Was ist eine Schatten-API?

Schatten-APIs sind nicht verwaltete APIs, die ein ernsthaftes Risiko für die Unternehmen darstellen, die sie verwenden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Bedeutung von Schatten-API
  • Erfahren Sie, warum Schatten API gefährlich sind
  • Unterschied zwischen Schatten-API und Zombie-API

Link zum Artikel kopieren

Was ist eine Schatten-API?

Eine „Schatten-API“ ist eine Anwendungsprogrammierschnittstelle (Application Programming Interface, API), die nicht von der Organisation, die sie verwendet, verwaltet oder geschützt wird. Schatten-APIs werden häufig von Entwicklern und anderen Nutzern innerhalb einer Organisation eingeführt, entweder während der Anwendungsentwicklung oder um andere Geschäftsfunktionen auszuführen.

Schatten-APIs sind nicht notwendigerweise APIs, die für kriminelle Zwecke verwendet werden. Da die IT- und Sicherheitsteams eines Unternehmens sie jedoch nicht kontrollieren können, ist es unmöglich, sie vor neuen Sicherheitslücken und Angriffen zu schützen.

Warum sind Schatten-APIs gefährlich?

Obwohl Schatten-APIs nicht grundsätzlich böswillig sind, stellen sie dennoch ein relativ hohes Risiko dar. Die IT- und Sicherheitsteams eines Unternehmens sind für die Durchsetzung und Verbesserung der API-Sicherheitsstandards verantwortlich – sie können aber nur die APIs und Endpunkte schützen, die sie sehen können. Wenn es eine Abhängigkeit gibt, von der diese Teams nichts wissen, können sie die potenzielle Offenlegung von Daten nicht nachverfolgen, die Compliance nicht sicherstellen und Angriffe nicht abwehren.

Die häufigsten Risiken im Zusammenhang mit Schatten-APIs sind die folgenden:

  • Verlust der Vertraulichkeit von Daten: Schatten-APIs können auf sensible Daten zugreifen. Wenn diese APIs kompromittiert oder angegriffen werden, kann dies zur Offenlegung oder zum Diebstahl von Daten führen.
  • Laterale Bewegung: Schatten-APIs können Angreifern den Zugriff auf sensible Systeme und Konten ermöglichen. Sobald sie in die Umgebung eines Unternehmens eingedrungen sind, können sie vertrauliche Informationen stehlen oder diesen Zugang für weitere Angriffe nutzen.
  • Nicht gepatchte Schwachstellen: Unternehmen können neue API-Schwachstellen in APIs, die sie nicht bereits überwachen und verwalten, nicht patchen. Selbst wenn Schatten-APIs bereits gegen grundlegende API-Angriffe und -Risiken (wie in den OWASP API Security Top 10) geschützt sind, können neue Schwachstellen Einfallstore für Angreifer schaffen.
  • Compliance-Verstöße: Viele Organisationen unterliegen Datenschutzgesetzen (wie der DSGVO oder dem CCPA). Schatten-APIs können es Entwicklern oder anderen Nutzern ermöglichen, Daten auf eine Weise zu verarbeiten, die nicht im Einklang mit diesen Vorschriften steht, was zu Bußgeldern oder anderen schwerwiegenden Sanktionen führen kann.

Was bedeutet API-Erkennung?

API-Erkennung oder API-Discovery ist der Prozess der Katalogisierung aller internen und externen APIs, die in einer Organisation verwendet werden. Da APIs vielseitig einsetzbar sind – von der Erweiterung der Anwendungsentwicklung bis hin zur Anbindung von Microservices und anderen externen Funktionen – ist es nicht ungewöhnlich, dass Unternehmen Dutzende, wenn nicht gar Hunderte (oder Tausende) von APIs verwenden.

Mit der API-Erkennung rationalisieren Unternehmen nicht nur ihre App-Entwicklung, sondern decken auch potenzielle Schatten-APIs auf, die nicht ordnungsgemäß inventarisiert oder gesichert wurden. Aus diesem Grund ist die API-Erkennung ein wichtiger erster Schritt zur Verbesserung und Implementierung von API-Sicherheitspraktiken.

Unterschied zwischen Schatten-API und Zombie-API

Eine Schatten-API ist eine nicht verwaltete API, die aktiv genutzt wird. Im Gegensatz dazu ist eine Zombie-API eine veraltete oder nicht mehr verwendete API. Im Gegensatz zu Schatten-APIs können Zombie-APIs bekannt sein und verwaltet werden, werden aber nicht aktiv genutzt.

Sowohl Schatten-APIs als auch Zombie-APIs stellen ein ernsthaftes Risiko für Unternehmen dar, die mit ihnen interagieren, da sie in der Regel ungesichert bleiben und kompromittiert oder für Angriffe genutzt werden können.

Wie schützt Cloudflare vor Schatten-API?

Cloudflare API Gateway enthält eine API-Erkennungsfunktion, die alle API-Endpunkte automatisch erkennt, überwacht und sichert. Eingehende Anfragen werden anhand eines OpenAPI-Schemas validiert. So werden nicht konforme Anfragen blockiert und ein positives Sicherheitsmodell durchgesetzt. Erfahren Sie mehr über die Funktionsweise der Cloudflare API-Erkennung.