O maior vetor de ataque na maioria das organizações são APIs não gerenciadas e não seguras. Aquelas que você não conhece hoje. Aquelas que não estão em seu inventário de ativos de API. Sejam chamadas de zombies, shadow APIs ou ativos legados, a corrida é para que você descubra e evite essas antes que os hackers o façam.
As APIs não gerenciadas são seu maior risco de segurança
Uma pesquisa recente relata que a segurança é o principal desafio enfrentado pelas empresas com APIs.
Isso não é algo que você pode se dar ao luxo de ignorar. O custo médio de uma violação de segurança de API hoje é de mais de R$ 30 milhões, incluindo o dano à reputação de uma organização. E isso está prestes a dobrar até 2030.
Entendendo as APIs perdidas
Shadow APIs, Zombie APIs e Legacy APIs são conceitos ligeiramente diferentes, mas todos representam elementos desatualizados ou não autorizados dentro do ecossistema de API de uma organização. Aqui está uma visão geral rápida para entender melhor essas APIs perdidas:
Um zombie API é uma API que está desatualizada, não é mais suportada ou foi depreciada, mas ainda está em uso por alguns sistemas ou aplicativos. É chamada de “zombie” porque, como um zumbi na cultura popular, está tecnicamente morta, mas ainda está de alguma forma vagando por aí causando problemas.
Você também pode ter ouvido o termo shadow APIs. A principal diferença com as APIs zombies é que as shadow APIs estão sendo usadas ativamente – elas simplesmente não são bem conhecidas, catalogadas ou gerenciadas pela empresa. Essas APIs são frequentemente desenvolvidas por equipes ou departamentos individuais para atender a necessidades específicas, mas podem não ter documentação, medidas de segurança ou integração adequada com os sistemas existentes.
As Zombie APIs geralmente são depreciadas, mas não foram devidamente descartadas.
Legacy APIs, por outro lado, são APIs que foram oficialmente depreciadas ou substituídas por versões mais recentes ou soluções alternativas – mas ainda estão em uso por alguns aplicativos ou sistemas.
Todas essas APIs perdidas podem carecer de atualizações, correções de bugs ou patches de segurança, representando riscos potenciais para sistemas que continuam a depender delas. Elas também podem criar problemas de compatibilidade e dificultar o desenvolvimento de soluções mais novas e eficientes.
Crie uma prática comum de ciclo de vida de API
Um primeiro passo para reduzir as APIs perdidas é definir um ciclo de vida que possa ser adotado por sua organização. Isso envolve definir uma série bem documentada de estágios pelos quais uma API progride.
Aqui está um conjunto comum:
- Definir
- Projetar
- Desenvolver
- Testar
- Assegurar
- Implantar
- Distribuir
- Observar/Monitorar
- Versionar
- Aposentar
Isso dá estrutura e rastreamento para onde suas APIs estão em qualquer momento dado e ajuda a garantir que nenhuma API seja deixada para trás.
Crie um registro para todos os seus ativos de API
Precisa haver um lugar onde todas as suas APIs sejam governadas. Este é o catálogo mestre ou registro de ativos – um marketplace de APIs.
A descoberta de ativos é automatizada por agentes leves que ficam ao lado de seus gateways, plataformas e repositórios e descobrem todos os ativos de API. Você pode então decidir quais produzir e publicar para um público específico.
Isso fornece aos desenvolvedores um único lugar para descobrir, assinar e rastrear o uso de todas as APIs, independentemente de qual equipe as construiu, qual fornecedor as hospeda ou quais políticas de segurança estão em vigor.
Verifique em relação à sua política de segurança
Você precisa de um sistema que verifique APIs descobertas em relação às suas políticas de segurança (você tem políticas de segurança… certo?) onde serão classificadas e fornecerão explicações sobre o que precisa ser corrigido para uma nota mais alta.
Essa capacidade é conhecida como linting, e automatiza a identificação de problemas sem intervenção manual. O Amplify da Axway, por exemplo, utiliza as capacidades de linting open source do Spectral fornecidas pelo Stoplight para impulsionar este serviço.
Automatize o processo de implantação da API
Não dependa apenas dos desenvolvedores de API para segurança (uma das principais causas de zombies em primeiro lugar). Automatize o máximo possível do processo.
Com pipelines de CI/CD, você pode automatizar a descoberta, catalogação e verificação de linting de suas APIs como parte do processo de implantação padrão.
Isso pode ser realizado independentemente de estar usando gateways Amplify da Axway ou gateways de nuvem como AWS e Azure. Isso ajuda a garantir que você pare a criação de novas APIs zombies.
Encontre todas as suas APIs
Por definição, você não sabe onde estão as APIs perdidas em sua organização. Elas caem fora do escopo de seus processos e ferramentas definidos. Para descobri-las, você deve ir além do “padrão” e começar a escanear sua rede na tentativa de localizá-las.
Existem muitas ferramentas para escolher, mas todas enfrentam o mesmo problema: como diferenciar o tráfego bom do tráfego ruim?
Ferramentas de varredura de segurança usam algoritmos para identificar padrões comuns como ataques de negação de serviço ou ataques de força bruta e impedir que eles ocorram. Elas são boas em capturar e registrar toda a atividade da API (GETs, PUTs, etc.).
O problema com as APIs perdidas é que elas se comportam exatamente da mesma forma que APIs válidas e gerenciadas. É aqui que empresas como a Axway podem ajudar a preencher essa lacuna.
A plataforma Amplify, por exemplo, oferece um único plano de governança para todas as APIs em sua organização, fornecendo uma fonte única de verdade em relação aos seus ativos digitais. Elas podem ser implantadas diretamente em cima de gateways ou de locais centrais dentro de segmentos de rede que permitem o acesso a gateways ou sistemas que se comunicam via APIs.
Nenhuma API deixada para trás: como remediar APIs perdidas
Uma vez que você encontre as APIs zombies, shadow ou legadas, você precisa priorizar para remediação.
- Determine aquelas que oferecem o maior risco por causa das informações que expõem ou pelo volume de tráfego que estão gerando.
- Encontre a equipe que criou e/ou está hospedando a API e eduque-os sobre o risco e sua política de segurança para lidar com isso.
- Decida se precisa ser mantida ou desativada.
- Se mantida, proteja a API. Isso geralmente envolve colocá-la atrás de um gateway de API com criptografia, autenticação e autorização (Amplify pode fornecer esse gateway, se necessário).
- Contate e eduque os consumidores da API e transfira-os para as novas APIs gerenciadas.
- Desative e remova a API não gerenciada.
.
Autor
Colaborador: William McKinney
Diretor Sênior de Marketing de Plataforma na Axway
