影子API(Shadow API), 是指未經正式管理、記錄或監控的API。它們可能被開發者或第三方私自建立,或由於管理上的遺漏而未被納入組織的API管理範圍;它亦可能是 被開發者或第三方 不小心引用套件時所誤用。這樣的API容易帶來安全風險,可能缺乏適當的身份驗證、數據保護,並可能暴露敏感信息,成為攻擊者的目標。
- 影子API攻擊劇增與可見性問題 劇增的攻擊次數:根據 Business Wire(https://www.businesswire.com/news/home/20230516005175/en/Shadow-API-Usage-Surges-900-Revealing-Alarming-Lack-of-API-Visibility-Among-Enterprises/) ,2022年下半年對影子API的搜尋嘗試達到450億次,較2022年上半年增加了900%。這代表API成為攻擊者的主要目標,且攻擊數量快速增長,尤其在假日高峰期,威脅活動增加了550%。
威脅與可見性缺失:企業在管理API時缺乏完整的可見性,導致影子API無法被檢測與保護,成為攻擊者的優先目標。API攻擊模式不斷演變,傳統的保護手段對API專屬攻擊並不總是有效。 - API濫用與安全威脅 API濫用:許多攻擊者針對API端點發起大量攻擊(類似DoS的概念),這種API濫用行為被稱為「API abuse」。目前,API濫用的攻擊佔據所有API攻擊的第二位,僅次於影子API。被攻擊的平台包括購物API、禮品卡檢查及創建虛假賬戶等操作。
風險組合:「三位一體」威脅:組合式攻擊包括憑證填充、影子API及敏感數據暴露。這些攻擊者分析API間的交互方式,利用未被監控的影子API及其他安全漏洞發起攻擊,造成數據暴露與身份驗證問題。 - 供應鏈生態系統的風險 供應鏈API問題:第三方API的引入通常不會經過有效的資安審查,成為影子API風險的延伸,容易受到攻擊者利用。如何用技術審核供應鏈的程式安全,則成為了另一項重大資安議題。
- API漏洞與機器人攻擊的影響 API漏洞增加:根據CPO Magazine(https://www.cpomagazine.com/cyber-security/api-vulnerabilities-and-bot-attacks-cost-businesses-187-billion-increased-adoption-worsens-problem/),API漏洞在2022年增長了40%,並在2023年再增長9%。機器人攻擊在同一時間內增長了88%,擴大了整體攻擊面,尤其影子API的未受監控端點是首當其衝的目標。
總結與建議
影子API是現今企業API保護的主要威脅之一,對於API的發現、監控和管理至關重要。企業應該:
定期審查API:以確保所有API都被正確記錄並監控。
投資API保護:包括機器人防禦與端到端的API安全管理。
技術審核第三方所交付程式: 利用有效方式,審核第三方程式或元件是否含有不安全的內容。這些措施有助於減少影子API的風險,保護企業的數據與業務資產。