What is API Security?

APIs (Application Programming Interfaces) are a key part of digital transformation strategies, and securing those APIs is a top challenge. APIs are a rapidly growing attack surface that isn't widely understood and can be overlooked by developers and application security managers.

Let’s let OWASP API Security Project take this: “APIs are a critical part of modern mobile, SaaS and web applications and can be found in customer-facing, partner-facing and internal applications. By nature, APIs expose application logic and sensitive data such as Personally Identifiable Information (PII) and because of this have increasingly become a target for attackers. Without secure APIs, rapid innovation would be impossible.”

How API Based Apps are Different?

Again, from OWASP: The server is used more as a proxy for data The rendering component is the client, not the server Clients consume raw data APIs expose the underlying implementation of the app The user’s state is usually maintained and monitored by the client More parameters are sent in each HTTP request (object IDs, filters)

How is API security different from general application security?

API Security focuses on strategies to mitigate the unique security risks of APIs. Traditional vulnerabilities are less common in API-based apps: SQLi – Increasing use of ORMs CSRF – Authorization headers instead of cookies Path Manipulations – Cloud-based storage Classic IT Security Issues - SaaS

Why is API security important?

API security is important because businesses use APIs to connect services and to transfer data, so a hacked API can lead to a data breach. According to Gartner, 90% of web-enabled applications will have more attack surface area in exposed APIs rather than in the user interface . API Usage Continues to Rise According to Forrester, from December 2020 to June 2021, the percentage of API traffic that was malicious grew 85%. . In December 2021, Cloudflare reported that API calls accounted for 54% of total requests and increased 21% from February to December 2021. Attackers have taken notice and increased their focus on APIs. API security testing is part of the core capabilities in the Gartner MQ for Application Security Testing. APIs have become an essential part of modern applications (e.g., single-page or mobile applications), but traditional AST toolsets may not fully test them, leading to the requirement for specialized tools and capabilities. The ability to discover APIs in both development and production environments and test API source code, as well as the ability to ingest recorded traffic or API definitions to support the testing of a running API, are typical functions.

What is the OWASP API Security Top 10?

OWASP recently announced the API Security Top 10 Release Candidate. Read more about the OWASP API Security Project (and check out presentation deck in the Quick Links section). Here is the top 10: API1 - Broken Object Level Authorization API2- Broken User Authentication API3 - Excessive Data Exposure API4 - Lack of Resources & Rate Limiting API5 - Broken Function Level Authorization API6 - Mass AssignmentAPI7 Security Misconfiguration API8 - Injection API9 - Improper Assets Management API10 - Insufficient Logging & Monitoring

How does Fortify helps with API Security?

API Security with Fortify: Attack Surface Coverage – Discover new and shadow API endpoints automatically during testing and identify the breadth of endpoints with OpenAPI, Swagger, Odata, or WSDL schemas. API Authentication – API authentication is varied and complex. Fortify supports virtually all types of bearer tokens and implementations. Vulnerability Detection – Ever-expanding coverage of API-specific vulnerabilities affecting areas such as bearer tokens or GraphQL introspection. Scan Automation – Scale API testing with enterprise-grade orchestration delivered via SaaS, hosted, or on premise.

Che cos’è l’Application Security?

Perché la sicurezza delle applicazioni?

Come confermano molteplici studi, la maggior parte delle violazioni di successo colpisce le vulnerabilità sfruttabili che risiedono nel livello applicativo, il che indica la necessità per i dipartimenti IT aziendali di essere particolarmente vigili sulla sicurezza delle applicazioni. Inoltre, il numero e la complessità delle applicazioni sono in aumento, cosa che aggrava ulteriormente il problema. Dieci anni fa, la sfida della sicurezza del software riguardava la protezione delle applicazioni desktop e dei siti Web statici che erano abbastanza innocui e facili da gestire e proteggere. Ora, la catena di distribuzione del software è molto più complicata considerando lo sviluppo in outsourcing, il numero di applicazioni legacy, insieme allo sviluppo interno che si avvale di terze parti, open source e commerciali, componenti software off-the-shelf.

