Richard Bird, Baş Güvenlik Görevlisi,
Bu yıl, birçok işletme ve güvenlik liderinin API güvenlik sorunlarının kapsamını gerçekten anlamak için uyanacağı yıl olacak.
Son üç yılda kuruluşlar, güvenlik ve son derece zorlu iş koşullarında gezinme yerine esnekliğe ve büyümeye öncelik verdiler. İş modellerini, ürünleri ve hizmetleri dijitalleştirmek için büyük veri kümelerini bir araya getirdiler ve daha fazla bulut hizmeti devreye aldılar. Tüm bu işleri yapmanın anahtarı gerçekten API’lerdir. Uygulamaları oluştururken ve dağıtırken, DevOps ekipleri veri kaynakları ile iş süreçlerini bağlamak için dahili API’leri ve iş ortakları ve müşterilerle iletişim kurmak için harici API’leri kullanır. Sonuç olarak, kritik iş bilgileri ve tüketicilerin iletişim, finans ve sağlık bilgileri gibi hassas veriler, giderek artan bir şekilde API’lerin üzerinden geçer.
Ne yazık ki kuruluşlar, her hafta artan API envanterlerini otomatik olarak keşfetme, envanterini çıkarma, doğrulama, yönetme ve güvenceye alma becerisinden genellikle yoksundur. Ek olarak, API varlıkları hızla artarken ekipler standardizasyon ve yönetişimi zorlamayan operasyonel çerçeveler kullanıyor olabilir. Sonuç olarak, çoğu kuruluş sahip oldukları API’lerin kapsamının farkında değil ve siber saldırganlar ve kötü niyetli aktörler not alıyor. Bilgisayar korsanları, API’leri kuruluşların siber güvenlik duruşunda Aşil topuğu olarak tanımladılar ve bunları diğer amaçların yanı sıra veri çalmak, dolandırıcılık yapmak ve pazarda tahribat yaratmak için kullanıyorlar. Gartner’a göre 2020 itibariyle güvenli olmayan API’lere kadar izlenenden daha fazlası ve sorun daha da kötüye gidiyor.
İşte 2023 için bazı API güvenlik tahminleri:
Tahmin #1: Daha hızlı yasal işlem yapılmasını zorunlu kılan büyük bir API güvenlik ihlali olacak
Gartner, 2025 yılına kadar kurumsal API’lerin, API yönetimi yeteneklerini geride bıraktığı için yönetileceğini tahmin ediyor.
API güvenlik olayları şimdiden hızla artıyor ve düzenleyiciler bunu fark ediyor. Bir düşman, kullanıcılarının verilerini kazımak için LinkedIn’in resmi API’sini kullandı. Bir araştırmacı, hakkındaki verilere erişmek için Venmo’nun genel API’sini kullandı. Aralık 2021’de bildirilen sıfır gün Log4Shell güvenlik açığı, Diğer API güvenlik olayları Coinbase, John Deere, Experian, Peloton, SolarWinds ve daha fazlasını sağladı.
Düzenleyici eylemler genellikle ileri teknoloji geliştirmenin gerisinde kalsa da API güvenliği, güvenlik ihlallerinin kapsamını ve ciddiyetini artırıyor. Finansal veya kamu altyapısı sektörleri gibi görev açısından kritik hizmetleri kesintiye uğratan büyük bir API güvenlik olayının 2023’te gerçekleşeceğini ve tüm sektörlerde daha hızlı yasal işlem yapılmasını gerektireceğini tahmin ediyorum.
Tahmin #2: Liderler, API’lerin hem güvenlik hem de iş risklerini temsil ettiğini görecek
İş operasyonlarını, müşterileri ve verileri koruma ihtiyacı, kuruluşların API güvenlik platformlarını uygulaması için önemli bir itici güç olacaktır. Bu yıl liderler, API’leri yönetme sorununa daha geniş bir bakış atmak isteyecekler.
Bunun nedeni, API’lerle ilgili kontrol, güvenlik ve yönetişim eksikliğinin yalnızca riskleri artırmakla kalmayıp aynı zamanda operasyonel olarak da verimsiz olmasıdır.
