Schatten-APIs sind nicht verwaltete APIs, die ein ernsthaftes Risiko für die Unternehmen darstellen, die sie verwenden.
Nach Lektüre dieses Artikels können Sie Folgendes:
Link zum Artikel kopieren
Eine „Schatten-API“ ist eine Anwendungsprogrammierschnittstelle (Application Programming Interface, API), die nicht von der Organisation, die sie verwendet, verwaltet oder geschützt wird. Schatten-APIs werden häufig von Entwicklern und anderen Nutzern innerhalb einer Organisation eingeführt, entweder während der Anwendungsentwicklung oder um andere Geschäftsfunktionen auszuführen.
Schatten-APIs sind nicht notwendigerweise APIs, die für kriminelle Zwecke verwendet werden. Da die IT- und Sicherheitsteams eines Unternehmens sie jedoch nicht kontrollieren können, ist es unmöglich, sie vor neuen Sicherheitslücken und Angriffen zu schützen.
Obwohl Schatten-APIs nicht grundsätzlich böswillig sind, stellen sie dennoch ein relativ hohes Risiko dar. Die IT- und Sicherheitsteams eines Unternehmens sind für die Durchsetzung und Verbesserung der API-Sicherheitsstandards verantwortlich – sie können aber nur die APIs und Endpunkte schützen, die sie sehen können. Wenn es eine Abhängigkeit gibt, von der diese Teams nichts wissen, können sie die potenzielle Offenlegung von Daten nicht nachverfolgen, die Compliance nicht sicherstellen und Angriffe nicht abwehren.
Die häufigsten Risiken im Zusammenhang mit Schatten-APIs sind die folgenden:
API-Erkennung oder API-Discovery ist der Prozess der Katalogisierung aller internen und externen APIs, die in einer Organisation verwendet werden. Da APIs vielseitig einsetzbar sind – von der Erweiterung der Anwendungsentwicklung bis hin zur Anbindung von Microservices und anderen externen Funktionen – ist es nicht ungewöhnlich, dass Unternehmen Dutzende, wenn nicht gar Hunderte (oder Tausende) von APIs verwenden.
Mit der API-Erkennung rationalisieren Unternehmen nicht nur ihre App-Entwicklung, sondern decken auch potenzielle Schatten-APIs auf, die nicht ordnungsgemäß inventarisiert oder gesichert wurden. Aus diesem Grund ist die API-Erkennung ein wichtiger erster Schritt zur Verbesserung und Implementierung von API-Sicherheitspraktiken.
Eine Schatten-API ist eine nicht verwaltete API, die aktiv genutzt wird. Im Gegensatz dazu ist eine Zombie-API eine veraltete oder nicht mehr verwendete API. Im Gegensatz zu Schatten-APIs können Zombie-APIs bekannt sein und verwaltet werden, werden aber nicht aktiv genutzt.
Sowohl Schatten-APIs als auch Zombie-APIs stellen ein ernsthaftes Risiko für Unternehmen dar, die mit ihnen interagieren, da sie in der Regel ungesichert bleiben und kompromittiert oder für Angriffe genutzt werden können.
Cloudflare API Gateway enthält eine API-Erkennungsfunktion, die alle API-Endpunkte automatisch erkennt, überwacht und sichert. Eingehende Anfragen werden anhand eines OpenAPI-Schemas validiert. So werden nicht konforme Anfragen blockiert und ein positives Sicherheitsmodell durchgesetzt. Erfahren Sie mehr über die Funktionsweise der Cloudflare API-Erkennung.