Aggiunta dell'intelligenza artificiale generativa come strumento di protezione API

Aug 26, 2023

Home » Security Boulevard (Originale) » Aggiunta dell'intelligenza artificiale generativa come strumento di protezione delle API

Il mondo della sicurezza è nelle prime fasi per capire come utilizzare al meglio l’intelligenza artificiale generativa per migliorare la sicurezza informatica, difendendosi contemporaneamente da essa come vettore di minacce emergenti.

Prendi la sicurezza API, ad esempio. In un recente articolo su Security Boulevard, Bill Doerrfeld ha sostenuto che l’intelligenza artificiale generativa rappresenterà una minaccia per la sicurezza delle API. Una preoccupazione è che l’intelligenza artificiale generativa possa essere utilizzata per abusare delle API, ha scritto Doerrfeld, a causa dell’ampia superficie di attacco. Molte organizzazioni ora distribuiscono centinaia di API, che presentano già problemi di visibilità. Gli aggressori sanno che le organizzazioni faticano a proteggere le proprie API, dando loro l’opportunità di intervenire e utilizzare loro stesse l’intelligenza artificiale per individuare le vulnerabilità.

“Inoltre, l’intelligenza artificiale generativa potrebbe essere utilizzata per compromettere le credenziali in molti modi”, ha scritto Doerrfeld, aggiungendo che l’intelligenza artificiale generativa potrebbe essere utilizzata per rilevare modelli per scoprire password o essere utilizzata per il credential stuffing.

Tali minacce alla sicurezza devono essere affrontate il prima possibile. Tuttavia, proprio mentre gli autori delle minacce stanno escogitando modi per utilizzare l’intelligenza artificiale generativa per lanciare attacchi contro le API, i ricercatori di sicurezza stanno sviluppando modi per utilizzare la stessa tecnologia per proteggere le API.

“L’intelligenza artificiale generativa è chiaramente la parola d’ordine oggi in molti campi, inclusa la sicurezza”, ha affermato Subbu Iyer, vicepresidente della gestione dei prodotti presso Cequence Security, in un recente webinar. Ma la tecnologia può essere utilizzata per automatizzare quelle che una volta erano attività manuali e per testare la sicurezza delle API.

Prima di iniziare ad applicare l'intelligenza artificiale generativa come soluzione di sicurezza per le API, devi comprendere bene ciò che è necessario per la protezione delle API. Iyer ha spiegato che un approccio unificato alla protezione delle API si basa su tre pilastri: scoperta, che implica l'apprendimento e la classificazione dell'aspetto della superficie di attacco dell'API, conformità, che implica l'esame del livello di sicurezza delle API e la garanzia che siano conformi alle migliori pratiche di sicurezza e protezione. , il che significa monitorare il traffico in arrivo alle API e bloccare potenziali attacchi.

Sfortunatamente, la protezione delle API non funziona in molte organizzazioni. "Saresti sorpreso di scoprire quante API scopriamo che sono completamente incustodite ed esposte pubblicamente e che espongono i dati dei clienti", ha affermato Iyer.

L’individuazione delle vulnerabilità nelle API richiede test di sicurezza delle applicazioni, ma come ha sottolineato Iyer in un post sul blog, è molto impegnativo “generare casi di test personalizzati per le app da testare in modo che le loro funzionalità aziendali rilevanti possano essere testate prima di rilasciarle in produzione”.

È qui che l’intelligenza artificiale generativa diventa un utile strumento di sicurezza API. Puoi chiedere all’applicazione di intelligenza artificiale generativa di fare cose che altrimenti richiederebbero un’enorme quantità di lavoro manuale, ha spiegato Iyer.

Ad esempio, Cequence ha creato casi d'uso di intelligenza artificiale generativa attorno ai test di sicurezza delle API utilizzando una modalità intelligente che crea automaticamente test in base al tipo di API. Con l’intelligenza artificiale generativa, puoi mettere insieme i casi di test giusti per ciascuno degli endpoint API all’interno dell’applicazione, ha affermato Iyer.

"Ciò eliminerà le ore e le settimane di lavoro che sarebbero necessarie all'ingegnere della sicurezza per costruire manualmente quel caso di test o quel piano di test", ha affermato Iyer.

Nel bene e nel male, l’intelligenza artificiale generativa cambierà la sicurezza. La sicurezza delle API è già complessa a causa della sua complessità e dell’enorme volume di API utilizzate in un’organizzazione. Se l’intelligenza artificiale generativa riuscisse ad automatizzare i passaggi per individuare potenziali vulnerabilità e migliorare i test, sarebbe un passo avanti positivo.