Il tema della sicurezza nell’implementazione e nell’utilizzo delle API è di estrema attualità, perché le aziende impegnate nei progetti di digital transformation, o che comunque fanno leva su servizi e applicazioni digitali, ne hanno intensificato l’utilizzo per distribuire i dati presenti in un sistema centralizzato così da favorirne il consumo strutturato su sistemi, applicazioni, interfacce. Non sempre allineata a questa esigenza è però la reale attenzione delle aziende alla loro protezione e relativa governance. Ne parliamo con Antonio Bellissimo, Senior Solutions Engineer di Criticalcase, che introduce il tema proprio a partire dal livello di maturità delle organizzazioni, anche in relazione ai bisogni che esse manifestano. “E’ tra i focus più importanti e sentiti di questo ultimo anno, il problema della sicurezza delle API – esordisce Bellissimo -. Fino ad un anno fa le aziende chiedevano di riuscire a proteggere tutti i propri asset (siti Web, applicazioni etc. anche con approccio Zero Trust, Ndr.). Oggi la protezione delle API è invece tra i ‘topic’ più battuti”. Le aziende sanno di utilizzare ed esporre le Application Programming Interfaces a soluzioni e piattaforme, per consentire ad applicazioni e software di interagire tra di loro, anche in modo molto virtuoso ed efficace ma, proprio per queste loro caratteristiche, le API “possono essere sfruttate da parte del cybercrime per fare danni. Perché il traffico che passa all’interno di esse molte volte non è chiaro, trasparente, e questo rappresenta un problema”.

API, tre punti chiave per proteggerle

Le aziende, in tanti casi, ancora oggi non sanno di utilizzarle, in altri non sanno cosa contenga il codice al loro interno. “Una delle principali ragioni per cui si rivolgono a Criticalcase è quindi semplicemente un tema di sicurezza, la necessità di fare un inventario di tutte le API” – prosegue Bellissimo. Potrebbe sembrare un paradosso ma non lo è, perché molte volte le API vengono create al volo dagli sviluppatori cui è richiesto di poter esporre subito un determinato servizio. Poi chi ha scritto il codice lascia l’azienda e magari, proprio per la rapidità/fretta nell’implementazione, non si trova documentazione alcuna. I team cambiano, le API si evolvono, ma alcune di esse in grado di esportare dati non vengono rimosse e restano attive, anche come punti di entrata nei sistemi. “Per non parlare di quelle realtà in cui chi lavora nella sicurezza e chi lavora nello sviluppo appartiene a team diversi, di divisioni diverse. Capita allora che chi scrive un’API la passi allo sviluppatore del sito Web, o al business partner, ma senza notificarla al responsabile della sicurezza. Anche per questo fare un inventario delle API è sempre più fondamentale (1). Con l’inventario è possibile comprendere meglio tutti i processi e come funzionano i sistemi. Vero e proprio punto di partenza è quindi l’inventario.
 
E’ sempre l’accelerazione richiesta ai team di sviluppo poi a non consentire la maggior parte delle volte la stesura di requisiti e l’identificazione delle best practice di cui quindi non si preoccupa più nessuno. “Magari la best practice non rispettata genera query non ottimizzate al database ma altre volte apre falle gravi di sicurezza. Le soluzioni di sicurezza che anche semplicemente dietro le quinte verificano come è fatta e lavora un’API allora sono di grande aiuto da una parte ne riconoscono l’effettiva efficienza per il business, dall’altra evidenziano i reali problemi di sicurezza e quindi possono suggerire l’esigenza di un re-work dell’API stesse (2)“. Ultimo aspetto importante è legato alla possibilità di “comprendere a fondo come le API vengono utilizzate all’esterno (3). Può cAPItare, per esempio, che siano sfruttate da una Bot per recuperare dei dati piuttosto che verificare determinate informazioni, registrare illegittimamente gli utenti, etc. Attività che possono far predere del business o creare proprio dei danni di reputation e alla security”. Si parla quindi di una fase attiva di verifica delle API. Inventory delle API, comprensione di come sono fatte (eventuale re-working) e di come sono utilizzate sono quindi i tre punti chiave, per indirizzare il tema di una vera e propria governance. 

La visibilità è assolutamente fondamentale. Ci troviamo di fronte a volte a realtà che messe di fronte al ‘riconoscimento’ di decine e decine di API attive si stupiscono”.

Il metodo di Criticalcase

Criticalcase incontra le aziende proprio in questo scenario. “Si tratta di realtà che già aiutamo nell’indirizzare il tema della security tout court, con Akamai, di cui siamo partner. Giorno per giorno lavoriamo con loro, riguardo l’ottimizzazione delle architetture, la soluzione e la prevenzione degli attacchi, eventuali update e upgrade.

Antonio Bellissimo Criticalcase
Antonio Bellissimo, Senior Solutions Engineer di Criticalcase

Individuiamo quindi anche eventuali aree grigie nelle aziende, attivando l’attenzione dei Cio su eventuali criticità, come farebbe un partner/consulente”. Criticalcase quindi vive il “day-by-day” con i team dei clienti, instaura con loro un rapporto stretto e, proprio a partire da questa conoscenza profonda, è poi in grado di consigliare l’eventuale adozione di una nuova soluzione. Si pensi per esempio al problema della “visibilità” sulle API. “Ecco, aiutare i clienti significa allora seguirli dal setup all’installazione, dall’affiancamento per la messa in execution, fino alla verifica degli update”, spiega Bellissimo. E’ l’approccio di Criticalcase: lavorare direttamente con i team, conoscere a fondo la loro postura di sicurezza, quali soluzioni sono attive, quali possono ostacolare l’efficienza del business, ed indicare gli ambiti in cui è possibile fare meglio. 

