影子API将带来不可预知的漏洞
今天,应用接口(API)正在迅速普及。移动应用的融合、企业间的数据共享以及不断增加的应用自动化,使得在2021年有11.3亿个请求通过以API为中心的开发者工具Postman提交。然而,根据Postman发布的API状况报告中显示,48%的调查对象承认每月要处理至少一次API安全事件。
F5认为,影子API代表了一种日益增长的风险,可能会导致大规模数据泄露;更有甚者,被攻击的企业可能根本不知道这种风险的存在。
时至今日,许多企业没有准确的API库存清单,因此导致了一种新的威胁形式,即“影子API”。拥有成熟API开发流程的企业会保存一个API库存清单的资产目录,理想状态下会包含所有可用的API端点信息、可接受参数的细节、认证和授权信息等。
然而,由于许多企业没有API库存清单,生产中的API和受益于持续开发的API将会偏离于它们在清单中的原始定义。在这两种情况下都会出现组织不可见的公开API,这些API被称为“影子API”,而许多应用会通过“影子API”被攻破,而企业对这些API了解甚少,甚至毫无察觉。