Che cos'è il rilevamento delle API?

Il rilevamento delle API crea un inventario delle application programming interfaces (APIs) in uso, di cosa fanno, di chi dispone dei permessi di accesso e molto altro. Può anche aiutare a scoprire eventuali API nascoste o dimenticate, importanti per mitigare i rischi per la sicurezza.

Le API sono una parte fondamentale dello sviluppo di software moderno e forniscono uno scambio bidirezionale: consentono agli sviluppatori e alle applicazioni di richiedere dati, aggiungere servizi e sfruttare le funzionalità di altre applicazioni, offrendo anche ai proprietari delle applicazioni un modo per condividere, pubblicizzare e commercializzare i propri prodotti. Questa funzionalità essenziale comporta complessità e vulnerabilità aggiuntive.

L'API management è fondamentale per proteggere queste vulnerabilità e assicurarsi che un ecosistema di API funzioni come previsto. È importante sapere esattamente quante, che tipo e quanto sono popolari le API, per motivi di sicurezza delle API, autenticazione, efficienza, protezione dei dati sensibili e mantenere una visione generale di come viene utilizzata una data applicazione. Ma come fa il proprietario di un'applicazione a scoprire tutte queste informazioni? È qui che entra in gioco il rilevamento delle API.

API o interfacce di programmazione delle applicazioni (API) sono insiemi di regole e protocolli che consentono alle applicazioni e ai servizi di comunicare tra loro. Sono essenzialmente gli intermediari che consentono alle applicazioni di estrarre dati in tempo reale da tutti i tipi di fonti diverse. Le API forniscono i dati meteorologici nelle app meteorologiche, i check-out accelerati nelle app per gli acquisti e le mappe sul sito web di un ristorante, tra molti altri casi d'uso. In azienda, le API vengono utilizzate per integrare i workflow e le piattaforme, connettere microservizi, facilitare la condivisione degli asset, rendere le applicazioni disponibili agli utenti di terze parti e molto altro.

Dato l'enorme numero di applicazioni utilizzate dalle Organizzazioni moderne, con una media di oltre mille secondo un sondaggio di Salesforce, è importante che le Organizzazioni abbiano una solida pratica di rilevamento delle API. Il rilevamento delle API si riferisce al processo di ricerca di API documentate e nascoste, alla creazione di directory e alla compilazione di un inventario delle API scoperte. Ci sono molte ragioni per cui il rilevamento delle API è così importante, sia per i benefici che può offrire sia per i possibili impatti sulla sicurezza delle applicazioni che la trascuratezza di questo processo può avere. Il rilevamento delle API è una parte fondamentale dell'assemblaggio di una documentazione API completa e completa.

La ridondanza, ovvero la creazione di più istanze delle stesse o simili caratteristiche che ingombrano la documentazione, può avere un grave impatto sui processi di sviluppo riducendo l'efficienza e la produttività. In breve, creare una nuova API che in realtà non sia nuova può far perdere tempo e risorse. L'individuazione e la documentazione delle API adeguate possono ridurre la possibilità di ridondanza delle API. Se è facile trovare la documentazione per una ruota, non è necessario reinventarla.

Utilizzando gli strumenti di individuazione delle API per scoprire le API e produrre una solida documentazione sulle API, gli sviluppatori possono capire meglio a quali applicazioni e servizi esistenti (sia interni che esterni) possono accedere e integrare. Utilizzando servizi e funzioni preesistenti, gli sviluppatori possono accelerare la produzione, espandere le funzionalità dell'applicazione e ridurre il tempo di mercato.

Il rilevamento delle API consente la creazione di un inventario delle API che aiuta gli sviluppatori a individuare e utilizzare i servizi esistenti. Questo ha il beneficio aggiunto di incoraggiare gli sviluppatori a integrare i dati e i servizi di un'applicazione fornendo un menu di opzioni.

