O que é Shadow APIs e porque são tão perigosas

As Shadow APIs são um risco crescente para organizações de todos os tamanhos, pois podem mascarar comportamentos maliciosos e induzir perdas substanciais de dados.

Compartilhe

O que é Shadow APIs e porque são tão perigosas

As Shadow APIs são um risco crescente para organizações de todos os tamanhos, pois podem mascarar comportamentos maliciosos e induzir perdas substanciais de dados. Para aqueles que não estão familiarizados com o termo, as APIs de sombra são um tipo de interface de programação de aplicativo (API) que não é oficialmente documentada ou suportada.

Infelizmente é muito comum ter APIs em produção que ninguém em suas operações ou equipes de segurança conhece. As empresas gerenciam milhares de APIs, muitas das quais não são roteadas por meio de um proxy, como um gateway de API ou firewall de aplicativo da web. Isso significa que eles não são monitorados, raramente são auditados e são os mais vulneráveis.

Como não são visíveis para as equipes de segurança, as APIs de sombra fornecem aos hackers um caminho indefeso para explorar vulnerabilidades. Essas APIs podem ser potencialmente manipuladas por atores mal-intencionados para obter acesso a uma variedade de informações confidenciais, desde endereços de clientes até registros financeiros da empresa. Considerando o potencial de vazamento substancial de dados e graves violações de conformidade, impedir o acesso não autorizado por meio de APIs de sombra tornou-se uma missão crítica.

Para ajudá-lo a começar, explorarei como as APIs ficam ocultas e discutirei como as APIs de sombra podem ser usadas para fins maliciosos. Você também aprenderá a importância de monitorar o uso e o tráfego da API, bem como identificar APIs de sombra e mitigar riscos com controles de segurança específicos.

Como as APIs ficam ocultas

Vários fatores podem contribuir para a falta de visibilidade da API, incluindo gerenciamento inadequado da API, falta de governança e documentação inadequada. Sem governança suficiente, as organizações correm o risco de ter um número excessivo de APIs que não estão sendo utilizadas de forma eficaz.

Uma parte significativa das APIs de sombra é causada pelo desgaste de funcionários. Francamente, os desenvolvedores não compartilham todo o conhecimento tribal quando partem para novas oportunidades. E com o mercado de trabalho do desenvolvedor tão quente quanto está, é fácil ver como isso pode acontecer. Especialmente quando você considera em quantos projetos eles estão trabalhando. Mesmo os funcionários com as melhores intenções perderão algo durante a transferência.

Existem também APIs que foram repassadas como resultado de uma fusão ou aquisição que muitas vezes são esquecidas. A perda de estoque pode ocorrer durante a integração do sistema, que é uma operação difícil e complicada, ou é possível que nenhum estoque existisse. Corporações maiores que adquirem várias empresas menores estão particularmente em risco, pois empresas menores têm maior probabilidade de ter APIs documentadas inadequadamente.

Outro culpado são as APIs com pouca segurança ou uma vulnerabilidade conhecida ainda em uso. Às vezes, uma versão mais antiga do software pode ter que ser executada ao lado de uma mais recente por um tempo durante as atualizações. Então, infelizmente, a pessoa encarregada de desativar a API, sai, recebe uma nova tarefa ou esquece de excluir a versão anterior.

Como os hackers utilizam as Shadow APIs

As Shadow APIs são uma ferramenta poderosa para atores mal-intencionados, permitindo que eles ignorem as medidas de segurança e obtenham acesso a dados confidenciais ou interrompam as operações. Os hackers podem usar APIs de sombra para realizar vários ataques, como exfiltração de dados, sequestro de contas e escalonamento de privilégios. Eles também podem ser usados para fins de reconhecimento, reunindo informações sobre sistemas e redes críticas de um alvo.

Como se isso não fosse perigoso o suficiente, os hackers podem evitar os controles de autenticação e autorização por meio de APIs de sombra para acessar contas privilegiadas que podem ser usadas para lançar ataques mais sofisticados. Tudo sem o conhecimento da equipe de segurança da organização. Por exemplo, os ataques de API também começaram a surgir na indústria automotiva, colocando os motoristas e seus passageiros em risco extremo.

Ao explorar as APIs, os cibercriminosos podem recuperar dados confidenciais do cliente, como endereço, informações de cartão de crédito de cotações de vendas e números VIN – informações com implicações óbvias para roubo de identidade. Essas vulnerabilidades de API exploradas também podem expor a localização do veículo ou permitir que os hackers comprometam os sistemas de gerenciamento remoto. Isso significa que os cibercriminosos teriam a capacidade de desbloquear veículos, ligar os motores ou até mesmo desabilitar os motores de partida.

À medida que as organizações se tornam cada vez mais dependentes de serviços baseados em nuvem, torna-se cada vez mais importante para elas descobrir APIs de sombra para proteger seus dados e sistemas de agentes mal-intencionados.

Como identificar e mitigar os riscos da Shadow API

A identificação de APIs de sombra é uma parte importante da segurança da API. Envolve descobrir todas as APIs em execução em seu ambiente, entender sua finalidade e garantir que sejam seguras. Isso pode ser feito por meio de ferramentas de descoberta de API que verificam todas as APIs em execução em um ambiente e fornecem informações detalhadas sobre elas.

Ao usar essas ferramentas, as organizações podem identificar quaisquer APIs de sombra que possam existir em seu ambiente e tomar medidas para protegê-las antes que se tornem um risco maior à segurança. Isso pode incluir o monitoramento do tráfego de rede em busca de atividades suspeitas, a realização de verificações regulares de vulnerabilidade e a garantia de que todas as solicitações de API sejam autenticadas.

Uma vez identificadas, as organizações devem implementar medidas para mitigar os riscos associados a essas APIs, como implementação de criptografia de dados, restrição de privilégios de acesso e aplicação de políticas de segurança. Além disso, as organizações também devem garantir que tenham sistemas de registro adequados para que qualquer tentativa de acesso não autorizado possa ser rapidamente identificada e abordada.