Comment détecter et contrôler la prolifération des Shadow API

Qu’est-ce qu’une Shadow API ?

Les API fantômes (ou Shadow API) sont des API tierces qui échappent au contrôle d’une entreprise. Elles sont mises en œuvre discrètement par des développeurs ou les métiers désireux de gagner du temps sur une tâche répétitive, d’éliminer la dépendance à l’égard d’autres équipes ou de combler une lacune dans le catalogue existant d’API approuvées de l’entreprise. Cependant, aussi bonnes que puissent être les intentions des collaborateurs, ces API non réglementées peuvent créer de sérieuses vulnérabilités lorsqu’elles sont autorisées à cohabiter librement dans l’environnement logiciel de l’organisation.

Les attaquants sont souvent prompts à identifier les API non suivies, qu’ils peuvent contraindre à accepter certains paramètres, des demandes de données ou tout autre type d’entrée manipulatrice. Cela permet à ces acteurs malveillants de modifier les données de l’API, d’accéder aux points d’extrémité sensibles de l’API et d’enfreindre les contrôles de sécurité. En bref, les Shadow API constituent une porte d’entrée facilement accessible dans votre système et dans les données sensibles qu’il contient.

En outre, les attaquants peuvent les utiliser pour réaliser des actions invasives telles que l’accès à des comptes utilisateurs, la modification ou la suppression d’informations d’utilisateurs ou même la modification de leurs informations d’identification existantes sans être détectés. Cela peut entraîner des problèmes de conformité encore plus préjudiciables si les attaques affectent des transactions soumises à l’HIPAA, au RGPD ou à d’autres réglementations importantes en matière de protection des données.

Comment repérer les Shadow API

Le meilleur moyen pour distinguer la présence d’API clandestines est de maîtriser de bout en bout l’inventaire d’API déployées dans l’entreprise. Du fait que ces interfaces peuvent évoluer, être régulièrement mises à jour, exister en plusieurs versions pour servir plusieurs besoins, c’est beaucoup plus facile à dire qu’à faire. Heureusement, il existe quelques pratiques qui peuvent vous aider à repérer facilement les activités API suspectes au sein de votre système :

Surveiller les proxys sortants. Interceptez chaque appel API sortant par le biais de proxys API. Ces proxys sortants enregistrent également tous les logs d’API, y compris les requêtes et les réponses, afin de rechercher des transactions d’API non reconnues, des temps de réponse anormalement lents, des pics étranges dans les allocations de ressources ou toute autre activité pouvant indiquer la présence d’une API fantôme.

S’engager dans l’analyse des logs. La mise en place d’outils d’analyse de logs performants peut vous aider à garder un œil sur tous les points de terminaison, les API et les données de réponse. Enregistrez les logs à intervalles réguliers (ou, idéalement, en temps réel) pour évaluer les performances de l’application de bout en bout et rechercher les activités suspectes potentiellement liées à des API.

Mettre en œuvre une surveillance en direct. Utilisez des outils ou des tactiques de surveillance en direct pour identifier de manière cohérente les appels d’API au fur et à mesure qu’ils se produisent. Cette méthode peut s’avérer particulièrement utile pour identifier automatiquement les performances lorsqu’elle est mise en œuvre au niveau de la passerelle API.

Analyser fréquemment le code. Vous pouvez détecter et traiter les API fantômes, avant qu’elles n’atteignent la production, en analysant le code source pour identifier toute trace d’API qui n’a pas sa place dans votre système.

Que faire si des API fantômes s’infiltrent dans votre système logiciel ?

Même avec une surveillance adéquate, il est toujours possible que des API clandestines se frayent un chemin dans votre système logiciel. Il est donc essentiel de mettre en place une stratégie de remédiation pour minimiser leur impact une fois qu’elles ont été repérées. Voici ce que vous pouvez faire :

Mettre en œuvre des normes et des lignes directrices strictes. Mettez en place un processus de filtrage rigoureux des API grâce à des normes et des directives bien définies qui régissent la mise en œuvre et l’utilisation. Cela devrait inclure des critères tels que la conformité, avec les réglementations pertinentes en matière de protection des données, et toute exigence spécifique en matière de confidentialité des utilisateurs décrite dans les accords de niveau de service.

Établir des procédures d’observabilité. Mettez en œuvre des processus d’analyse du code et de surveillance en direct dans le cadre de votre processus de développement régulier afin de vous assurer que les normes établies sont respectées pour chaque API utilisée.

Auditer fréquemment votre système. Les exercices d’audit automatisés peuvent considérablement améliorer la sécurité et la visibilité des API. L’audit étant un travail collaboratif, tous les développeurs auront une vue d’ensemble des problèmes potentiels liés aux API fantômes ainsi que des moyens d’améliorer les performances et la sécurité de l’application.

Des outils pour lutter contre les Shadow API

Le bon outil peut réduire de manière significative le risque que représente une API non autorisée en fournissant des mécanismes de sécurité appropriés, une surveillance constante et une observabilité plus large. Voici quelques exemples d’outils et de plateformes qui offrent les capacités nécessaires pour lutter contre les API fantômes :

• APIsec. Cette plateforme est spécialisée dans la sécurité des API. Elle fournit des outils de tests utiles dans une démarche de red teaming, d’analyse des vulnérabilités et une prise en charge intégrée des processus DevSecOps.
• Wallarm. Cette plateforme de test de la sécurité des API se concentre sur la prise en charge des applications héritées et des API natives en s’appuyant sur l’OWASP 10, la mitigation de certaines attaques spécifiques et sur la protection contre les bots et les DDoS au niveau de la couche L7.
• Apigee Sense. Cet outil de détection des comportements soutenu par Google assure le suivi des inventaires, des clés et des transactions d’API et analyse automatiquement les anomalies. Les analyses permettent ensuite de bloquer, de suivre ou de permettre les requêtes suivant le comportement.
• Reblaze. Jeune éditeur généraliste dans le domaine de la cybersécurité, Reblaze propose des outils de surveillance du trafic API en temps réel, de vérification et d’application de chiffrements TLS/HMAC, de gestion automatisée des politiques et des mécanismes d’ingénierie inverse qui atténuent les dommages causés par les attaques d’API ainsi qu’un ensemble de fonctions WAF.