Le organizzazioni hanno bisogno di soluzioni di sicurezza delle applicazioni che coprano tutte le loro applicazioni, da quelle utilizzate internamente alle più diffuse applicazioni esterne utilizzate sui telefoni cellulari dei clienti. Queste soluzioni devono coprire l’intera fase di sviluppo e prevedere dei test a seguito dell’attivazione di un’applicazione per il monitoraggio di potenziali problemi. Le soluzioni di sicurezza delle applicazioni devono essere in grado di testare le applicazioni Web per individuare vulnerabilità potenziali e sfruttabili, avere la capacità di analizzare il codice, aiutare a gestire i processi di gestione della sicurezza e dello sviluppo coordinando gli sforzi e consentendo la collaborazione tra i vari stakeholder. Inoltre, devono offrire test di sicurezza delle applicazioni che siano facili da usare e distribuire.

Cosa si intende per SAST, DAST e SCA?

Cos’è SAST?

L’analisi Static Application Security Testing (SAST) scansiona i file sorgente dell’applicazione, identifica accuratamente la causa principale e aiuta a rimediare ai difetti di sicurezza sottostanti.

Vantaggi di Static Application Security Testing:

Identificare ed eliminare le vulnerabilità nel codice sorgente, binario o byte code.
Rivedere i risultati delle analisi statiche in tempo reale con accesso alle raccomandazioni, navigazione in linea di codice per trovare le vulnerabilità in modo più rapido e audit collaborativo.
Integrazione completa con l’ambiente di sviluppo integrato (IDE).

Cos’è DAST?

L’analisi Dynamic Application Security Testing (DAST) simula attacchi controllati su un’applicazione o servizio Web in esecuzione per identificare le vulnerabilità sfruttabili in un ambiente in esecuzione.

Vantaggi di Dynamic Application Security Testing:

Fornisce una visione completa della sicurezza delle applicazioni, concentrandosi su ciò che è sfruttabile e coprendo tutti i componenti (server, codice personalizzato, open source, servizi).
Può essere integrato nello sviluppo, controllo qualità e produzione per offrire una visione globale continuativa.
L’analisi dinamica consente un approccio più ampio per gestire il rischio di portfolio (migliaia di applicazioni) e può eseguire la scansione delle applicazioni legacy come parte della gestione del rischio.
L’applicazione funzionale dei test, a differenza di SAST, non è vincolata dal linguaggio e si possono scoprire i problemi legati all’ambiente e al runtime.

Cos’è SCA?

L’analisi Software Composition Analysis (SCA) è un processo automatizzato che consente di identificare e tenere traccia dei componenti open source utilizzati nelle applicazioni. Strumenti SCA più solidi possono analizzare tutti i componenti open source per verificare i rischi di protezione, la conformità alle licenze e la qualità del codice.

Vantaggi della Software Composition Analysis:

Ottenere visibilità e comprensione dei componenti open source nell’organizzazione (fornire una distinta materiali software).
Automazione delle policy per prevenire problemi di sicurezza e di licenza.
Suggerimenti per la risoluzione delle vulnerabilità e consigli sui rischi di licenza.
Analizzare lo stato dei progetti open source al fine di eliminare i rischi causati da comunità povere o in declino.

On-premise vs SaaS vs servizio gestito

Le soluzioni di sicurezza delle applicazioni consistono nel software di cybersecurity (gli strumenti) e le pratiche che eseguono il processo per proteggere le applicazioni.

On-premise

Le soluzioni di Application Security Testing possono essere eseguite in locale (in-house), gestite e mantenute da team interni. Questo approccio richiede alle organizzazioni di fornire l’infrastruttura, il personale e di acquisire soluzioni di sicurezza delle applicazioni per il loro utilizzo. On-premise assicura alle organizzazioni che i dati della loro applicazione non vengano condivisi con terzi e non lascino i locali.

SaaS

La sicurezza delle applicazioni come SaaS fornisce soluzioni basate su cloud con un’interfaccia utente basata sul Web, consentendo al cliente di configurare, eseguire e gestire la sicurezza delle applicazioni. Questa opzione richiede comunque alle organizzazioni di fornire il personale e le competenze necessarie per eseguire i vari strumenti di Application Security Testing, ma senza la necessità di fornire infrastruttura, manutenzione, aggiornamenti, ecc.

