Il panorama della sicurezza delle applicazioni Web all’inizio del 2025 riflette una complessità crescente, con un picco di criticità correlato all’adozione accelerata di servizi cloud, alle architetture a microservizi e alle applicazioni basate sull’intelligenza artificiale. I fattori geopolitici aggravano questo scenario, con i settori dell’high-tech, del commercio e dei social media che registrano i volumi più elevati di attacchi DDoS di livello 7 (layer 7, quelli che operano a livello applicativo) e gli attori delle minacce che impiegano catene di attacco generate dall’AI, capaci di automatizzare l’intero ciclo di vita delle minacce. Sono i rilievi più preoccupanti messi in luce da Akamai nel suo report State of Apps and Api Security 2025
Le Api bersaglio primario
Le Application Programming Interfaces sono al centro del mirino del cybercrime – lo evidenzia a più riprese l’undicesima edizione della ricerca – con la crescita esponenziale delle violazioni che si lega direttamente alla superficie d’attacco espansa in relazione all’utilizzo delle nuove tecnologie. Nel corso del biennio 2023-2024, Akamai ha rilevato oltre 311 miliardi di attacchi contro applicazioni Web e Api, con un incremento del 33% rispetto all’anno precedente. Le Api, in particolare, rappresentano una sorta di nuova frontiera per il cybercrime: nello stesso periodo, solo gli attacchi contro di esse hanno superato, infatti, i 150 miliardi.
Questo dato evidenzia un mutamento strutturale nella strategia offensiva dei threat actor, che si concentrano ora sulle interfacce di comunicazione tra sistemi, spesso poco protette e ancora prive di strumenti di difesa avanzati.
L’AI conferma il suo doppio ruolo nel panorama della sicurezza: da un lato, consente di rafforzare la difesa, dall’altro, abilita nuove modalità di attacco.
Ne parla Rupesh Chokshi, senior vice president e general manager Application Security Portfolio di Akamai: “L’AI sta trasformando la sicurezza delle applicazioni Web e Api, migliorando il rilevamento delle minacce, ma aprendo anche nuove sfide”. Gli aggressori sfruttano l’intelligenza artificiale per automatizzare kill chain, individuare vulnerabilità e bypassare i controlli tradizionali con tecniche adattive. E le Api basate su AI risultano particolarmente esposte perché spesso accessibili pubblicamente e dotate di meccanismi di autenticazione deboli. Secondo Akamai, queste Api sono ormai tra le principali fonti di incidenti segnalati dai team di sicurezza del settore retail.
Tra i settori più esposti, dato coerente con il rilievo per il retail, il commercio elettronico è quello più bersagliato, con oltre 230 miliardi di attacchi Web registrati in due anni, quasi il triplo rispetto al settore high-tech, secondo classificato. Le motivazioni sono evidenti: dati sensibili, transazioni economiche e grandi volumi di utenti rappresentano un incentivo diretto per i cybercriminali. Le Api nei servizi di e-commerce sono sfruttate poi per sottrarre informazioni personali, orchestrare frodi su larga scala o compromettere servizi cruciali come gateway di pagamento e strumenti di fidelizzazione. Al settore high-tech, invece, nessuno toglie un altro primato: resta il più colpito dagli attacchi DDoS layer 7, con 7 mila miliardi di attacchi documentati. L’obiettivo? Bloccare l’operatività e provocare danni reputazionali o economici significativi.
Le vulnerabilità critiche
Tutte le vulnerabilità sono ‘critiche’ tuttavia, secondo il report, le falle più comuni che si rivelano comunque pericolose individuate nelle Api includono l’autenticazione debole, i privilegi mal gestiti (Broken Object Level Authorization – Bola), l’accesso incontrollato alle proprietà degli oggetti (Broken Object Property Level Authorization – Bopla), e l’eccessivo consumo di risorse. Queste vulnerabilità si rivelano difficili da intercettare con strumenti tradizionali, perché spesso emergono da logiche di business non adeguatamente testate. Un esempio pratico di Bopla citato nel report riguarda una semplice richiesta di unsubscribe via email, che nell’output dell’Api restituisce anche nome e indirizzo dell’utente. Questo tipo di fuga di dati, invisibile ai controlli standard, può essere prevenuto solo mediante strumenti di analisi comportamentale su base AI. Altro fronte critico sono le cosiddette Api shadow e zombie: le prime sono sviluppate fuori dai processi di governance, le seconde sono oramai obsolete ma ancora attive. Entrambe rappresentano vie d’accesso ideali per attori malevoli. Ed il 33% delle transazioni Api malevoli identificate da Akamai riguarda Api shadow.
Difendersi in un ambiente iperconnesso
L’evoluzione normativa impone alle aziende un’attenzione crescente alla compliance, soprattutto in ambiti regolati come finanza, sanità ed e-commerce. Akamai evidenzia come gli avvisi legati al Gdpr siano aumentati del 21%, quelli legati al Pci Dss del 16% e quelli riconducibili all’Iso 27001 del 22%. La tracciabilità delle Api, la gestione dei permessi, la crittografia dei dati e la limitazione del consumo delle risorse sono evidentemente oggi requisiti imprescindibili. La capacità di rilevare in tempo reale i pattern anomali diventa essenziale, ma le aziende che testano le Api quotidianamente sono solo il 13%, in calo rispetto al 37% del 2023.
Akamai suggerisce quindi un approccio difensivo multilivello: inventory completo delle Api, test automatizzati continui, adozione di Waf (Web application firewall) avanzati che funzionano facendo affidamento all’analisi con l’AI, strumenti di detection comportamentale e politiche di zero trust.
Il messaggio del report è che ignorare la sicurezza delle Api oggi significa esporsi a minacce che evolvono più rapidamente della capacità di reazione. Le aziende devono adottare un approccio strategico, che integri strumenti tecnologici avanzati, formazione continua del personale e governance rigorosa. Con una crescita del mercato Api AI-driven stimata in 179 miliardi di dollari entro il 2030, proteggere queste interfacce non è più solo una priorità tecnica, basta rilevare che i problemi legati alla sicurezza delle Api costano attualmente alle organizzazioni circa 87 miliardi di dollari l’anno, e secondo le proiezioni questa cifra potrebbe superare i 100 miliardi di dollari entro il 2026.
© RIPRODUZIONE RISERVATA
