Что такое теневые API?

Теневые API — это сторонние API, которые не контролируются компанией, но незаметно внедряются разработчиками, стремящимися сэкономить время на повторяющихся задачах, устранить зависимость от других команд или заполнить пробел в существующем каталоге одобренных API в организации. Однако, какими бы безобидными ни были намерения этих разработчиков, эти нерегулируемые API-интерфейсы могут создавать серьезные уязвимости, если им разрешено свободно обитать в программной среде организации.

Злоумышленники часто быстро выявляют неотслеживаемые API, которые они могут заставить принимать определенные параметры, запросы данных или любые другие манипулятивные входные данные. Это позволяет злоумышленникам изменять данные этого API, получать доступ к конфиденциальным конечным точкам API и нарушать меры безопасности. Короче говоря, теневые API обеспечивают легкодоступный вход в вашу систему и конфиденциальные данные в ней.

Кроме того, злоумышленники могут использовать теневые API-интерфейсы для выполнения инвазивных действий, таких как доступ к личным учетным записям пользователей, изменение или удаление информации о пользователях или даже незаметное изменение существующих учетных данных. Это может привести к еще более серьезным проблемам с соблюдением требований, если атаки через теневые API затрагивают транзакции, подпадающие под действие HIPAA, GDPR или других важных правил защиты данных .

Как обнаружить теневые API

API-интерфейсы необходимы для разработки приложений, поскольку они обеспечивают различные функции и интеграцию данных в масштабе, а это означает, что использование теневого API всегда будет сопряжено с риском. К счастью, есть несколько приемов, которые помогут вам легко обнаружить подозрительную активность API в вашей системе:

• Мониторинг исходящих прокси. Перехватывайте каждый исходящий вызов API через прокси-серверы API . Эти исходящие прокси-серверы также записывают все журналы API, включая запросы и ответы, для поиска нераспознанных транзакций API, необычно медленного времени отклика, странных всплесков распределения ресурсов или любых других действий, которые могут указывать на присутствие теневого API.
• Принять участие в анализе журнала. Внедрение эффективных инструментов ведения журналов поможет вам внимательно следить за всеми конечными точками, API и данными ответов. Регистрируйте журналы через регулярные промежутки времени (или, в идеале, в режиме реального времени), чтобы оценивать сквозную производительность приложений и искать подозрительную активность API.
• Реализуйте живой мониторинг. Используйте инструменты или тактики мониторинга в реальном времени, чтобы последовательно идентифицировать вызовы API по мере их возникновения. Это может быть особенно полезным для автоматического определения производительности при реализации на уровне шлюза API .
• Часто сканируйте код. Вы можете обнаруживать и устранять теневые API-интерфейсы до того, как они попадут в рабочую среду, сканируя исходный код , чтобы выявить любые следы API-интерфейсов, которые не принадлежат вашей системе.

Что делать, если теневые API проникают в вашу программную систему

Даже при надлежащем мониторинге все еще существует вероятность того, что теневые API-интерфейсы найдут свой путь в вашу программную систему. Таким образом, важно иметь стратегию исправления, чтобы свести к минимуму влияние теневых API после их обнаружения. Вот некоторые вещи, которые вы можете сделать:

• Внедряйте строгие стандарты и рекомендации. Внедрите жесткий процесс фильтрации API с помощью четко определенных стандартов и руководств, регулирующих внедрение и использование. Это должно включать такие критерии, как соблюдение соответствующих правил защиты данных и любые конкретные требования к конфиденциальности пользователей, изложенные в соглашениях об уровне обслуживания.
• Установить процедуры наблюдаемости. Внедрите процессы сканирования кода и мониторинга в режиме реального времени в рамках регулярного процесса разработки, чтобы обеспечить соблюдение установленных стандартов для каждого используемого API.
• Часто проверяйте свою систему. Автоматизированные аудиты могут значительно повысить безопасность и наглядность API. Поскольку аудит — это совместная работа, все разработчики получат представление о потенциальных проблемах, связанных с теневыми API, а также о способах повышения производительности и безопасности приложений.

Инструменты для борьбы с теневыми API

Правильный инструментарий может значительно снизить риск теневых API, предоставляя надлежащие механизмы безопасности, постоянный мониторинг и более широкую наблюдаемость. Вот несколько примеров инструментов и платформ , предоставляющих возможности , необходимые для борьбы с теневыми API :  

• APIсек. Эта платформа тестирования безопасности API предоставляет инструменты сканирования уязвимостей и встроенную поддержку инициатив DevSecOps.
• Валарм. Эта платформа тестирования безопасности API ориентирована на поддержку как устаревших приложений, так и облачных API.
• Апигей Сенс. Этот поддерживаемый Google инструмент обнаружения поведения отслеживает запасы API, ключи и транзакции и автоматически анализирует аномалии.
• Воспроизвести. Этот универсальный поставщик платформы безопасности программного обеспечения предлагает инструменты для мониторинга трафика API в режиме реального времени, шифрования транзакций, автоматического управления политиками и механизмов обратного проектирования, которые снижают ущерб от атак API.