چرا شرکت‌ها نگران APIهای زامبی هستند؟

چشم‌انداز تهدیدات API همواره در حال تحول است، زیرا تهدیدات جدید به این حوزه وارد می‌شوند. اخیراً یکی از ریسک‌هایی که توجه بیشتری را به خود جلب کرده، APIهای زامبی است. این‌ها نقاط انتهایی فراموش‌شده و «نیمه‌مرده» هستند که در سایه پروژه‌های فناوری اطلاعات گذشته مخفی مانده‌اند. این APIها به‌طور کامل منسوخ نشده‌اند و به زندگی خود چنگ می‌زنند و اگر خاموش نشوند، ممکن است به‌طور ناخواسته داده‌های حساس را در معرض خطر قرار دهند.

تهدید APIهای مخفی و زامبی برای متخصصان فناوری امروز پنهان نیست. گزارش امسال State of API Security که توسط Salt Labs انجام شد، نشان داد که APIهای قدیمی و زامبی بزرگ‌ترین نگرانی پاسخ‌دهندگان بوده‌اند. به گفته نیک راگو، معاون استراتژی محصول در Salt Security، این احتمالاً به دلیل افزایش آگاهی در مورد اهمیت حاکمیت API و ابر در شرکت‌ها است.

من به‌تازگی با راگو صحبت کردم تا جزئیات این نقاط انتهایی «مرده» و نحوه پاسخ شرکت‌ها را بررسی کنم. به‌طور خلاصه، با افزایش حملات به APIها برای اهداف شوم، مدیران به سمت حاکمیت API روی می‌آورند تا وضعیت امنیتی کلی سازمان را تقویت کنند. همچنین تمایل به مشاهده APIها به‌عنوان دارایی IT وجود دارد که استانداردسازی را تشویق می‌کند. این تغییرات نیاز به بهبود مدیریت موجودی و شناسایی نقاط انتهایی مانند APIهای زامبی دارد، که دیگر نیازهای کسب‌وکار را برآورده نمی‌کنند اما ممکن است تهدیدی غیرمنتظره ایجاد کنند.

APIها زیر نور توجه: از تهدیدات امنیتی تا دارایی‌های IT

مانع نفوذ به APIها به‌طور شگفت‌آوری کم است. پس از بررسی بسیاری از حملات در دو سال گذشته، راگو نتیجه گرفت: «حدود ۷۰٪ از حملاتی که دیدیم، حملاتی بودند که یک دانش‌آموز دبیرستانی هم می‌توانست انجام دهد.» حملات API در حال افزایش است و اکثریت آن‌ها به وضعیت امنیتی ضعیف مربوط می‌شوند. عمدتاً به همین دلیل، ۹۵٪ از پاسخ‌دهندگان در گزارش Salt Labs مشکلات امنیتی در APIهای تولیدی تجربه کرده‌اند.

راگو همچنین متوجه شده که نگرانی درباره حفاظت زمان اجرا کاهش یافته و نگرانی درباره حاکمیت وضعیت افزایش یافته است. احتمالاً به این دلیل که بسیاری از سفرهای API هنوز در مراحل ابتدایی هستند و مدیران در شرکت‌های بزرگ تازه کمیته‌های حاکمیت ابر را تشکیل داده‌اند که استانداردهای API را می‌نویسند.

در بسیاری از موارد، استانداردهای API تا همین اواخر تعریف یا اجرا نشده بودند. بخشی از دلیل آن ماهیت پویا طراحی API و نبود استانداردهای جهانی است. راگو می‌گوید: «اگر از یک معمار، توسعه‌دهنده، متخصص DevOps یا AppSec بپرسید، هرکسی ایده متفاوتی از یک API خوب دارد.» به همین دلیل، علاقه به طراحی و اجرای استانداردها از ابتدا افزایش یافته است.

راگو می‌گوید: «Spec-first در حال تثبیت است.» مدیران برنامه جدید API، به‌ویژه در حوزه مالی، به این نقشه‌ها برای پروژه‌های جدید API نیاز دارند. او می‌گوید: «در تعداد فزاینده‌ای از سناریوها، APIها تا زمانی که یک مشخصات وجود نداشته باشد، دیده نمی‌شوند.» به گفته او، این حوزه برای بهبود آماده است، زیرا طبق مطالعه اخیر APIContext، ۷۵٪ APIها از انحراف مشخصات رنج می‌برند.

به‌طور کلی، سازمان‌های بزرگ از بیمه تا خطوط هوایی و بهداشت و درمان، شروع به جدی گرفتن APIها و سرمایه‌گذاری در بلوغ آن‌ها کرده‌اند. افزایش آگاهی درباره API همچنین باعث یکپارچه‌سازی بیشتر فناوری‌های دروازه API شده است. راگو می‌گوید: «شرکت‌ها با APIها مانند دارایی‌های IT رفتار می‌کنند. آن‌ها اغلب تعداد نقاط انتهایی API بیشتری نسبت به هر دارایی IT دیگری دارند.»

چرا APIهای زامبی در ذهن مدیران هستند

گزارش Global State of API Security 2025 از Traceable که توسط مؤسسه Ponemon انجام شد، ۱۵۰۰ متخصص IT و امنیت IT را مورد بررسی قرار داد و نشان داد که ۶۱٪ از آن‌ها معتقدند که ریسک‌های API در ۱۲ تا ۲۴ ماه آینده افزایش خواهند یافت. کنترل دسترسی ناقص و شکاف‌های ساده مجوز همچنان از بزرگ‌ترین ریسک‌ها برای APIها هستند و این شبکه‌های فراموش‌شده، هدف آسانی محسوب می‌شوند.