DevOps ekipleri, uygulamaları ve süreçleri birbirine bağlamak için sürekli olarak API’ler geliştiriyor ve devreye alıyor. Bu, terk edilmiş ancak henüz kurumsal sistemlerden kaldırılmamış API’ler olan çok sayıda zombi API olduğu anlamına gelir. Senkronize, standartlaştırılmış süreçlerin olmaması da API grupları arasında süreç fazlalığını artırıyor. Sonuç olarak, kuruluşlar geliştirme süreçlerine ve uygulama bakımına ihtiyaç duyduklarından daha fazla para harcıyorlar.
Tahmin #3: Finansal hizmetler, API güvenlik sorunlarının ele alınmasında diğer sektörlere öncülük edecek
Küresel düzenleyicilerin, bu dijital bağlantıları yönetmek için HIPAA, GDPR, PCI ve diğerleri gibi veri koruma düzenlemelerine güvenmek yerine API’ye özgü güvenlik düzenlemeleri geliştirmesi gerekir.
İyi haber şu ki, finansal hizmetler daha fazla düzenleyici gözetim için ücret almaya hazırlanıyor. Federal Finansal Kurumlar İnceleme Konseyi (FFIEC) üyeleri, API’ler de dahil olmak üzere finansal kurumların hizmet ve sistemlerine kimlik doğrulama ve erişim sağlamayı yönetiyor.
2023’te bu düzenleyicilerin finansal kurumların API güvenliği konusundaki beklentilerini artırmasını bekliyoruz. Bu yükseltilmiş odaklanma çok erken gelemezdi. Bankalar, fintech şirketleri, sigorta şirketleri ve diğer finansal kurumlar, zengin müşteri verileri ve işlemleri ana damarı ile bilgisayar korsanları için favori bir saldırı hedefidir. Ek olarak, sektör açık bankacılık ile ilerlemek istiyorsa API güvenliğine ölçeklenebilir bir yaklaşım geliştirmelidir. Üçüncü taraflara finansal işlem verilerine erişim sağlayan açık bankacılık, tamamen API’ler tarafından desteklenmektedir.
Finansal hizmetler, verileri ve sistemleri korumaya yönelik risk ve güvenlik çerçevelerini ve araçlarını benimseme konusunda diğer sektörlere öncülük etmiştir. API güvenliği ile aynı şeyi yapacak ve diğer sektörlerin takip etmesi için bir standart belirleyecektir.
Tahmin #4: Kuruluşlar, riskleri azaltmak için veri depolamayı doğru boyutlandıracak
API güvenlik risklerinin bu kadar tehlikeli olmasının nedenlerinden biri, kuruluşların çok fazla veri toplaması ve depolamasıdır. Veri depolama eskiden pahalı olsa da, son on yılda düşen maliyetler, kuruluşların petabaytlarca yapılandırılmamış veri toplamasını sağladı ve bunların çoğu kullanılmadı. API’ler gibi, kuruluşların da çok sayıda bilinmeyen, yönetilmeyen veri deposuyla birlikte bir gölge veri sorunu vardır.
API güvenliğini sağlamlaştırdıkça işletme, BT ve veri ekipleri de veri tutmalarını mantıklı hale getirmelidir. İş dünyası o kadar hızlı dönüşüyor ki çoğu geçmiş verinin çok az değeri var. Kuruluşlar artık operasyonel performansı yıllar yerine günler ve haftalar cinsinden tahmin ediyor. O halde gereksiz verileri temizlemek, onları yönetilmeyen bir veritabanında saklama ve güvenli olmayan bir API üzerinden dışarı sızdırma riskini almaktan çok daha iyidir.
