As APIs ocultas são APIs não gerenciadas que apresentam sérios riscos às organizações que as utilizam.
Após ler este artigo, você será capaz de:
Copiar o link do artigo
Uma API "oculta" refere-se a qualquer interface de programação de aplicativos (API) de terceiros que não é gerenciada ou protegida pela organização que a utiliza. Muitas vezes, os desenvolvedores e outros usuários de uma organização introduzem a API oculta , seja durante o processo de desenvolvimento de aplicativos ou para executar outras funções da empresa.
As APIs ocultas não são necessariamente usadas para fins maliciosos. No entanto, como não estão sob o controle das equipes de TI e segurança de uma organização, é impossível protegê-las contra novas vulnerabilidades e ataques.
Embora as APIs ocultas não sejam inerentemente maliciosas, elas podem introduzir uma quantidade razoável de riscos. As equipes de TI e segurança de uma organização são responsáveis por aplicar e aprimorar o padrão de segurança de APIs , mas só podem proteger as APIs e endpoints que podem ver. Se houver uma dependência que essas equipes não conheçam, elas não poderão rastrear a possível exposição de dados, garantir a conformidade ou bloquear ataques.
Alguns dos riscos mais comuns introduzidos pelas APIs ocultas incluem:
A descoberta de APIs é o processo de catalogação de todas as APIs internas e de terceiros usadas em uma organização. Como as APIs atendem a uma ampla gama de finalidades, desde aumentar o desenvolvimento de aplicativos até conectar microsserviços e outras funções externas, não é incomum que as organizações dependam de dezenas, senão centenas (ou milhares) delas.
Com a descoberta de APIs, as organizações podem não apenas simplificar o desenvolvimento de seus aplicativos, mas também descobrir possíveis APIs que não foram devidamente inventariadas ou protegidas. Por esse motivo, a descoberta de APIs é uma primeira etapa essencial para aprimorar e implementar as práticas de segurança de APIs.
Uma API oculta é uma API de terceiros não gerenciada que está sendo usada ativamente. Por outro lado, uma API zumbi é uma API que foi depreciada ou abandonada. Ao contrário da API oculta, a API zumbi pode já ter sido identificada e gerenciada por uma organização, mas não está sendo usada ativamente.
Tanto a API oculta quanto a zumbi apresentam sérios riscos para as organizações que interagem com elas, pois normalmente não são protegidas e podem ser comprometidas ou usadas para a realização de ataques.
O Gateway de API da Cloudflare inclui o recurso de descoberta de APIs que descobre, monitora e protege automaticamente todos os endpoints de API. As solicitações recebidas são validadas em relação a um esquema OpenAPI, que é usado para bloquear solicitações não conformes e ajudar a impor um modelo de segurança positivo. Saiba mais sobre como funciona a descoberta de APIs da Cloudflare.