova generazione deve poter fornire una consapevolezza olistica della situazione e semplificare i processi end-to-end, mettendo a disposizione anche funzionalità SOAR native completamente integrate.

Inoltre, questo modello di SOC deve guardare più al business che alla tecnologia, nel senso che anche la ricerca sulle minacce dovrebbe essere incentrata sugli attributi rilevanti per l’azienda, come l’esposizione alle perdite annualizzate, il settore, l’impatto, l’attività e le conseguenze della mancata individuazione di una violazione.

“Le tecnologie di AI e Machine Learning possono aumentare drasticamente l’efficienza e migliorare la velocità di rilevamento e risposta alle minacce – spiega Pierpaolo Alì, Director Southern Europe, Russia, CIS, CEE & Israel di CyberRes – perché abilitano un’efficace ricerca delle minacce e permettono di comprendere quali sono le sorgenti da monitorare e il tipo di dati che servono per ottenere un’analisi efficace. A tal fine, le soluzioni ArcSight di CyberRes fanno affidamento sul framework Mitre Att&ck, che mette a disposizione metodologie consolidate e tecniche di difesa estrapolate da casi reali.”

ArcSight per un SOC intelligente allineato alle esigenze di business

Per allineare la sicurezza al business CyberRes mette a disposizione un framework integrato abbinato a una serie di funzionalità per progettare, implementare e far funzionare un SOC su scala globale capace di supportare il business, abilitare la trasformazione digitale e guidare un allineamento strategico tra business, Operation e cyber security

Il portafoglio di soluzioni aperte e integrate CyberRes ArcSight contribuisce a ridurre in modo proattivo l’esposizione e ad aumentare l’efficienza operativa attraverso:

  • una piattaforma SecOps integrata a 360 gradi che semplifica e migliora la contestualizzazione e l’analisi dei dati potendo disporre di un data store comune, di un motore dedicato per l’analisi di big data e di un’interfaccia utente intuitiva per le analisi di sicurezza;
  • un approccio di analytics stratificato che combina molteplici strumenti gestiti attraverso un’unica interfaccia utente, un motore di correlazione di prima classe, analisi comportamentale con il supporto di tecnologie di Machine Learning non supervisionato, threath intelligence, event hunting, SOAR e una stretta integrazione con il framework Mitre&Attacck per rilevare e rispondere rapidamente alle minacce;
  • strumenti di automazione per le attività ripetitive che sfruttano tecnologie di AI e ML per analizzare situazioni sospette.

Una componente tecnologica importante di questo approccio è ArcSight Intelligence, la soluzione di ML non supervisionato che abilita analisi comportamentale degli utenti e delle entità, avvalendosi di centinaia di modelli che analizzano quantità massicce di dati apprendendo continuamente modelli comportamentali normali per ogni utente, ogni macchina, ogni stampante, ogni indirizzo IP, ogni entità all’interno dell’ambiente aziendale.

Grazie ad ArcSight Intelligence, il team del SOC può analizzare più dati, rilevare più minacce, rispondere più rapidamente e liberare tempo prezioso che altrimenti verrebbe impiegato per svolgere attività manuali o per inseguire falsi positivi.

Maggiori Informazioni: https://cloudsecurity.cyberres.com/intelligent-secops/

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/notizie/le-secops-di-nuova-generazione-sono-prima-di-tutto-intelligenti/




CyberRes Voltage: dati critici protetti sempre e ovunque

Strutturati o destrutturati, archiviati, in movimento o in uso: qualunque sia la tipologia o la condizione d’uso dei dati le soluzioni Voltage di CyberRes, business unit di Micro Focus dedicata alla cyber resilienza, permettono di esercitare una protezione completa che si estende attraverso l’intero ciclo di vita

L’aumento esponenziale nella diffusione incontrollata di file sensibili rappresenta uno dei più grossi problemi che i professionisti della sicurezza si trovano a dover affrontare. Nel corso degli ultimi anni i dati critici aziendali non solo sono aumentati enormemente in volume, ma hanno drasticamente cambiato natura uscendo dalle celle dei database relazionali per diffondersi all’interno di mail, report, presentazioni, immagini, registrazioni audio e video.

Le aziende devono, di conseguenza, confrontarsi con la nuova esigenza di analizzare e proteggere i dati destrutturati con il medesimo livello di attenzione dedicato finora alle informazioni strutturate.

Anche per i dati strutturati, però, la situazione è mutata. Le informazioni sensibili non sono più saldamente archiviate all’interno del perimetro aziendale, ma disperse nel cloud e, spesso, inserite nei sistemi di clienti e fornitori con poche o nessuna possibilità di controllo.

Protezione dei dati critici sempre, durante il ciclo di vita

Il punto di partenza per ogni corretta strategia di resilienza e gestione del rischio è il processo di Data Discovery, che consente di comprendere e contestualizzare i propri dati, fornendo una maggiore visibilità sulla loro natura (strutturata e destrutturata), identificando le informazioni sensibili, mappando la loro collocazione ed eliminando i duplicati inutili.

Una volta assolto questo compito, è essenziale che i dati importanti per le aziende, qualunque sia la loro tipologia, siano protetti sempre, ovunque e in qualsiasi condizione (a riposo, in movimento e persino in uso), dal momento della loro creazione fino al termine del loro ciclo di vita.

