API World 2023 Unire API, AI e sicurezza dei segreti
API World 2023 Unire API, AI e sicurezza dei segreti per un futuro innovativo
Quando la maggior parte delle persone pensa a Santa Clara, pensa immediatamente ai San Francisco 49ers, poiché è lì che si trova il loro stadio. Potrebbero anche pensare a California’s Great America, un parco divertimenti che tiene intrattenute le persone dal 1970. Considerando quante aziende tech hanno sede lì, tra cui Advanced Micro Devices, Intel e Nvidia, molte persone lo considerano una parte importante della Silicon Valley. Per alcune migliaia di persone che si sono riunite lì alla fine di ottobre, sarà sempre associato agli avanzamenti di API e AI, grazie a API World 2023.
L’evento di quest’anno si è svolto insieme a AI Dev World, riunendo professionisti di entrambi i settori strettamente correlati. Ha senso, dato che le maggiori innovazioni nell’intelligenza artificiale e nei modelli di apprendimento automatico negli ultimi anni hanno coinvolto integrazioni di API per servizi come ChatGPT di OpenAI e IBM Watson. Sembra che sviluppare qualsiasi AI significhi anche costruire e mantenere un’API.
#APIWorld #AIDevWorld
Ci sono stati più di 70 relatori durante l’evento di 3 giorni. Questo è troppo per essere affrontato in modo approfondito qui in questo articolo, ma ecco alcuni dei momenti salienti.
- Svelare la magia dei colloqui integrare ChatGPT con React.js e Node.js
- Esplorare cataloghi e casi d’uso di ML.NET
- Massimizza il gusto della tua pizza
Il futuro dell’IA è imprevedibile
Nel loro discorso inaugurale, “Navigating Invention, Innovation, and Disruption in the Age of AI”, Khurram Latif di Deloitte Consulting e Justin Hiza e Michaël Chaize di Shutterstock hanno illustrato alcuni dei modi più interessanti in cui collaborano su prodotti basati su AI e hanno condiviso alcune riflessioni sul futuro della tecnologia.
Shutterstock è un’azienda di contenuti fotografici che vende immagini, video, audio e molti altri tipi di media predefiniti. Utilizzano l’IA da anni, principalmente per classificare e suggerire contenuti correlati automaticamente sul loro sito. L’uso dell’AI generativa per personalizzare i contenuti è un nuovo sforzo per loro, ed è per questo che hanno stretto una partnership con Deloitte.
Hanno mostrato alcuni esempi, tra cui la loro funzionalità “Magic Brush” che permette agli utenti di personalizzare i contenuti esistenti in base ai prompt forniti. Ad esempio, se qualcuno ha bisogno di indossare un cappello di un “colore di tendenza”, basta dire all’IA cosa si desidera, e essa farà posizionamento, correzione di illuminazione e tutti gli altri ritocchi in pochi secondi. L’altro esempio era un creatore di testi personalizzati che deriva un tema da un’immagine data, personalizzando il testo richiesto per abbinarlo perfettamente al tema dell’immagine.
Il team ha condiviso alcune delle conclusioni più significative che hanno appreso durante la realizzazione di molti progetti AI insieme. Una delle lezioni più importanti è che stiamo entrando in un mondo senza tutte le risposte. Hanno concluso che è praticamente impossibile indovinare cosa funzionerà e cosa no con l’AI, anche a distanza di un anno. Se si progetta qualcosa in modo eccessivo fin dall’inizio, si passerà molto tempo cercando di far fare all’IA qualcosa di cui potrebbe non essere capace.
Ciò che funziona è prototipizzare velocemente e ottenere feedback il più rapidamente possibile. Partendo dagli obiettivi e dagli obiettivi del cliente, hanno fornito ai loro ingegneri la possibilità di dimostrare concetti su qualsiasi idea che ritenevano possa raggiungere quegli obiettivi; alla fine, è il cliente a giudicare se un’innovazione AI è utile.
#APIWorld è ufficialmente iniziato con il primo workshop di #ShutterStock e Deloitte, intitolato: “Navigating Invention, Innovation and Disruption in the Age of AI” di Khurram Latif, Justin Hiza e Michaël Chaize
La buona sicurezza delle API richiede più di semplici strumenti
I partecipanti a API World hanno avuto il piacere di assistere a tre diverse conferenze di Isabelle Mauny, Field CTO e co-fondatrice di 42Crunch, che si sono integrate tra loro. In tutte queste sessioni, ha sottolineato l’importanza della sicurezza delle API e come possiamo utilizzare l’aggiornata OWASP API Top 10.