Il “go” dei progetti dipende ovviamente da una componente tecnica e da una economica. “La scelta delle soluzioni di Akamai – vuole precisare Bellissimofa subito contenti i clienti dal punto di vista dell’integrazione con i sistemi perché parliamo di soluzioni che richiedono al cliente un effort pari a zero per il setup. Effort del tutto a carico del partner ed Akamai. Al cliente si chiede semplicemente la collaborazione nell’analisi dell’API”. Solo in questa fase, dopo che i partner tecnologici hanno messo a terra la soluzione, entra in gioco il cliente. Nel caso, comunque, i partner con i loro tecnici possono sempre affiancare le aziende nell’analisi delle API, sulla scorta degli input segnalati dal cliente.
Il modello di go-to-market dal punto di vista commerciale è abbastanza semplice, a consumo. La soluzione si paga a consumo, quindi il costo cresce con l’incremento del traffico. Allo stesso tempo, proprio con volumi di traffico più elevati diventa sempre più conveniente, in un meccanismo win-win sia per Akamai, sia per Criticalcase, sia per i clienti. 

I vantaggi per i clienti

Tanti i vantaggi della proposta di Akamai riconosciuti ma anche tanti quelli che i clienti riconoscono alla ‘metodologia’ proposta da Criticalcase che ovviamente è pronta a tutte le customizzazione necessarie per offrire ai clienti funzionalità ‘cucite su misura’.
“Il brand Akamai – dettaglia ancora Bellissimo – è riconosciuto con favore a livello globale. Quando un cliente approccia Akamai sa di scegliere il meglio, come riconoscono per esempio gli analisti di Gartner nei loro Magic Quadrant, a seconda delle soluzioni proposte, con Akamai sempre posizionata in alto a destra”. Un vantaggio perché il cliente che lo sa si affida volentieri, e chi non ha mai avuto occasione di utilizzare le soluzioni Akamai, o non conosce il brand, trova un rapido riscontro favorevole che poi viene ulteriormente dettagliato dal partner. “Lavorare con un brand come Akamai agevola quindi anche il partner, per la qualità dei prodotti. Qualsiasi soluzione disponibile nei diversi comparti, compreso Akamai API Security, offre le garanzie di efficienza richieste, di continuità di funzionamento, e fa quello che è stato raccontato. Non sarà mai da giustificare una defaillance, e l’evoluzione della soluzione stessa continua nel tempo grazie all’impegno di interi team dedicati. Tiene conto sempre dell’evoluzione degli scenari cybersecurity, ma anche dell’esigenza di ‘continuità’ dei clienti, con politiche di dismissioni attente alle esigenze dei clienti che comunque non vengono lasciati mai soli”. Un aspetto da non dimenticare mai poi è il supporto. Dai team locali che seguono passo a passo, al supporto 24 ore su 24, sette giorni su sette a livello globale, anche in chat. Sempre c’è un esperto pronto a rispondere. 

“Criticalcase sfrutta al meglio le qualità dei prodotti Akamai per accompagnare i clienti – prosegue Bellissimo -. Le soluzioni che out of the box già sono potenzialmente efficaci possono essere rese operative in misura sartoriale nel supporto day-by-day. Per fare questo Criticalcase ‘vive’ con il cliente le problematiche e le risolve.

Ed il cliente lo apprezza: “Le aziende dispongono del prodotto top di gamma, possono far conto su un partner da cui si sentono supportate, che le aiuta a mettere insieme tutti i pezzi del puzzle, anche perché le soluzioni per la sicurezza sono tante ed i clienti hanno bisogno di capire come utilizzarle”. Criticalcase entra in gioco anche in questo caso perché è in grado di capire la componente di security che eventualmente manca per abbassare il livello di rischio. “Un rapporto ben diverso da quello con il commerciale che vuole proporre una soluzione per ‘vendere’, perché sono le stesse persone che hanno saputo risolvere i problemi nel momento critico ad indirizzare le mosse migliori”, puntualizza Bellissimo.  

Vale anche nel caso in cui le aziende manifestano l’esigenza di “consolidare”, invece, le soluzioni utilizzate. “Quando si parla di sicurezza, la proposta Akamai evidenza le sue qualità di complementarietà. Non c’è praticamente alcuna sovrapposizione nella proposizione, per cui risulta più semplice anche indirizzare il cliente”.
Nel mondo della sicurezza “togliere” non è sempre l’approccio migliore, perché se le soluzioni lavorano di concerto tra loro si riesce ad individuare criticità che, sfuggite ad un servizio, vengono intercettate da un altro. Ma non si può lavorare nemmeno pensando di disporre di budget infiniti “e la catena delle soluzioni non può allungarsi a dismisura, perché questo danneggia poi di sicuro le performance”. Oggi di sicuro i budget per la sicurezza sono cresciuti, ma non sempre sono però sufficienti. Ecco allora che Criticalcase lavora sì con i clienti per ‘mettere ordine’, ma riconoscendo i limiti delle singole soluzioni e, proprio per questo, laddove vengono individuate delle lacune è il partner stesso a consigliare di mantenere attivi comunque i servizi in essere, quando sono utili. E’ questo proprio il ruolo dell’advisor, partner e consulente: aiutare i clienti a risolvere i problemi, in modo del tutto trasparente. Un merito riconosciuto sul campo a Criticalcase.

Per saperne di più scarica il whitepaper: Sfruttare le falle nella sicurezza
Non perdere tutti gli approfondimenti della room Security Everywhere by Akamai e Criticalcase

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE