Γιατί τα Zombie API και τα Shadow API είναι τόσο τρομακτικά;

Ερώτηση: Ποια είναι η διαφορά μεταξύ των API ζόμπι και των σκιωδών API;

Nick Rago, Field CTO, Salt Security: Τα Zombie API και τα σκιώδη API αντιπροσωπεύουν παραπροϊόντα μιας μεγαλύτερης πρόκλησης που οι επιχειρήσεις αγωνίζονται να αντιμετωπίσουν σήμερα: την εξάπλωση των API.

Καθώς οι εταιρείες επιδιώκουν να μεγιστοποιήσουν την επιχειρηματική αξία που σχετίζεται με τα API, τα API έχουν πολλαπλασιαστεί. Ο ψηφιακός μετασχηματισμός, ο εκσυγχρονισμός εφαρμογών σε μικροϋπηρεσίες, οι αρχιτεκτονικές εφαρμογών πρώτης εφαρμογής API και οι εξελίξεις στις μεθόδους ταχείας συνεχούς ανάπτυξης λογισμικού έχουν τροφοδοτήσει τη γρήγορη αύξηση του αριθμού των API που δημιουργούνται και χρησιμοποιούνται από οργανισμούς. Ως αποτέλεσμα αυτής της ταχείας παραγωγής API, η εξάπλωση των API έχει εκδηλωθεί σε πολλές ομάδες που αξιοποιούν πολλαπλές τεχνολογικές πλατφόρμες (παλαιού τύπου, Kubernetes, VM, κ.λπ.) σε πολλαπλές κατανεμημένες υποδομές (κέντρα δεδομένων εσωτερικής εγκατάστασης, πολλαπλά δημόσια σύννεφα κ.λπ.) . Ανεπιθύμητες οντότητες όπως τα API ζόμπι και τα σκιώδη API εμφανίζονται όταν οι οργανισμοί δεν διαθέτουν τις κατάλληλες στρατηγικές για τη διαχείριση της εξάπλωσης των API.

Με απλά λόγια, ένα API ζόμπι είναι ένα εκτεθειμένο API ή ένα τελικό σημείο API που έχει εγκαταλειφθεί, ξεπεραστεί ή ξεχαστεί. Σε ένα σημείο, το API εξυπηρετούσε μια λειτουργία. Ωστόσο, αυτή η λειτουργία ενδέχεται να μην χρειάζεται πλέον ή το API έχει αντικατασταθεί/ενημερωθεί με μια νεότερη έκδοση. Όταν ένας οργανισμός δεν διαθέτει κατάλληλους ελέγχους σχετικά με την έκδοση, την κατάργηση και την κατάργηση των παλαιών API, αυτά τα API ενδέχεται να παραμείνουν επ' αόριστον — ως εκ τούτου, ο όρος ζόμπι.

Επειδή είναι ουσιαστικά ξεχασμένα, τα API ζόμπι δεν λαμβάνουν καμία συνεχή ενημέρωση κώδικα, συντήρηση ή ενημερώσεις σε οποιαδήποτε λειτουργική ικανότητα ή ικανότητα ασφαλείας. Επομένως, τα API ζόμπι γίνονται κίνδυνος ασφαλείας. Στην πραγματικότητα, η Salt Security's "Κατάσταση ασφάλειας APIΗ αναφορά ονομάζει τα API ζόμπι ως την υπ' αριθμόν 1 ανησυχία για την ασφάλεια των API των οργανισμών στις τελευταίες τέσσερις έρευνες.

Αντίθετα, ένα σκιερό API είναι ένα εκτεθειμένο API ή ένα τελικό σημείο API του οποίου η δημιουργία και η ανάπτυξη έγιναν «κάτω από το ραντάρ». Τα σκιώδη API έχουν δημιουργηθεί και αναπτυχθεί εκτός των επίσημων ελέγχων διαχείρισης, ορατότητας και ασφάλειας API ενός οργανισμού. Κατά συνέπεια, μπορούν να θέτουν μια μεγάλη ποικιλία κινδύνων για την ασφάλεια, όπως:

• Το API ενδέχεται να μην έχει τις κατάλληλες πύλες ελέγχου ταυτότητας και πρόσβασης.
• Το API μπορεί να εκθέτει ευαίσθητα δεδομένα εσφαλμένα.
• Το API ενδέχεται να μην συμμορφώνεται με τις βέλτιστες πρακτικές από άποψη ασφάλειας, καθιστώντας το ευάλωτο σε πολλά από τα OWASP API Security Top 10 απειλές επίθεσης.

Ένας αριθμός παραγόντων κινήτρων είναι πίσω από το γιατί ένας προγραμματιστής ή ομάδα εφαρμογής θα ήθελε να αναπτύξει γρήγορα ένα API ή τελικό σημείο. Ωστόσο, πρέπει να ακολουθείται μια αυστηρή στρατηγική διακυβέρνησης API για την επιβολή ελέγχων και επεξεργασίας σχετικά με το πώς και πότε θα αναπτυχθεί ένα API ανεξάρτητα από το κίνητρο.

Επιπρόσθετα στους κινδύνους, η εξάπλωση των API και η εμφάνιση ζόμπι και σκιωδών API εκτείνονται πέρα ​​από τα API που έχουν αναπτυχθεί εσωτερικά. Τα API τρίτων κατασκευαστών που αναπτύσσονται και χρησιμοποιούνται ως μέρος συσκευασμένων εφαρμογών, υπηρεσιών που βασίζονται σε SaaS και στοιχείων υποδομής μπορούν επίσης να δημιουργήσουν προβλήματα εάν δεν καταγράφονται, ελέγχονται και συντηρούνται σωστά.

Τα ζόμπι και τα σκιώδη API παρουσιάζουν παρόμοια στάση κινδύνους ασφάλειας. Ανάλογα με τα υπάρχοντα στοιχεία ελέγχου API ενός οργανισμού (ή την έλλειψή τους), το ένα μπορεί να είναι λιγότερο ή πιο προβληματικό από το άλλο. Ως πρώτο βήμα για την αντιμετώπιση των προκλήσεων των ζόμπι και των σκιωδών API, οι οργανισμοί πρέπει να χρησιμοποιήσουν μια κατάλληλη τεχνολογία ανακάλυψης API για να βοηθήσουν στην απογραφή και στην κατανόηση όλων των API που αναπτύσσονται στις υποδομές τους. Επιπλέον, οι οργανισμοί πρέπει να υιοθετήσουν μια στρατηγική διακυβέρνησης API που τυποποιεί τον τρόπο κατασκευής, τεκμηρίωσης, ανάπτυξης και συντήρησης των API — ανεξάρτητα από την ομάδα, την τεχνολογία και την υποδομή.