Nella sua conferenza del primo giorno dell’evento, “Comuni trappole di sicurezza delle API: Imparare dagli errori degli altri”, ci ha guidato attraverso diversi incidenti di sicurezza riguardanti le API. Un caso riguardava un birrificio artigianale le cui API consentivano agli hacker di stampare migliaia di coupon per birra gratuita. Un altro caso riguardava il sistema di controllo dell’accesso fisico di un’università che non implementava alcuna autorizzazione, il che significava che chiunque con un account poteva ottenere i diritti di amministratore. Ha riassunto il problema principale che emergeva da tutti i suoi esempi, ovvero che la sicurezza delle API era stata considerata solo come un dopo-pensiero. Mentre è buono iniziare il nostro lavoro di sicurezza con il generale OWASP Top 10, dobbiamo concentrarci sui problemi presentati dall’OWASP API Top 10 già nella fase di progettazione.
In seguito, si è dedicata ai maggiori problemi culturali della sicurezza delle API. Nella sua sessione “Perché molte soluzioni di sicurezza delle API non riescono a fornire risultati”, Isabelle ha affermato che una delle maggiori preoccupazioni riguarda il fatto che la maggior parte delle organizzazioni non ha idea di quante API gestiscono. Questo deriva da una mancanza di governance, una mancanza di formazione e dalla tendenza a cercare di risolvere i problemi solo con strumenti tecnologici. Una buona governance significa costruire e comunicare documentazione su come costruire correttamente le API, segnalare la loro esistenza e proteggerle.
“Comuni trappole di sicurezza delle API: Imparare dagli errori degli altri” di Isabelle Mauny a #APIWorld
Proteggere la tua API non è compito dell’applicazione
La raccomandazione di affrontare la sicurezza delle API utilizzando l’OWASP API Top 10 è stata riproposta nella sessione “Ricerche rivelatrici: Minacce emergenti alle API e come mitigarle” di Patrick Sullivan, CTO di Security Strategy presso Akamai. Ha sottolineato che la sicurezza delle applicazioni tradizionali, su cui OWASP si è tradizionalmente concentrata, si basa su regole WAF e gateway. Ma le minacce alle API sono diverse. Le API possono essere utilizzate per estrarre dati, aiutare gli attaccanti a mappare una rete e rendere più agevoli gli attacchi di tipo denial-of-service.
Un’altra differenza significativa negli approcci alla sicurezza è che, mentre la sicurezza dell’applicazione è qualcosa a cui l’applicazione stessa presta attenzione, l’app assume nessun obbligo di proteggere l’API. Ha detto che la cosa più comune che sente quando confronta qualcuno riguardo a una vulnerabilità delle API è: “Pensavo che l’applicazione se ne occupasse”. Questo è particolarmente vero per quanto riguarda l’autorizzazione. Mentre le app tradizionali integrano la logica, consentendo una richiesta di successo solo se vengono soddisfatte determinate condizioni, la maggior parte delle API consente a chiunque riesca ad autenticarsi di effettuare quasi qualsiasi chiamata. Spetta agli sviluppatori gestire questo aspetto della sicurezza tramite il codice.
Ricerche rivelatrici: Minacce emergenti alle API e come mitigarle di Patrick Sullivan, Chief Technology Officer di Security Strategy presso Akamai a #APIWorld
Non seguire solo il percorso di testing felice
Nella sua sessione “Perché dovresti hackerare le tue API”, Dan Barahona, Fondatore di APIsec, ha affermato che uno dei maggiori problemi della sicurezza delle API è la mancanza di testing. Le API vengono spesso testate per garantire che facciano ciò che si desidera, ma troppo spesso, secondo Dan, non testiamo se fanno ciò per cui non sono state progettate. Tendiamo a seguire un percorso felice quando invece dovremmo pensare come un attaccante e vedere quale comportamento inaspettato possiamo forzare.
Ha esaminato diversi esempi recenti in cui la sicurezza delle API è andata male, principalmente a causa di difetti logici associati all’autorizzazione. Le aziende menzionate includono Coinbase, dove un ricercatore è stato pagato $250.000 per aver trovato una falla che avrebbe potuto mettere fine alla società; Duolingo, dove indovinare gli ID degli utenti ha portato al furto di email e nomi di 2,6 milioni di utenti; e Peleton, dove una falla di autorizzazione ha causato una violazione dei dati di oltre 4 milioni di utenti.
Il nostro compito nella sicurezza API dovrebbe essere quello di individuare le vulnerabilità prima che si diffondano. Abbiamo sentito dire che iniziare con i primi 10 della sicurezza API di OWASP è buono, ma ha detto che è necessario un test più coerente e automatizzato degli utilizzi non intenzionali. Ha concluso il suo intervento elencando rapidamente le sue 10 migliori pratiche che utilizzano nei corsi gratuiti presso APISEC University:
1. Inizia con la Governance. 2. Conosci il tuo ecosistema API. 3. Fai comunicare i team di sicurezza e sviluppo. 4. La documentazione delle API non è negoziabile. 5. Forma gli sviluppatori e i proprietari di API sulla sicurezza delle API. 6. Centralizza la gestione delle API. 7. Non fidarti di nulla; convalida tutto. 8. Non fare affidamento sui UI per la sicurezza. 9. L’autenticazione NON è autorizzazione. L’autorizzazione deve avvenire nella logica. 10. Automatizza il test pre-produzione quando possibile.
