Akamai, le API nel mirino dei cyber attacchi: il 37% degli attacchi layer 7 colpisce le interfacce applicative

Le API sono un obiettivo critico e sono sempre più prese di mira dai criminali informatici. Secondo un’analisi di Akamai, che ha contribuito al più recente rapporto del Clusit sugli incidenti informatici del 2025, nell’area EMEA ben il 37% degli attacchi informatici di tipo layer 7 (quelli che puntano a colpire i servizi, come le API o i siti web e non le infrastrutture) è diretto proprio verso le API. Secondo l’azienda, la situazione è destinata a perdurare, tanto che nei prossimi due anni Akamai prevede un'ulteriore crescita del 39% di questa tipologia di attacchi. Il Paese più colpito è il Regno Unito, con oltre 30 miliardi di tentativi di violazione di questo tipo, seguito da Germania (12,8 miliardi), Francia (7,5 miliardi) e Italia (4,1 miliardi).

Ma a cosa è dovuto questo incremento e perché i criminali informatici sono così interessati a questo tipo di azioni? Edge9 ha partecipato al Security Summit in occasione della presentazione del rapporto Clusit per incontrare Nicola Dalla Vecchia, Senior Solutions Engineer di Akamai.

È ora di proteggere meglio le API

Le API sono le interfacce di programmazione che le aziende espongono su Internet per permettere alle applicazioni di comunicare fra di loro e di consentire integrazioni con altri sistemi. Per esempio, se si vuole integrare un chatbot basato su ChatGPT, non si deve installare un LLM sul proprio sistema, ma ci si connette ai server di OpenAI che si occuperà dell’elaborazione dei dati, facendo pagare gli utenti in base al consumo di token. Quello che Akamai evidenzia, ed è un trend che prosegue da anni, è che le imprese non dedicano alle API la stessa attenzione delle applicazioni web tradizionali, sotto il profilo della sicurezza.

La soluzione, banalmente, è quella di proteggerle meglio, ma prima di fare questo passo “bisogna censire le API”, spiega Dalla Vecchia, così da avere visibilità e poterle controllare. E questo accade raramente: secondo l’esperto di Akamai, infatti, “solo un terzo dei clienti [di Akamai] ha una governance chiara o un database delle proprie API”. Il motivo è che spesso si tratta di “orfani”, di API spesso non più utilizzate ma lasciate ancora esposte online. A tutti gli effetti delle shadow API che diventano un facile bersaglio per i cyber criminali, soprattutto in questo periodo: gli attacchi tramite IA generativa si concentrano proprio su queste interfacce dal momento che è tendenzialmente più facile estrarre informazioni riservate sfruttando le loro vulnerabilità che con i metodi più tradizionali di attacco, come i malware.

Secondo Dalla Vecchia, dopo aver ottenuto la fondamentale visibilità sulle API e aver creato un database interno di quelle presenti e utilizzate, è necessario trattarle con le stesse logiche e la stessa attenzione delle applicazioni web classiche, non considerarle come un’entità distinta e separata come spesso accade.

Nello specifico, è fondamentale creare dei sistemi di compartimento e contenimento, così da poter contenere eventuali violazioni ed evitare che gli attaccanti possano espandersi e raggiungere altre parti dell’infrastruttura. Cosa che non è così semplice. “Coi sistemi ibridi e multicloud il perimetro non esiste più”, spiega Dalla Vecchia. “Serve un approccio basato sul software per leggere i processi, costruire una mappa e creare un modello di apprendimento in grado di segnalare ciò che esce dagli standard”. Un compito che può essere affidato proprio alle IA, che sono più rapide e più accurate delle persone su questo tipo di operazioni.

Cresce l’hacktivism, soprattutto in Italia

Un altro tema che è emerso dal rapporto Clusit è quello della crescita del fenomeno dell’hactkivism, cioè la violazione di sistemi non al fine di sottrarre informazioni, ma per bloccare i servizi, compiendo quindi azioni dimostrative. Un esempio classico sono gli attacchi DDoS, che si limitano a impedire l’accesso al sito e hanno un fortissimo impatto mediatico: anche se l’attacco si è limitato a mettere fuori uso un sito o un servizio per poche ore, notizie di questo tipo si diffondono rapidamente, creando panico e incertezza, che è l’obiettivo degli hacktivisti.

Sotto questo profilo, l’Italia è uno dei Paesi più colpiti, e questo anche a causa dell’attuale situazione geopolitica. E si evidenzia anche un salto di qualità, dovuto a due motivi. Da un lato, l’utilizzo dell’IA per questo tipo di campagne di attacco, che ne rende più difficoltosa l’individuazione. Dall’altro, gli attaccanti hanno evoluto le loro tecniche concentrandosi su attacchi di tipo low & slow, lenti e a bassa intensità. Sono difficili da rilevare, dal momento che non generano istantaneamente una grandissima quantità di traffico.

I criminali preferiscono infatti concentrare i loro attacchi su più servizi della stessa infrastruttura, così da rendere più difficile l’individuazione: “prendono di mira 10 o 20 domini della stessa azienda e il traffico cumulativo mette in ginocchio il portale”, spiega Dalla Vecchia, sottolineando che “c'è ancora una componente umana non trascurabile in queste operazioni, anche se l'IA facilita molto l'adozione di queste strategie”.

La guerra non è solo cinetica: i conflitti internazionali si combattono anche nel cyberspazio

Come detto, il fenomeno in crescita dell’hactkivism è dovuto anche ai conflitti che stanno scuotendo il mondo. Realtà come Akamai, che gestiscono le principali CDN a livello globale, hanno una grande visibilità su queste operazioni e grazie alla propria piattaforma, l’azienda è anche in grado di anticipare quelli che saranno i trend, “capire se un gruppo di attaccanti si sta spostando verso uno specifico bersaglio o continente”. Questo perché se un dato fenomeno si verifica in Cina o nel Nord America, per esempio, è probabile che possa arrivare anche in Europa. “Capire cosa succede dall'altra parte ci permette di prepararci”, afferma Dalla Vecchia. Sulla base di queste informazioni, poi, Akamai costruisce difese che mette a disposizione di tutti gli utenti della propria rete. Per esempio, l’azienda di recente ha “bloccato centinaia di miliardi di richieste malevole dall'Iran verso il settore finanziario nordamericano”.

Un aspetto curioso, però, è che quando si parla di attacchi informatici sponsorizzati da Stati si fa sempre riferimento ai soliti noti: Iran, Corea del Nord, Cina, Russia. I principali APT sono attivi proprio in queste regioni. Non si parla mai di quello che fa l’Occidente sul fronte cyber, se non in rari casi, come per esempio le recenti azioni di disturbo e di spionaggio contro l’Iran. Il non parlarne è una questione di prudenza, secondo Dalla Vecchia, e serve a “preservare le informazioni e le strategie che utilizziamo per contrastare le minacce”.