Il rilevamento delle API e la manutenzione costante di un catalogo API consentono ai team di trovare rapidamente e facilmente le API esistenti. Questo può migliorare l'efficienza, ridurre il lavoro non necessario e persino migliorare il workflow avvisando gli sviluppatori alle funzionalità che potrebbero non aver realizzato.

Mantenere un catalogo API aggiornato è un ottimo modo per monitorare chi ha accesso a dati sensibili come le informazioni sugli utenti e le chiavi API. Utilizzando il rilevamento delle API per trovare tutte le API che accedono ai dati sensibili, il proprietario di un'applicazione può monitorare più facilmente chi ha accesso a cosa e assicurarsi che le API e le applicazioni rispettino tutte le leggi e le linee guida applicabili. Ciò è particolarmente importante data la prevalenza di API ombra.

Il rilevamento delle API implica la scoperta di molti dettagli diversi sulle API, il tipo di API, cosa fanno, a quali dati hanno accesso e molto altro, che aiutano gli sviluppatori a identificare e comprendere meglio le API utilizzate da un'organizzazione. Il rilevamento delle API produce informazioni sulle API, tra cui:

Protocollo, architettura e formati di dati supportati: il processo di scoperta aiuta a documentare il protocollo o l'architettura utilizzati dalle API (come REST, GraphQL, SOAP o RPC) e quali formati di dati accettano (come JSON, XML e YAML).

Endpoint delle API: rappresentano la posizione di un particolare archivio di dati o servizio, solitamente rappresentato da un URL.

Autenticazione: le API sono spesso protette in modo che solo i clienti, i progetti e gli utenti riconosciuti possano accedervi. Il rilevamento delle API consente di individuare le specifiche di autenticazione.

Metodi e parametri: il rilevamento delle API scopre le azioni supportate come GET, PUT, DELETE e POST e i parametri accettati dall'API.

Il rilevamento delle API può svolgere un ruolo importante nel rafforzamento dell'API security. Una corretta documentazione API e gestione API offre ai proprietari di applicazione una visione completa dell'utilizzo API, che può facilitare la scoperta delle vulnerabilità di sicurezza. A sua volta, il proprietario o lo sviluppatore dell'applicazione può quindi risolvere eventuali correzioni.

Uno dei modi più importanti in cui il rilevamento delle API contribuisce all'api security è la localizzazione delle API nascoste.

Il termine “nascosto” non è proprio accurato, in quanto un'API nascosta non è necessariamente malevola. Invece, “API nascosta” si riferisce alle API non documentate e non incluse nella documentazione sulle API. Ci sono molte API nascoste che sono perfettamente innocue, come caratteristiche di scorrimento infinito o molte caratteristiche di completamento automatico nei campi di testo delle applicazioni web.

Detto questo, anche innocue API nascoste possono causare potenziali grattacapi ai team di sicurezza. Le API nascoste, essendo escluse dalle soluzioni di sicurezza, non saranno soggette alla normale lista di misure normative e di sicurezza del proprietario dell'applicazione come i firewall. Esistono molti tipi diversi di API nascoste, che vanno da quelle semplicemente dimenticate a quelle attivamente dannose, motivo per cui il processo di scoperta delle API è così importante.

Pur non essendo necessariamente dannose, le shadow API sono definite come API che non sono né gestite né protette dall'entità che le utilizza. Senza visibilità delle API, queste non rientrano nell'ambito della sicurezza di un'azienda e sono vulnerabili agli attacchi.

Un rapporto del 2022 ha rilevato che circa il 31% delle transazioni dannose ha preso di mira le shadow API, rendendole un notevole rischio per la sicurezza. Gli attacchi alle API mirate alle shadow API hanno il potenziale di mettere a rischio dati sensibili come le informazioni sugli utenti o le conoscenze proprietarie, rendendo la cybersecurity un motivo importante per utilizzare buone tecniche di scoperta delle API. Inoltre, i team di sicurezza non sono in grado di fornire patch di sicurezza alle API di cui non sono a conoscenza, il che significa che le API shadow possono avere vulnerabilità sconosciute a tutti, tranne che agli hacker più intelligenti. Questi possono ampliare la Superficie di attacco o le Avenue a disposizione dei malintenzionati.