راگو می‌گوید: «ترس از APIهای زامبی واقعی است.» «اگر این‌ها دارایی‌های IT هستند، باید بدانید آیا سروری وجود دارد که پنج سال است هیچ‌کس آن را به‌روزرسانی یا وصله نکرده است. ما اکنون به آن نقطه با APIها رسیده‌ایم.»

به‌علاوه، موجودی متوسط API به‌طور پیوسته در حال افزایش است. طبق مطالعه Salt Security، تعداد کلی APIها در یک سال گذشته ۱۶۷٪ افزایش یافته و ۶۱٪ از مشتریان آن‌ها بیش از ۱۰۰ API را مدیریت می‌کنند. بسیاری از نگرانی‌ها درباره APIهای زامبی یا مخفی ناشی از این واقعیت است که در سازمان‌های بزرگ و پیشرفته، کنترل کمی بر این نقاط انتهایی وجود دارد. راگو می‌گوید: «تعداد زیادی وجود دارند و هیچ کنترلی یا بینشی وجود ندارد.»

چه نوع APIهایی به زامبی تبدیل می‌شوند؟

اما کدام APIها بیشتر احتمال دارد رها شوند؟ به گفته راگو، APIهایی که احتمال زامبی شدن آن‌ها بیشتر است، آن‌هایی هستند که برای موارد استفاده خاص ساخته شده‌اند. معمولاً افراد نظارت خوبی بر APIهای عمومی یا متکی بر شرکا دارند، اما یک API اختصاصی که برای تجربه کاربری سفارشی مانند اپ موبایل یا وب‌سایت ساخته شده باشد، اغلب فراموش می‌شود. پروژه‌هایی مانند این معمولاً پس از یک رویداد یا کمپین خاص به پایان می‌رسند، اما همه زیرساخت‌های آن‌ها باقی می‌مانند و در حال اجرا هستند. در این حالت، API می‌تواند به‌راحتی داده‌های حساس یا اطلاعات شخصی شناسایی‌پذیر (PII) را افشا کند.

APIهای زامبی ممکن است در محیط‌هایی که نظارت کمی دارند یا بدهی فناوری یا IT مخفی بالایی دارند، بیشتر رایج باشند. و پیدا کردن آن‌ها همیشه آسان نیست. تنها ۱۰٪ سازمان‌ها APIهای خود را کاملاً مستندسازی می‌کنند، که یافتن این نقاط انتهایی را دشوار می‌کند.

بنابراین، کشف API باید فراتر از تحلیل درخواست‌های زمان اجرا باشد، می‌گوید راگو، زیرا یک نقطه انتهایی زامبی ممکن است ترافیک نداشته باشد. او تشویق می‌کند که رویکرد کشف فعال‌تری اتخاذ شود. سازمان‌ها باید مخازن کد، اسناد قدیمی پرتال توسعه‌دهندگان یا مراجع و ابزارهای اکوسیستم API را بررسی کنند تا مکان APIهای زامبی را شناسایی کنند. راگو می‌پرسد: «چه چیزهایی در مجموعه‌های Postman، Insomnia یا SwaggerHub موجود است؟»

مقابله با APIهای زامبی با حاکمیت

می‌گویند تنها راه مطمئن برای کشتن یک زامبی، قطع کردن سر آن است. در مورد APIها، اقدامات کمی کمتر خشن اما به همان اندازه مؤثر هستند. برای APIهای زامبی، تنها راه مطمئن برای متوقف کردن آن‌ها، خاموش کردن دائمی آن‌ها است.

اما چگونه می‌توان از زامبی شدن APIها جلوگیری کرد؟ پیدا کردن آن‌ها یک چیز است و حذف علت ایجاد آن‌ها، تلاش کاملاً متفاوتی می‌طلبد. و پاسخ دوم بستگی به حاکمیت دارد.

همان‌طور که قبلاً پوشش دادیم، حاکمیت اصطلاحی فراگیر است که به بهترین شیوه‌ها در طول چرخه حیات API، از طراحی تا توسعه، تست و تولید اطلاق می‌شود. در مراحل مختلف، لازم است از دیدگاه قوانین داده‌ها اعتبارسنجی انجام شود یا اطمینان حاصل شود که APIها از سیاست‌های طراحی خاص پیروی می‌کنند، مانند پیاده‌سازی شناسه‌های کاربری با فرمت مشخص. سازمان‌ها ممکن است سیاست‌هایی نیز در مورد مصرف توسط شخص ثالث داشته باشند.

با تماشای فیلم Dawn of The Dead نمی‌توانید یاد بگیرید چگونه APIها را خاموش کنید. اگرچه APIهای زامبی به هیجان فیلم‌های سینمایی نیستند، اما به همان اندازه برای سازمان‌ها خطرناک هستند. راه حل در استانداردهای سازمانی هدایت‌شده توسط مدیران است. راگو می‌گوید: «همه در حال درک اهمیت استانداردها هستند.» با حاکمیت مناسب، سازمان‌ها می‌توانند اطمینان حاصل کنند که APIهای آن‌ها دوباره باعث مشکل نخواهند شد.