O que é uma API oculta?

As APIs ocultas são APIs não gerenciadas que apresentam sérios riscos às organizações que as utilizam.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir "API oculta"
  • Saber por que a API oculta é perigosa
  • Comparar API oculta e API zumbi

Copiar o link do artigo

O que é uma API oculta?

Uma API "oculta" refere-se a qualquer interface de programação de aplicativos (API) de terceiros que não é gerenciada ou protegida pela organização que a utiliza. Muitas vezes, os desenvolvedores e outros usuários de uma organização introduzem a API oculta , seja durante o processo de desenvolvimento de aplicativos ou para executar outras funções da empresa.

As APIs ocultas não são necessariamente usadas para fins maliciosos. No entanto, como não estão sob o controle das equipes de TI e segurança de uma organização, é impossível protegê-las contra novas vulnerabilidades e ataques.

Por que as APIs ocultas são perigosas?

Embora as APIs ocultas não sejam inerentemente maliciosas, elas podem introduzir uma quantidade razoável de riscos. As equipes de TI e segurança de uma organização são responsáveis por aplicar e aprimorar o padrão de segurança de APIs , mas só podem proteger as APIs e endpoints que podem ver. Se houver uma dependência que essas equipes não conheçam, elas não poderão rastrear a possível exposição de dados, garantir a conformidade ou bloquear ataques.

Alguns dos riscos mais comuns introduzidos pelas APIs ocultas incluem:

  • Exposição de dados: as APIs ocultas podem ter acesso a dados confidenciais.Se essas APIs forem comprometidas ou atacadas, isso pode resultar em exposição ou roubo de dados.
  • Movimento lateral: as APIs ocultas podem fornecer pontos de entrada para que os invasores acessem sistemas e contas confidenciais. Depois de se infiltrarem no ambiente de uma organização, eles podem roubar informações confidenciais ou usar esse acesso para lançar outros ataques.
  • Vulnerabilidades não corrigidas: as organizações não podem corrigir novas vulnerabilidades de APIs que ainda não monitoram e gerenciam.Mesmo que as APIs ocultas já estejam protegidas contra ataques e riscos básicos (como os que estão entre os Top 10 de segurança de APIs do OWASP), novas explorações podem criar pontos de entrada para os invasores.
  • Não conformidade: muitas organizações estão sujeitas às leis de privacidade de dados (por exemplo, GDPR ou CCPA).As APIs ocultas podem permitir que os desenvolvedores ou outros usuários manipulem os dados de forma não compatível com esses regulamentos, resultando em multas ou outras penalidades graves.

O que é descoberta de APIs?

A descoberta de APIs é o processo de catalogação de todas as APIs internas e de terceiros usadas em uma organização. Como as APIs atendem a uma ampla gama de finalidades, desde aumentar o desenvolvimento de aplicativos até conectar microsserviços e outras funções externas, não é incomum que as organizações dependam de dezenas, senão centenas (ou milhares) delas.

Com a descoberta de APIs, as organizações podem não apenas simplificar o desenvolvimento de seus aplicativos, mas também descobrir possíveis APIs que não foram devidamente inventariadas ou protegidas. Por esse motivo, a descoberta de APIs é uma primeira etapa essencial para aprimorar e implementar as práticas de segurança de APIs.

APIs ocultas versus APIs zumbis

Uma API oculta é uma API de terceiros não gerenciada que está sendo usada ativamente. Por outro lado, uma API zumbi é uma API que foi depreciada ou abandonada. Ao contrário da API oculta, a API zumbi pode já ter sido identificada e gerenciada por uma organização, mas não está sendo usada ativamente.

Tanto a API oculta quanto a zumbi apresentam sérios riscos para as organizações que interagem com elas, pois normalmente não são protegidas e podem ser comprometidas ou usadas para a realização de ataques.

Como a Cloudflare protege contra a APIs ocultas?

O Gateway de API da Cloudflare inclui o recurso de descoberta de APIs que descobre, monitora e protege automaticamente todos os endpoints de API. As solicitações recebidas são validadas em relação a um esquema OpenAPI, que é usado para bloquear solicitações não conformes e ajudar a impor um modelo de segurança positivo. Saiba mais sobre como funciona a descoberta de APIs da Cloudflare.