Impresa impossibile?

No secondo quanto sostiene Pierpaolo Alì, Director Southern Europe, Russia, CIS, CEE & Israel di CyberRes, la business unit di Micro Focus dedicata alle soluzioni software per abilitare la cyber resilienza.

“Per rispondere a questa esigenza CyberRes ha sviluppato la famiglia Voltage, una suite completa di soluzioni software per la privacy e la protezione dei dati che permette di cifrare, mascherare e anonimizzare i dati sensibili per fornire una piena sicurezza in ambienti IT ibridi e multi-cloud. Le soluzioni software CyberRes Voltage intervengono nel momento della creazione di dati e file effettuandone in modo trasparente la cifratura e incorporando controlli di accesso e utilizzo che li proteggono per sempre”.

CyberRes, tramite la propria tecnologia brevettata Hyper Format-Preserving Encryption (Hyper FPE), consente di cifrare i dati persino durante l’uso preservandone il formato originale ovvero la loro integrità referenziale in modo da consentirne l’analisi senza renderli visibili in chiaro neppure all’operatore che li sta trattando.

Protezione e controllo dei file destrutturati

Per la protezione dei dati destrutturati CyberRes ha sviluppato una soluzione specifica denominata Voltage SmartCipher che permette di effettuare una cifratura trasparente persistente dei file al momento della loro creazione e di associargli anche una serie di regole e permessi che definiscono chi ci può accedere a quello specifico file e quali operazioni può eseguire.

Attraverso un sistema centralizzato le aziende possono gestire da remoto l’accesso ai loro file critici, monitorare il loro utilizzo, modificare le policy e prevenire l’accesso non autorizzato.

Questo permette di esercitare un livello di protezione che si estende durante l’intero ciclo di vita, indipendentemente dalla tipologia di file, dalla sua collocazione, dal suo trasferimento (a una persona, un’applicazione o un dispositivo) e attraverso qualsiasi tipo di piattaforma.

“La protezione dei dati aziendali critici è uno degli aspetti centrali per garantire la compliance e abilitare la resilienza aziendale – conclude Alì -. Tramite le soluzioni Voltage di CyberRes questo obiettivo è facilmente ottenibile sia per i dati strutturati sia per quelli non strutturati, anche quando si dovessero perdere le tracce sulla loro collocazione o in caso di furto e diffusione non autorizzata”.

Scopri perché la Data Discovery è un requisito essenziale per migliorare la resilienza aziendale e gestire efficacemente i dati critici, partecipa al webinar gratuito “Data Discovery: il primo passo verso la protezione dei dati sensibili” che si terrà Martedì 19 Luglio 2022 ore 10.00

Registrati QUI al Webinar

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/notizie/cyberres-voltage-dati-critici-protetti-sempre-e-ovunque/




Data Discovery: il primo passo verso la protezione dei dati sensibili – Webinar gratuito

Martedì 19 Luglio 2022 – ore 10:00
Registrati QUI al Webinar

Sapevate che nel 2021 quasi 50 milioni di persone negli Stati Uniti hanno subito una violazione dei loro dati sanitari sensibili, è un numero che è triplicato negli ultimi tre anni*.

I dati americani confermano una tendenza anche italiana, con il numero di violazioni in aumento anche nel nostro paese. L’Italia è seconda in Europa per numero di violazioni con 83 interventi dell’Autorità Garante (in testa c’è la Spagna con più di 250 sanzioni, segue la Romania con 57) ed è al terzo posto per multe complessive con quasi 80 milioni di euro**

In questo caso un approccio alla protezione dato-centrico è fondamentale per le istituzioni sanitarie e governative che hanno a che fare con dati sensibili come PII, PCI e PHI.

Quanto siete certi che non accadrebbe con i dati dei vostri cittadini e clienti? E come potreste evitare che accada?

Da dove parte un progetto sulla privacy e la sicurezza dei dati?

Molti Ciso hanno già espresso le loro difficoltà: la sfida è trovare i dati, capirne il percorso e tenerne traccia in un ambiente dinamico. Semplicemente non si può proteggere ciò che non si conosce. L’operatività della privacy dei dati inizia con il monitoraggio dell’inventario degli elementi sensibili dei dati.

In questo webinar presenteremo quali sono gli strumenti che possono essere utili per la scoperta e la classificazione dei dati strutturati e non strutturati, quali sono le best practice e le esperienze delle aziende che hanno già implementato un programma di gestione del ciclo di vita dei dati personali.

  • Dati personali e sensibili, quali sono le sfide di oggi
  • Scoprire i dati strutturati e non strutturati: introduzione di File Analysis Suite (FAS) e Structured Data Manager (SDM)
  • Come affrontare la protezione dei dati: vantaggi e punti di forza
  • DEMO

Scopri perché la Data Discovery è un requisito essenziale per migliorare la resilienza aziendale e gestire efficacemente i dati critici

“Data Discovery: il primo passo verso la protezione dei dati sensibili”

Martedì 19 Luglio 2022 – ore 10:00

Registrati QUI al Webinar

Fonte: * Politico ** Report DLA Piper 2022

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/notizie/data-discovery-il-primo-passo-verso-la-protezione-dei-dati-sensibili/