“Perché dovresti craccare le tue API” di Dan Barahona, Fondatore di APIsec presso #APIWorld
La necessità di un Purple Team per la sicurezza delle API
Un’applicazione è come un polpo. È così che Jeremy Ventura, Direttore della Strategia di Sicurezza e CISO sul campo presso ThreatX, ha iniziato la sua sessione “Rosso + Blu = Viola: Strategie per la sicurezza delle API”. Come un polpo, c’è un corpo centrale e una testa che alimenta l’applicazione. Le API sono come braccia distese che permettono al polpo di muoversi e interagire con il mondo.
Il tradizionale “team blu” nella sicurezza si concentra sulla difesa di quell’applicazione centrale, non sulle braccia. I team rossi sono sempre più focalizzati sull’entrare attraverso qualsiasi via che possano trovare. Poiché le chiamate alle API sono ora responsabili di oltre l’80% del traffico web, è chiaro che questa è la nuova linea del fronte. Dobbiamo incontrarci a metà strada e spostare l’attenzione sulla sicurezza e sulla ricerca di debolezze nelle nostre API.
Jeremy ha detto che uno dei maggiori problemi è che la maggior parte delle organizzazioni non sa quanti API gestiscono. Ciò porta a un mondo di “API zombie” che avrebbero dovuto essere dismesse, non sono parcheggiate e ancora consentono chiamate. Ha detto che in una collaborazione media con un cliente, trovano oltre 8 volte il numero di API che pensavano di avere inizialmente.
Oltre ai primi 10 della sicurezza API di OWASP, Jeremy ha detto che la limitazione della velocità e la registrazione devono essere affrontate per la maggior parte delle API. Ha detto che non è sufficiente conservare i log; è necessario agire attivamente su qualsiasi attività sospetta. Il vero modo in cui possiamo affrontare questi problemi è lavorare insieme e definire politiche, formare le persone e utilizzare strumenti di test migliori prima nel processo di sviluppo. Ammettendo l’importanza della tecnologia, ci ha ricordato di mettere sempre le persone al primo posto quando si risolvono i problemi di sicurezza.
“Rosso + Blu = Viola: Strategie per la sicurezza delle API” di Jeremy Ventura, Direttore della Strategia di Sicurezza e CISO sul campo presso ThreatX presso #APIWorld
Una buona sicurezza inizia con la conoscenza di ciò che si possiede
Durante l’evento, in qualsiasi sessione sulla sicurezza delle API o dell’AI, quasi tutti i relatori hanno menzionato l’importanza di comprendere i propri asset come primo passo fondamentale nel proprio percorso di sicurezza. Dopotutto, non puoi difenderlo se non sai che esiste. Questo è qualcosa che ho sollevato anche nella mia sessione “Sai dove si trovano i tuoi segreti? Esplorazione del problema della proliferazione e della maturità della gestione dei segreti” basata sul Modello di Maturità della Gestione dei Segreti di GitGuardian. In parte della presentazione, abbiamo analizzato come le organizzazioni mature non solo sanno dove si trovano i loro segreti, ma possono effettuare ispezioni e monitorare la loro creazione e utilizzo tramite un servizio di gestione dei segreti come Hashicorps’ Vault Enterprise o Doppler.
È importante anche sapere quali segreti hai nel codice e in altri luoghi dove non dovrebbero essere in chiaro. È qui che entra in gioco la scansione automatizzata dei segreti. Ad esempio, quando si collega un repository alla piattaforma di rilevamento dei segreti di GitGuardian, effettuerà una scansione storica, informandoti di dove quei segreti esistono nella tua cronologia git. Da lì in poi, monitorerà attivamente l’ingresso di nuovi segreti nel perimetro, avvisandoti della loro presenza.
Nella gestione dei segreti, nella sicurezza delle API e nella sicurezza dell’AI, aggiungere la sicurezza successivamente non è un’opzione. Dobbiamo affrontare le vulnerabilità elencate nei primi 10 della sicurezza API di OWASP al più presto nel ciclo di sviluppo e smettere di considerare ogni problema come uno che può essere risolto solo con la tecnologia. Abbiamo anche bisogno di una buona governance che crei buoni processi su cui le persone vengono formate. Abbiamo ancora molta strada da fare per proteggere il nostro codice e le nostre API, ma insieme, imparando gli uni dagli altri, possiamo trovare il miglior percorso per proteggere le nostre applicazioni e i nostri clienti.
