¿Por qué las API Zombie y las API Shadow son tan aterradoras?

Pregunta: ¿Cuál es la diferencia entre las API zombies y las API ocultas?

Nick Rago, director de tecnología de campo, Salt Security: Las API zombis y las API en la sombra representan subproductos de un desafío mayor que las empresas luchan por abordar hoy en día: la expansión de las API.

A medida que las empresas buscan maximizar el valor comercial asociado con las API, las API han proliferado. La transformación digital, la modernización de las aplicaciones a microservicios, las arquitecturas de aplicaciones basadas en API y los avances en los métodos rápidos y continuos de implementación de software han impulsado el crecimiento a alta velocidad del número de API creadas y en uso por las organizaciones. Como resultado de esta rápida producción de API, la expansión de API se ha manifestado en múltiples equipos que aprovechan múltiples plataformas tecnológicas (heredadas, Kubernetes, VM, etc.) en múltiples infraestructuras distribuidas (centros de datos locales, múltiples nubes públicas, etc.) . Entidades no deseadas, como las API zombies y las API ocultas, surgen cuando las organizaciones no cuentan con las estrategias adecuadas para gestionar la expansión de las API.

En pocas palabras, una API zombie es una API expuesta o un punto final de API que ha quedado abandonado, obsoleto u olvidado. En un momento, la API cumplió una función. Sin embargo, es posible que esa función ya no sea necesaria o que la API haya sido reemplazada/actualizada con una versión más nueva. Cuando una organización no cuenta con controles adecuados sobre el control de versiones, la desaprobación y la desactivación de API antiguas, esas API pueden permanecer indefinidamente, de ahí el término zombi.

Debido a que están esencialmente olvidadas, las API zombies no reciben ningún parche, mantenimiento o actualización continua en ninguna capacidad funcional o de seguridad. Por tanto, las API zombies se convierten en un riesgo para la seguridad. De hecho, el “Estado de la seguridad de las APIEl informe nombra a las API zombis como la principal preocupación de seguridad de API de las organizaciones en sus últimas cuatro encuestas.

Por el contrario, una API oculta es una API expuesta o un punto final de API cuya creación e implementación se realizaron "bajo el radar". Las API ocultas se han creado e implementado fuera de los controles de seguridad, visibilidad y gobernanza de API oficiales de una organización. En consecuencia, pueden plantear una amplia variedad de riesgos de seguridad, que incluyen:

• Es posible que la API no tenga puertas de acceso y autenticación adecuadas.
• Es posible que la API esté exponiendo datos confidenciales de forma incorrecta.
• Es posible que la API no cumpla con las mejores prácticas desde el punto de vista de la seguridad, lo que la hace vulnerable a muchas de las Top 10 de seguridad API de OWASP amenazas de ataque.

Varios factores motivadores explican por qué un desarrollador o equipo de aplicaciones querría implementar una API o un punto final rápidamente; sin embargo, se debe seguir una estrategia estricta de gobernanza de API para hacer cumplir los controles y procesos sobre cómo y cuándo se implementa una API, independientemente de la motivación.

Además de los riesgos, la expansión de las API y la aparición de API zombis y en la sombra se extienden más allá de las API desarrolladas internamente. Las API de terceros implementadas y utilizadas como parte de aplicaciones empaquetadas, servicios basados ​​en SaaS y componentes de infraestructura también pueden presentar problemas si no se inventarian, gobiernan y mantienen adecuadamente.

Las API de zombies y sombras presentan una postura similar los riesgos de seguridad. Dependiendo de los controles API existentes en una organización (o de la falta de ellos), uno puede ser menos o más problemático que el otro. Como primer paso para abordar los desafíos de las API zombis y en la sombra, las organizaciones deben utilizar una tecnología de descubrimiento de API adecuada para ayudar a inventariar y comprender todas las API implementadas en sus infraestructuras. Además, las organizaciones deben adoptar una estrategia de gobernanza de API que estandarice cómo se construyen, documentan, implementan y mantienen las API, independientemente del equipo, la tecnología y la infraestructura.