Sicurezza delle API, Akamai avvicina sviluppatori e team di sicurezza dal codice alla produzione

La sicurezza delle API è uno dei punti di maggiore pressione per i team di security aziendali. La proliferazione delle interfacce è spinta sempre di più dalle applicazioni di IA, oltre che dai servizi digitali tradizionali, e il numero di endpoint da inventariare e proteggere cresce a un ritmo che gli strumenti classici faticano a seguire. Il limite più evidente è la frammentazione: ogni piattaforma produce avvisi propri, i team lavorano per singole segnalazioni e diventa difficile sia misurare il rischio complessivo, sia tracciare progressi nel tempo.

In questo quadro Akamai ha annunciato due nuove funzionalità che cambiano il modo in cui i team misurano e governano la postura delle proprie API. La prima è il Security Posture Center, un cruscotto che traduce gli avvisi in una serie strutturata di controlli organizzati per policy. La seconda è la mappatura code-to-runtime (introdotta nell'ambito delle funzionalità API-from-code), che collega le API rilevate nel traffico ai repository di codice e agli ultimi sviluppatori che hanno modificato gli endpoint. Entrambe vanno a chiudere alcuni passaggi che fino a oggi restavano scoperti nella suite Akamai API Security.

Dalla gestione degli avvisi alla postura per policy

Il Security Posture Center sposta il centro di gravità del lavoro da una logica reattiva a una logica strutturata. Anziché muoversi sulla coda delle segnalazioni, gli analisti valutano la conformità delle proprie API a una serie di best practice raggruppate per area, ossia autenticazione, protezione dei dati e integrità degli endpoint. Ogni controllo è mappato a una policy e l'aggregazione delle policy compone una vista complessiva, che consente di misurare lo scostamento rispetto a un livello di riferimento e di seguire i progressi nel tempo. Il risultato è uno stato di sicurezza che si presta sia al lavoro operativo, sia al confronto con auditor e responsabili della governance.

La mappatura code-to-runtime affronta un altro punto critico ricorrente, ovvero la proprietà del codice. Quando un'API mostra un comportamento anomalo o emerge una vulnerabilità, il primo problema dei team è di solito risalire al responsabile dell'endpoint, al repository in cui vive il codice e allo sviluppatore che ha apportato l'ultima modifica. Akamai automatizza questo passaggio collegando l'attività osservata in runtime al codice sorgente e alla cronologia dei commit, così da consegnare allo sviluppatore il contesto necessario per riprodurre il problema e correggerlo. L'obiettivo dichiarato è la riduzione del tempo medio di mitigazione (MTTR), una metrica che nelle indagini di settore resta sensibile soprattutto alle inefficienze organizzative.

Per Oz Golan, vice president API Security di Akamai, il punto è ridefinire cosa significhi sicuro. Il Security Posture Center, sostiene il manager, traduce questa definizione in "controlli basati su policy", mentre la mappatura diretta al codice "colma una lacuna critica del settore" fra ciò che gli strumenti vedono in runtime e la responsabilità di chi ha scritto l'endpoint.

Un ciclo di vita più coperto, dall'individuazione alla risposta

Le due novità si inseriscono in un'offerta che Akamai ha costruito intorno al ciclo di vita completo delle API, articolato in quattro fasi: individuazione, test, rilevamento e risposta. L'individuazione copre anche le API shadow, quelle dimenticate o orfane (zombie) e le interfacce generate dall'integrazione con modelli e agenti di IA, comprese quelle che si appoggiano a server Model Context Protocol (MCP), uno standard che sta emergendo nel mondo agentico. La fase di test conta oltre 150 controlli dinamici che possono essere richiamati nelle pipeline CI/CD per intervenire prima che il codice arrivi in produzione. Il rilevamento poggia sull'analisi continua del traffico nord-sud ed est-ovest, mentre la risposta passa per il blocco automatico, l'integrazione con WAF (web application firewall) e SIEM e l'apertura di ticket nei sistemi di gestione interni.

L'offerta è disponibile come piattaforma indipendente dalla rete sottostante, in grado di operare con CDN, WAF e gateway di terze parti in ambienti ibridi e multi-cloud, e si integra con le altre componenti di sicurezza applicativa di Akamai come l'App & API Protector. Per chi non vuole portare la gestione interamente in casa è disponibile un servizio gestito, che affianca il team Akamai al SOC (security operations center) del cliente.

Tra le implementazioni di riferimento l'azienda cita una banca tedesca che protegge 6 miliardi di chiamate API al mese, oltre a casi in ambito sanitario come Novant Health. L'orientamento alla scala e alla governance, più che alla difesa del singolo incidente, è coerente con la direzione che il mercato della sicurezza API sta prendendo, dove la richiesta dei CISO si sta spostando dalla risposta puntuale al monitoraggio continuo della superficie esposta.

Con questi due tasselli Akamai prova a ricomporre la frammentazione che oggi pesa sui team di sicurezza: una postura misurabile per policy e un legame diretto fra traffico osservato e responsabilità del codice. Due passaggi che contano soprattutto nelle organizzazioni dove il numero delle API è cresciuto più rapidamente della capacità di documentarle e di assegnarne la proprietà.