Shadow ou Ghost APIs são as interfaces de programação de aplicativos que não estão oficialmente documentadas, gerenciadas ou controladas pela equipe de TI
As APIs fantasmas, também conhecidas como Shadow ou Ghost APIs, são aquelas interfaces de programação de aplicativos que não estão oficialmente documentadas, gerenciadas ou controladas pela equipe de TI de uma organização. Normalmente criadas por desenvolvedores ou departamentos específicos para atender a necessidades pontuais, elas acabam caindo no esquecimento.
“Quanto maior e mais complexa a área de TI, maior a possibilidade de desenvolvimento de soluções próprias para solucionar problemas temporários”, alerta Daniela Costa, diretora para a América Latina da Salt Security, empresa de segurança de APIs, lembrando que justamente por não estarem no radar da equipe de TI estas APIs representam um sério risco para a segurança cibernética de uma organização.
Para mitigar os riscos associados às Shadow APIs, é importante que as organizações implementem políticas claras de governança de APIs
De acordo com a executiva, por não serem aderentes às políticas de cibersegurança da empresa as APIs fantasmas são vulneráveis a ataques. “Além disto, por não serem documentadas, elas dificultam o entendimento por parte dos desenvolvedores de suas funcionalidades completas, do que elas estão fazendo e como elas estão interagindo com os sistemas existentes”, analisa Daniela.
O recente relatório “State of the Ciso”, conduzido pela Global Surveyz a pedido da Salt Security, apontou que para 40% dos Cisos brasileiros, a adoção de APIs é a principal lacuna no controle de segurança, acima dos 37% registrados globalmente. “’É uma preocupação que faz todo o sentido e que reforça a necessidade de dedicar uma atenção maior à questão das APIs não documentadas e de se implementar políticas sólidas de governança de API que incluam o registro e monitoramento de todas as interfaces de programação de aplicativos, independentemente de sua origem”, enfatiza Daniela, acrescentando que a conscientização e a educação dos desenvolvedores sobre as melhores práticas de segurança de API também desempenham um papel crucial na prevenção de vulnerabilidades associadas às APIs não autorizadas.
Para mitigar os riscos associados às Shadow APIs, é importante que as organizações implementem políticas claras de governança de APIs, promovam a conscientização dos desenvolvedores e usuários finais sobre os riscos envolvidos e estabeleçam processos adequados para a criação, gerenciamento e monitoramento de APIs autorizadas e seguras. “É vital adotar uma abordagem proativa para identificar e analisar possíveis APIs fantasmas existentes na infraestrutura da organização e tomar rapidamente medidas para mitigar os riscos associados a elas”, finaliza Daniela Costa.
Fonte: INFORCHANNEL.