Le aziende continuano a implementare Application Programming Interface (Api) senza disporre di adeguati sistemi di cybersecurity e senza ricorrere a test ad hoc, rendendole così vulnerabili agli attacchi una volta rilasciate.
A rivelarlo è la quarta edizione dello studio “Akamai Api Security Impact Survey”, che come suggerisce il nome esamina lo stato della protezione delle Api sulla base di un’indagine globale condotta su 1.840 professionisti della sicurezza in sei settori e dieci Paesi.
Indice degli argomenti
Aumentano gli attacchi alle Api
Lo studio di Akamai mostra come gli attacchi alle Api siano in continuo aumento. L’87% degli intervistati ha segnalato di aver subito un incidente relativo alla sicurezza delle Api nell’ultimo anno, in aumento rispetto al 76% del 2022. In media, negli ultimi 12 mesi, le aziende hanno riferito di aver subito 3,5 incidenti di sicurezza correlati alle Api, con un costo medio superiore a 700mila dollari per incidente.
I team di sicurezza considerano la protezione delle tecnologie di intelligenza artificiale la loro principale priorità in materia di cybersecurity (38%) per il prossimo anno. Inoltre, il 42% degli addetti alla sicurezza afferma che le Api su cui si basano le applicazioni di intelligenza artificiale, gli agenti e i Large Language Models (Llm) hanno subito vari attacchi informatici negli ultimi 12 mesi. Questi risultati rafforzano la recente ricerca di Akamai che ha identificato le Api come una delle principali superfici di attacco per i criminali informatici.
L’AI amplifica il problema della visibilità sulle Api
I risultati del report dimostrano che un numero sempre maggiore di aziende non dispone di visibilità sulle Api e questo problema viene amplificato dall’intelligenza artificiale: solo il 27% delle aziende con inventari delle Api completi conosce quali Api espongono i loro dati sensibili, con una percentuale in calo rispetto al 40% del 2022.
Dall’indagine a emerge anche che quasi tutti gli intervistati del settore dei servizi finanziari (96%) hanno riferito di aver subito un attacco legato alle Api negli ultimi 12 mesi. Ma i settori che hanno sostenuto i maggiori costi legati agli incidenti sono stati quelli dell’energia e dei servizi pubblici (860mila dollari), quello manifatturiero (732mila dollari) e l’ambito scientifico-sanitario (725mila dollari).
Lo studio evidenzia inoltre che quasi l’80% delle aziende classifica la sicurezza delle Api fra le tre principali priorità della cybersecurity, e il 40% dei leader C-Suite dichiara un livello avanzato di maturità nei test delle Api, rispetto al 28% dei team DevSecOps. Questo risultato fa capire che la fiducia dei vertici aziendali supera quella dei team responsabili dell’implementazione sul campo.
Il problema è che poco più della metà delle aziende (53%) dispone di personale dedicato alla sicurezza delle Api.
Servono strategie di sicurezza a prova di intelligenza artificiale
Oltre alle informazioni ricavate dalla ricerca, lo studio fornisce anche suggerimenti utili per i team addetti alla sicurezza che desiderano rafforzare le loro strategie di sicurezza delle Api: colmare le lacune di visibilità individuando e catalogando tutte le Api collegate ai modelli Llm e alle applicazioni basate sull’AI; integrare test e controlli di sicurezza durante tutto il ciclo di vita delle Api; trattare la sicurezza delle Api come un prerequisito fondamentale per un’AI affidabile.
“La rapida espansione della superficie di attacco delle Api comporta che le aziende debbano affrontare rischi significativi, ripercussioni finanziarie e una visibilità compromessa”, commenta Sean Lyons, senior vice president e general manager Application and Infrastructure Security di Akamai. “Il numero di Api sta aumentando rapidamente e la maggior parte delle organizzazioni non riesce a tenerne traccia. Se si sta adottando l’intelligenza artificiale, la sicurezza delle Api non può passare in secondo piano: le fondamenta sono necessarie per costruire sistemi basati sull’intelligenza artificiale realmente affidabili”.
