Por que as APIs Zombie e Shadow APIs são tão assustadoras?

Pergunta: Qual é a diferença entre APIs zumbis e APIs sombra?

Nick Rago, CTO de campo, Salt Security: APIs zumbis e APIs sombras representam subprodutos de um desafio maior que as empresas estão lutando para enfrentar hoje: a expansão de APIs.

À medida que as empresas procuram maximizar o valor comercial associado às APIs, as APIs proliferaram. A transformação digital, a modernização de aplicativos para microsserviços, as arquiteturas de aplicativos API-first e os avanços nos métodos rápidos de implantação contínua de software alimentaram o crescimento em alta velocidade do número de APIs criadas e em uso pelas organizações. Como resultado dessa rápida produção de APIs, a expansão das APIs se manifestou em diversas equipes que utilizam diversas plataformas tecnológicas (herdadas, Kubernetes, VMs, etc.) em diversas infraestruturas distribuídas (data centers locais, diversas nuvens públicas, etc.) . Entidades indesejadas, como APIs zumbis e APIs sombras, surgem quando as organizações não possuem as estratégias adequadas para gerenciar a expansão de APIs.

Simplificando, uma API zumbi é uma API exposta ou um endpoint de API que foi abandonado, desatualizado ou esquecido. A certa altura, a API serviu uma função. No entanto, essa função pode não ser mais necessária ou a API foi substituída/atualizada por uma versão mais recente. Quando uma organização não possui controles adequados sobre controle de versão, descontinuação e desativação de APIs antigas, essas APIs podem permanecer indefinidamente – daí o termo zumbi.

Por serem essencialmente esquecidas, as APIs zumbis não recebem nenhum patch, manutenção ou atualização contínua em qualquer capacidade funcional ou de segurança. Portanto, as APIs zumbis tornam-se um risco à segurança. Na verdade, “Estado da segurança da API” O relatório nomeia APIs zumbis como a principal preocupação de segurança de APIs das organizações em suas últimas quatro pesquisas.

Em contraste, uma API shadow é uma API exposta ou um endpoint de API cuja criação e implantação foram feitas “sob o radar”. As APIs Shadow foram criadas e implantadas fora da governança, visibilidade e controles de segurança oficiais da API de uma organização. Consequentemente, podem representar uma ampla variedade de riscos de segurança, incluindo:

• A API pode não ter autenticação adequada e portas de acesso instaladas.
• A API pode estar expondo dados confidenciais de forma inadequada.
• A API pode não estar aderindo às práticas recomendadas do ponto de vista de segurança, tornando-a vulnerável a muitos dos Top 10 de segurança da API OWASP ameaças de ataque.

Vários fatores motivadores estão por trás do motivo pelo qual um desenvolvedor ou equipe de aplicativo deseja implantar uma API ou endpoint rapidamente; no entanto, uma estratégia rigorosa de governança de API deve ser seguida para impor controles e processos sobre como e quando uma API é implantada, independentemente da motivação.

Além dos riscos, a expansão das APIs e o surgimento de APIs zumbis e sombras vão além das APIs desenvolvidas internamente. APIs de terceiros implantadas e utilizadas como parte de aplicativos empacotados, serviços baseados em SaaS e componentes de infraestrutura também podem apresentar problemas se não forem adequadamente inventariadas, governadas e mantidas.

APIs zumbi e sombra representam semelhantes riscos de segurança. Dependendo dos controles de API existentes em uma organização (ou da falta deles), um pode ser menos ou mais problemático que o outro. Como primeiro passo para enfrentar os desafios das APIs zumbis e sombras, as organizações devem usar uma tecnologia adequada de descoberta de API para ajudar a inventariar e compreender todas as APIs implantadas em suas infraestruturas. Além disso, as organizações devem adotar uma estratégia de governança de APIs que padronize como as APIs são construídas, documentadas, implantadas e mantidas — independentemente da equipe, da tecnologia e da infraestrutura.