As APIs desempenham um papel central no software moderno ao permitir que sistemas leiam e escrevam entre si. Elas são amplamente utilizadas nas operações de negócios para aumentar a funcionalidade. Por exemplo, os desenvolvedores podem usar a API REST do Jira para permitir que os usuários criem tickets do Jira dentro de uma aplicação Slack.
Shadow API refere-se a qualquer API implementada por desenvolvedores que não seja protegida, registrada ou monitorada pela equipe de TI de uma organização. As Shadow APIs representam uma séria ameaça à segurança, pois abrem vetores de ataque que podem levar a ataques (como no caso do vazamento de API da PandaBuy) e ineficiências do sistema.
Este artigo explica o que são Shadow APIs, destacando os riscos associados a elas. Também vamos mostrar como identificá-las e mitigar seus riscos usando ferramentas de descoberta e inventário.
O que é uma Shadow API?
Uma Shadow API é uma API criada sem qualquer envolvimento ou supervisão da equipe de segurança ou de TI. Essas APIs não são necessariamente maliciosas. Os desenvolvedores provavelmente as criam visando maior rapidez e conveniência, ignorando os riscos inerentes de burlar os processos de TI organizacionais estabelecidos para aquisição e gerenciamento de software.
APIs tradicionais vs. Shadow APIs
Em uma organização, uma API tradicional com gerenciamento adequado possui documentação e governança. A equipe de TI aprovou a API e pode rastrear e monitorar seu perfil de risco. A documentação facilita a colaboração — outros membros da organização também podem usar a API — e a governança auxilia a organização em auditorias de conformidade e certificações.
Por outro lado, as Shadow APIs surgem dentro das organizações quando:
A documentação da API e os processos de registro são excessivamente complexos.
Os desenvolvedores desconhecem os requisitos de segurança e conformidade da API ao desenvolver uma nova API.
Faltam documentação formal de API e processos de gerenciamento.
A falta de supervisão das Shadow APIs significa que elas podem não ser padronizadas, não estar em conformidade com os padrões e serem inseguras, introduzindo riscos significativos para a postura de segurança de uma organização.
Relatório de Investigação de Ameaças 2024
No Relatório de Investigação de Ameaças 2024 da CrowdStrike, a CrowdStrike revela as mais recentes táticas de mais de 245 adversários modernos e mostra como esses adversários continuam a evoluir e emular o comportamento de usuários legítimos. Obtenha insights para ajudar a impedir ataques aqui.
Baixe agoraRiscos associados às Shadow APIs
As Shadow APIs expõem as organizações a uma série de riscos, incluindo vulnerabilidades de segurança, problemas de conformidade e interrupções operacionais.
Vulnerabilidades de segurança
As Shadow APIs podem não apresentar determinadas medidas de segurança, e a falta de supervisão dentro de uma organização pode introduzir vulnerabilidades significativas. Por exemplo, uma API sem MFA configurada pode permitir que invasores usem credenciais vulneráveis para obter acesso. Outro exemplo seria uma API que executa código com uma vulnerabilidade conhecida, permitindo que um invasor que se depare com a Shadow API cause estragos. Essas vulnerabilidades criam a possibilidade de comprometimentos de dados e acesso não autorizado.
Questões de conformidade
Outro motivo pelo qual toda API usada em uma organização deve fazer parte de um sistema de gerenciamento de APIs e ter a documentação associada é para que a organização possa cumprir os requisitos regulatórios. A descoberta de APIs não documentadas durante uma auditoria pode resultar em penalidades significativas, incluindo multas e revogação de certificações. No caso do FedRAMP, por exemplo, o não cumprimento das normas pode levar à perda de contratos governamentais e de clientes.
Interrupções operacionais
Se os sistemas dependerem de APIs não documentadas e não monitoradas, o desempenho e a confiabilidade deles poderão ser prejudicados. Por exemplo, considere um processo de negócio crítico que utiliza uma Shadow API. Caso essa API falhe, identificar a origem do problema pode ser extremamente difícil, visto que a API não é documentada e é desconhecida. Essa complexidade afeta a eficácia da resposta a incidentes e a resolução de problemas, resultando em períodos prolongados de tempo de inatividade e interrupção dos negócios.
Identificando as Shadow APIs
Considerando esses riscos, que medidas você pode adotar para identificar a presença de Shadow APIs em sua organização?
Utilize ferramentas de descoberta de APIs: aproveite ferramentas específicas para descobrir APIs que não estão rastreadas em nenhuma forma de gerenciamento de inventário de APIs. Um exemplo disso é o Salt, uma ferramenta de descoberta de APIs automatizada e de fácil implementação, capaz de encontrar Shadow APIs.
Implemente um inventário de APIs: sistemas criados para gerenciar inventários de APIs, como o Postman ou o MuleSoft, oferecem às organizações um sistema único para registrar e documentar APIs. Os inventários de APIs são essenciais para relatórios de conformidade e fornecem um painel central para os desenvolvedores, facilitando a identificação de problemas e a integração com APIs existentes.
Realize descoberta e avaliação contínuas: os desenvolvedores podem implementar uma nova API a qualquer momento, por isso é importante que as ferramentas de descoberta sejam executadas continuamente para verificar novas APIs ou APIs antigas que não são mais usadas. Realize avaliações regulares para que a introdução de novas APIs não comprometa sua postura regulatória ou excelência operacional.
Mitigando os riscos das Shadow APIs
Mitigar os riscos associados às Shadow APIs é um componente essencial das práticas modernas de cibersegurança. As práticas a seguir podem ajudar sua organização nessa iniciativa.
Prática nº 1: estabeleça políticas de governança
As organizações que desejam se proteger contra Shadow APIs podem começar desenvolvendo diretrizes de desenvolvimento e uso de APIs. Por exemplo, introduza um processo padronizado para a implementação de novas APIs. Esse processo deve envolver um registro junto à equipe de TI e/ou segurança e a elaboração da documentação da API. Outro passo importante é implementar um framework de gerenciamento de APIs. Isso facilitará a visualização de todas as APIs em um só lugar e o registro de novas.
Prática nº 2: adote práticas recomendadas de segurança
Realize avaliações regulares da sua infraestrutura de API. Isso pode incluir testes de penetração, bem como avaliações de processos, como garantir que a varredura de dependências seja implementada em toda a organização. É importante garantir que práticas recomendadas básicas de segurança estejam implementadas em todas as suas APIs. Isso inclui:
Exigir senhas fortes.
Exigir MFA.
Garantir tempos de expiração razoáveis para os tokens.
Adotar o princípio do privilégio mínimo.
Prática nº 3: implemente monitoramento e registro adequados
O monitoramento de APIs em tempo real é vital para estabelecer uma linha de base de uso, o que pode ajudar as equipes de segurança a detectar e alertar sobre atividades suspeitas (como uma API sendo chamada de um local incomum ou em horários estranhos). O registro de logs é uma maneira simples de rastrear chamadas e uso da API e pode ajudar os desenvolvedores e a equipe de segurança a depurar problemas à medida que eles surgem.
Lucia Stanham é Gerente Sênior de Marketing de Produtos na CrowdStrike com foco em proteção de endpoint (EDR/XDR) e IA em cibersegurança. Trabalha na CrowdStrike desde junho de 2022.
