Vraag: Wat is het verschil tussen zombie-API's en schaduw-API's?
Nick Rago, veld-CTO, Salt Security: Zombie-API's en schaduw-API's vertegenwoordigen bijproducten van een grotere uitdaging waarmee bedrijven vandaag de dag moeite hebben om het hoofd te bieden: API-wildgroei.
Terwijl bedrijven proberen de bedrijfswaarde van API’s te maximaliseren, zijn API’s in opkomst. Digitale transformatie, app-modernisering naar microservices, API-first app-architecturen en vooruitgang in snelle, continue software-implementatiemethoden hebben de snelle groei van het aantal API's dat door organisaties wordt gecreëerd en gebruikt, aangewakkerd. Als resultaat van deze snelle API-productie heeft de API-wildgroei zich gemanifesteerd in meerdere teams die gebruikmaken van meerdere technologieplatforms (legacy, Kubernetes, VM's, enz.) over meerdere gedistribueerde infrastructuren (on-premises datacenters, meerdere openbare clouds, enz.) . Ongewenste entiteiten zoals zombie-API's en schaduw-API's ontstaan wanneer organisaties niet over de juiste strategieën beschikken om de wildgroei van API's te beheersen.
Simpel gezegd is een zombie-API een blootgestelde API of een API-eindpunt dat verlaten, verouderd of vergeten is. Op een gegeven moment vervulde de API een functie. Het kan echter zijn dat die functie niet meer nodig is of dat de API vervangen/geüpdatet is door een nieuwere versie. Wanneer een organisatie niet over de juiste controles beschikt rond versiebeheer, het afschaffen en beëindigen van oude API's, kunnen deze API's voor onbepaalde tijd blijven bestaan - vandaar de term zombie.
Omdat ze in wezen vergeten worden, ontvangen zombie-API's geen voortdurende patches, onderhoud of updates in welke functionele of beveiligingscapaciteit dan ook. Daarom worden de zombie-API's een veiligheidsrisico. Sterker nog, de “Staat van API-beveiligingHet rapport noemt zombie-API's als grootste zorg voor API-beveiliging van organisaties in de afgelopen vier onderzoeken.
Een schaduw-API is daarentegen een blootgestelde API of een API-eindpunt waarvan de creatie en implementatie ‘onder de radar’ zijn uitgevoerd. Schaduw-API's zijn gemaakt en geïmplementeerd buiten de officiële API-beheer-, zichtbaarheids- en beveiligingscontroles van een organisatie. Bijgevolg kunnen ze een breed scala aan veiligheidsrisico's met zich meebrengen, waaronder:
- De API beschikt mogelijk niet over de juiste authenticatie- en toegangspoorten.
- Het is mogelijk dat de API gevoelige gegevens op onjuiste wijze openbaar maakt.
- De API houdt zich mogelijk niet aan de best practices vanuit beveiligingsoogpunt, waardoor deze kwetsbaar is voor veel van de OWASP API-beveiliging Top 10 bedreigingen aanvallen.
Er zijn een aantal motiverende factoren waarom een ontwikkelaar of app-team snel een API of eindpunt zou willen implementeren; er moet echter een strikte API-governancestrategie worden gevolgd om controles en processen af te dwingen over hoe en wanneer een API wordt geïmplementeerd, ongeacht de motivatie.
Wat de risico's nog groter maakt, is dat de wildgroei van API's en de opkomst van zombie- en schaduw-API's verder reiken dan alleen intern ontwikkelde API's. API's van derden die worden ingezet en gebruikt als onderdeel van pakketapplicaties, SaaS-gebaseerde services en infrastructuurcomponenten kunnen ook problemen veroorzaken als ze niet op de juiste manier worden geïnventariseerd, beheerd en onderhouden.
Zombie- en schaduw-API's zijn vergelijkbaar veiligheidsrisico's. Afhankelijk van de bestaande API-controles van een organisatie (of het ontbreken daarvan), kan de ene minder of meer problematisch zijn dan de andere. Als eerste stap om de uitdagingen van zombie- en schaduw-API’s aan te pakken, moeten organisaties een goede API-ontdekkingstechnologie gebruiken om alle API’s die in hun infrastructuur worden ingezet, te inventariseren en te begrijpen. Bovendien moeten organisaties een API-governancestrategie hanteren die standaardiseert hoe API’s worden gebouwd, gedocumenteerd, geïmplementeerd en onderhouden – ongeacht het team, de technologie en de infrastructuur.
