In un ambiente incentrato sulle app, la maggior parte delle aziende utilizza piattaforme API, sviluppate internamente o acquistate da un operatore. In entrambi i casi, però, le funzioni di sicurezza di queste piattaforme sono largamente carenti, sia di base che avanzate. Questa, almeno, è la conclusione di un recente studio di Ovum, consultabile all'indirizzo Infosecurity
"L'uso delle API per consentire alle applicazioni di interagire attraverso infrastrutture singole e multiple sta aumentando vertiginosamente e l'innovazione è alimentata dalle aziende che trovano nuovi modi per monetizzare i propri asset software esponendo le API a sviluppatori esterni", ha dichiarato Rik Turner, analista senior di Ovum. "Tuttavia, l'esposizione delle API a sviluppatori esterni all'azienda crea rischi significativi e le API stanno diventando un obiettivo crescente per i criminali informatici. Questo studio evidenzia un'allarmante mancanza di coerenza e di proprietà nel modo in cui viene affrontata la sicurezza delle API".
La maggior parte (83%) degli intervistati ha dichiarato di essere preoccupata per la sicurezza delle API, perché le piattaforme di gestione delle API mancano di funzioni critiche e di automazione. Ad esempio, la limitazione della velocità, considerata una pratica di sicurezza API di base, era utilizzata da meno della metà degli intervistati. Solo il 21,9% degli intervistati disponeva di una protezione contro l'uso dannoso delle API, gli errori degli sviluppatori di API, lo scraping automatizzato delle API e il dirottamento delle API su web e mobile.
Inoltre, più di due terzi degli intervistati spendevano oltre 20 ore al mese per gestire la limitazione delle tariffe API, dimostrando una profonda mancanza di automazione.
Inoltre, un terzo (30)% delle API viene definito senza alcun input da parte del team di sicurezza IT e 27% delle API procedono attraverso la fase di sviluppo senza che il team di sicurezza IT intervenga. Circa un quinto (21%) delle API viene reso operativo senza alcun contributo da parte dei professionisti della sicurezza.
"Le API hanno un impatto sul business e sul mondo che ci circonda più di quanto la maggior parte delle persone si renda conto. Il fatto che la sicurezza delle API passi inosservata e non venga affrontata in modo adeguato dovrebbe essere un segnale di allarme che spinga le organizzazioni a esaminare le proprie pratiche", ha dichiarato Rami Essaid, cofondatore e CEO di Distil Networks, che ha sponsorizzato l'indagine. "I CIO e i CISO devono capire come viene affrontata la responsabilità all'interno delle loro organizzazioni e decidere se il processo è sufficientemente solido".