Servizio gestito

La sicurezza delle applicazioni può anche essere un servizio gestito in cui il cliente consuma i servizi forniti come soluzione turn-key dal fornitore di sicurezza dell’applicazione. Questo approccio non richiede nessuno dei prerequisiti dell’approccio on-premise, ma richiede di affidarsi parzialmente o completamente al fornitore SaaS e, nella maggior parte dei casi, consente di condividere i dati dell’applicazione con il fornitore. La sicurezza delle applicazioni come servizio gestito fornisce un modo semplice per iniziare e può offrire scalabilità e velocità. Le implementazioni ibride (che utilizzano servizi gestiti, on-premise e SaaS insieme in diversi progetti e pratiche) mirano a fornire il meglio di entrambi i mondi, fornendo flessibilità, scalabilità e ottimizzazione dei costi.

Che cos’è OWASP Top 10

OWASP Top 10

Open Web Application Security Project (OWASP) è una comunità di sicurezza delle applicazioni open source con l’obiettivo di migliorare la sicurezza del software. Le linee guida OWASP Top 10 forniscono un elenco dei rischi più critici per la sicurezza delle applicazioni per aiutare gli sviluppatori a proteggere meglio le applicazioni che realizzano e distribuiscono.

Soluzioni per la sicurezza delle applicazioni

Le soluzioni OpenText Application Security offrono gestione e Application Security Testing on-premise, ospitati e as-a-service che possono aiutare le aziende a proteggere le loro applicazioni software, comprese le applicazioni legacy, mobili, di terze parti e open-source.

Le offerte di Fortify includono static code analysis, dynamic application security testing, software composition analysis (SCA) e strumenti interattivi per l’Application Security Testing per fornire protezione del codice per applicazioni Web, API, app mobili, Infrastructure-as-Code, container, e catena di distribuzione del software.

Le soluzioni includono:

Fortify Static Code Analyzer - Static Application Security Testing (SAST): identifica e localizza in anticipo le vulnerabilità di sicurezza nel codice sorgente nel ciclo di vita di sviluppo del software.

Fortify WebInspect - Dynamic application security testing (DAST): simula attacchi alla sicurezza reali su applicazioni in esecuzione per fornire un’analisi completa di servizi e applicazioni Web complessi.

Interactive application security testing (IAST): integrazione tra il nostro test dinamico e l’analisi di runtime per l’identificazione di un numero maggiore di vulnerabilità, attraverso l’ampliamento della copertura della superficie di attacco e l’esposizione agli exploit migliore rispetto al solo test dinamico.

Fortify on Demand - Security as a Service: un modo semplice, facile e veloce per testare applicazioni in modo accurato, senza dover installare o gestire il software o aggiungere altre risorse.

Mobile Security : metodologia del mobile testing che testa tutti e tre i livelli, tra cui client, rete e server.

Fortify Insight : aggregate e analizzate numerose fonti di dati precedentemente separati e isolati, visualizzandoli in un dashboard aziendale per ottenere informazioni utili.

Software Security Assurance : repository di gestione centralizzata che offre visibilità, contribuendo a risolvere le vulnerabilità della sicurezza.

Fortify Software Security Center : repository di gestione centralizzato che offre visibilità di tutto il programma di application security testing. Assegna priorità, gestisce e tiene traccia delle attività di test della sicurezza e offre un quadro accurato dei rischi per la sicurezza software in ambito aziendale.

Your browser is not supported

Soluzioni specifiche per settori

Soluzioni aziendali

Che cos’è la sicurezza delle applicazioni?

Panoramica

Sicurezza delle applicazioni

Perché la sicurezza delle applicazioni?

Cosa si intende per SAST, DAST e SCA?

Vantaggi di Static Application Security Testing:

Vantaggi di Dynamic Application Security Testing:

Vantaggi della Software Composition Analysis:

On-premise vs SaaS vs servizio gestito

Che cos’è OWASP Top 10

Soluzioni per la sicurezza delle applicazioni

Risorse

Risorse

Prodotti, soluzioni e servizi correlati

Comunità

Risorse per la sicurezza delle applicazioni

Risorse OpenText Fortify

Le nostre soluzioni

SAST: Fortify Static Code Analyzer

DAST: Fortify WebInspect

Fortify on Demand

Fortify Software Security Center

Iniziate oggi stesso