Le shadow API derivano da tutti i tipi di errori, errori e sciatteria nei criteri di sicurezza. Alcuni sviluppatori potrebbero semplicemente dimenticare, o non preoccuparsi abbastanza, di utilizzare una documentazione API adeguata. A volte le API meno recenti vengono rimosse dalla documentazione anche se esistono ancora. Le fusioni aziendali sono note anche per la produzione di molte API ombra. A volte gli sviluppatori creano API shadow a scopo di test o per casi d'uso su misura molto piccoli e non si preoccupano di avvisare i team di sicurezza della loro presenza.

Un tipo leggermente diverso di API nascosta è l'API zombie, un'API che è stata dimenticata ma non cancellata. Le API Zombie potrebbero essere state protette e gestite adeguatamente a un certo punto, ma da allora sono state lasciate a languire, forse sconosciute anche al proprietario dell'applicazione che l'ha creata. Le API zombie in genere non vengono aggiornate o patchate, ma forniscono comunque una porta un po' nascosta verso alcune parti del sistema dell'applicazione.

La terminologia per le API non autorizzate può variare da un'Organizzazione all'altra; alcune usano “shadow API” e “API non autorizzata” in modo intercambiabile, mentre altre usano “API non autorizzata” per riferirsi ad API deliberatamente dannose.

Le pratiche di rilevamento delle API di successo sono coerenti, ben documentate e standardizzate. Seguire questi principi può aiutare gli sviluppatori, interni ed esterni, oggi e in futuro, a fare un uso efficiente e sicuro delle API.

Standardizzazione: l'uso di specifiche e protocolli standard come OpenAPI Specification (OAS), REST e GraphQL può migliorare la scoperta e la compatibilità delle API e aiutare i consumatori a comprendere rapidamente le API.

Documentazione: le API con una documentazione solida e standardizzata sono più facilmente individuabili e possono dare frutti in termini di integrazione, collaborazione e gestione. Migliore è la documentazione, più API possono essere utilizzate e migliorate.

Coerenza: eseguire regolarmente il rilevamento delle API è importante, poiché le API vengono continuamente aggiunte, aggiornate e ritirate; non si tratta di un'attività una tantum. I sistemi automatizzati possono semplificare questa operazione, ma anche il rilevamento manuale regolare è efficace.

Esistono molti strumenti diversi per il rilevamento delle API, da quelli manuali a quelli che si basano sulla completa automazione. Ciascuno di essi presenta punti di forza e di debolezza.

Molti sviluppatori hanno adottato una qualche forma di rilevamento manuale delle API. Ciò può comportare l'analisi dei codici sorgente o il monitoraggio del traffico API in tempo reale alla ricerca di anomalie. Questi metodi manuali possono, se un team di sicurezza sa esattamente cosa sta cercando, essere più rapidi e diretti rispetto ai metodi automatizzati. Ma in generale, il rilevamento manuale delle API è più lenta, meno efficiente, tende a perdere le API nascoste più sottili e potrebbe richiedere un know-how più avanzato.

Esistono molti strumenti di rilevamento API specializzati e automatizzati. Un API gateway, ad esempio, è un «intermediario» centralizzato che riceve e indirizza le chiamate API. I gateway aiutano a catalogare e monitorare le API e in genere svolgono gran parte del processo di individuazione delle API come parte del loro lavoro.

Esistono altri servizi specializzati di protezione delle API che forniscono il rilevamento automatico delle API. Quando si cerca un servizio di questo tipo, è comune cercare un fornitore che offra un solido livello di sicurezza, la conformità con gli standard noti (come la specifica OpenAPI, prevenendo di diventare vittima dei 10 principali rischi di sicurezza delle API OWASP) e una facile Integrazione con la piattaforma di un'Organizzazione.

L'automazione può rendere molto più efficiente il miglioramento del ciclo di vita di un'API e garantire che solo le API sicure abbiano accesso alle applicazioni software e alle risorse associate.