Pourquoi les API Zombie et les API Shadow sont-elles si effrayantes ?

Question : Quelle est la différence entre les API zombies et les API fantômes ?

Nick Rago, directeur technique de terrain, Salt Security : Les API zombies et les API fantômes représentent des sous-produits d'un défi plus vaste que les entreprises ont du mal à relever aujourd'hui : la prolifération des API.

Alors que les entreprises cherchent à maximiser la valeur commerciale associée aux API, les API ont proliféré. La transformation numérique, la modernisation des applications en microservices, les architectures d'applications axées sur les API et les avancées dans les méthodes de déploiement rapide et continu de logiciels ont alimenté la croissance à grande vitesse du nombre d'API créées et utilisées par les organisations. En raison de cette production rapide d'API, la prolifération des API s'est manifestée dans plusieurs équipes qui exploitent plusieurs plates-formes technologiques (héritées, Kubernetes, machines virtuelles, etc.) sur plusieurs infrastructures distribuées (centres de données sur site, plusieurs clouds publics, etc.) . Des entités indésirables telles que les API zombies et les API fantômes apparaissent lorsque les organisations n'ont pas mis en place les stratégies appropriées pour gérer la prolifération des API.

En termes simples, une API zombie est une API exposée ou un point de terminaison d'API qui est devenu abandonné, obsolète ou oublié. À un moment donné, l'API a rempli une fonction. Cependant, cette fonction peut ne plus être nécessaire ou l'API a été remplacée/mise à jour avec une version plus récente. Lorsqu'une organisation n'a pas mis en place de contrôles appropriés concernant la gestion des versions, la dépréciation et l'extinction des anciennes API, ces API peuvent persister indéfiniment - d'où le terme zombie.

Parce qu'elles sont essentiellement oubliées, les API zombies ne reçoivent aucun correctif, maintenance ou mise à jour en cours, quelle que soit leur capacité fonctionnelle ou de sécurité. Par conséquent, les API zombies deviennent un risque pour la sécurité. En fait, Salt Security «État de la sécurité des API” Le rapport nomme les API zombies comme la principale préoccupation des entreprises en matière de sécurité des API au cours de ses quatre dernières enquêtes.

En revanche, une API fantôme est une API exposée ou un point de terminaison d'API dont la création et le déploiement ont été effectués « sous le radar ». Les API fantômes ont été créées et déployées en dehors des contrôles officiels de gouvernance, de visibilité et de sécurité des API d'une organisation. Par conséquent, ils peuvent poser une grande variété de risques de sécurité, notamment :

• L'API peut ne pas avoir mis en place une authentification et des portes d'accès appropriées.
• L'API peut exposer des données sensibles de manière incorrecte.
• L'API peut ne pas respecter les meilleures pratiques du point de vue de la sécurité, ce qui la rend vulnérable à de nombreux Top 10 de la sécurité de l'API OWASP menaces d'attaque.

Un certain nombre de facteurs de motivation expliquent pourquoi un développeur ou une équipe d'application souhaite déployer rapidement une API ou un point de terminaison ; cependant, une stratégie de gouvernance d'API stricte doit être suivie pour appliquer des contrôles et traiter comment et quand une API est déployée, quelle que soit la motivation.

En plus des risques, la prolifération des API et l'émergence d'API zombies et fantômes s'étendent au-delà des API développées en interne. Les API tierces déployées et utilisées dans le cadre d'applications packagées, de services SaaS et de composants d'infrastructure peuvent également introduire des problèmes si elles ne sont pas correctement inventoriées, régies et entretenues.

Les API Zombie et Shadow se présentent de la même manière risques de sécurité. Selon les contrôles API existants d'une organisation (ou leur absence), l'un peut être moins ou plus problématique que l'autre. Comme première étape pour relever les défis des API zombies et fantômes, les organisations doivent utiliser une technologie de découverte d'API appropriée pour aider à inventorier et comprendre toutes les API déployées dans leurs infrastructures. De plus, les organisations doivent adopter une stratégie de gouvernance des API qui normalise la manière dont les API sont créées, documentées, déployées et maintenues, indépendamment de l'équipe, de la technologie et de l'infrastructure.