Tahmin #5: Girişimci CISO’lar, API güvenliğini yenilik yapma fırsatı olarak görecek
API güvenliği, önde gelen CISO’ların kuruluşları için en iyi çerçeveleri, süreçleri ve araçları seçmek ve uygulamak için kullanacakları sıfırdan bir fırsattır. Otomatik yapay zeka keşfi, kataloglama, yönetim ve gerçek zamanlı saldırı tespitine olanak tanıyan platformlar gibi çözümleri uygulamak için proaktif olarak ilerleyenler, güvenlik ve risk azaltmada önemli iyileştirmeler elde edecek.
Ayrıca API güvenlik testini üretim öncesi süreçlere entegre ederek geliştiricilerin API’leri dağıtılmadan önce taramasını ve düzeltmesini sağlayacaklar. Bunu yaparak, ekiplerin, kuruluşlarının saldırı yüzeyini artırmadan uygulamaları hızlı bir şekilde geliştirmek ve dağıtmak için DevSecOps süreçlerini kullanmasına olanak sağlayacaklar.
Bu CISO’lar, kuruluşlarının güvenli olmayan API ağ geçitlerine veya web uygulaması güvenlik duvarlarının sınırlı özelliklerine güvenen rakiplerini geride bırakmasına yardımcı olacaktır. Daha hızlı yenilik sağlayarak, müşterilerden daha fazla değer elde etmek için bağlantılı süreçleri kullanarak ve kuruluşlarını devre dışı bırakan API güvenlik ihlallerinden kurtararak bu hedefe ulaşacaklar.
Tahmin #6: API güvenliği ile liderlik etmek, pazardaki kuruluşları farklı kılacak
İşin geleceği bağlantılıdır, yani gelecekteki API büyümesi muhtemelen sınırsızdır. Dolayısıyla soru, kuruluşların API’leri güvence altına alıp almayacağı değil, ne zaman ve nasıl olacağıdır.
Gartner, 2025 yılına kadar siber güvenlik riskini üçüncü taraf işlemlerinin ve iş taahhütlerinin yürütülmesinde önemli bir belirleyici olarak kullanacağını tahmin ediyor. Ayrıca hiçbir kuruluş, iş ortaklarının uygunsuz API güvenlik uygulamaları nedeniyle işi, müşteri verileri ve değerli fikri mülkiyeti üzerindeki kontrolünü kaybetmek veya aynı nedenle bir siber güvenlik saldırısına maruz kalmak istemez.
Üçüncü taraf API’ler, kuruluşların uygulamalarını ve veri kaynaklarını birbirine bağlamak için kullanılan tüm API’leri temsil edeceğinden, liderler kiminle iş yapmak istediklerini dikkatlice düşüneceklerdir.
Çünkü API güvenlik endüstrisi hızla dönüşüyor. CISO’ların ve ekiplerinin aralarından seçim yapabileceği sayısız araç ve platformun yanı sıra API güvenlik riskleri listelerinden ve geçmişe dönük ihlal analizlerinden çıkarılan dersler vardır.
CISO’lar, API güvenliği ve en iyi uygulamalar hakkında daha fazla bilgi edinerek bu risklerin azaltılmasına öncülük edebilir. Etkili yönetişim uygulayabilir, süreçleri standartlaştırabilir ve uygulayabilir, API varlıklarını keşfedebilir ve kontrol edebilir ve güvenli olmayan API’leri saldırılarda kullanılmadan önce proaktif olarak düzeltebilirler.
API’ler, kuruluşlar için artan iş potansiyelinin ve değerinin kilidini açabilir veya iş ivmesine ve gelirlerine zarar veren, hafifletilmemiş bir risk kaynağı olmaya devam edebilir. Bu seçim 2023’te giderek daha önemli hale gelecek.
Yazar hakkında:
RICHARD BIRD, BAŞ GÜVENLİK MÜDÜRÜ,
Richard, hem kurumsal hem de start-up dünyasında çok zamanlı, üst düzey bir yöneticidir. Richard, siber güvenlik, veri gizliliği, dijital tüketici hakları ve yeni nesil güvenlik konularındaki uzman içgörüleri, çalışmaları ve görüşleri ile uluslararası alanda tanınmaktadır. Richard dünya çapında açılış sunumları yapıyor ve özellikle siber güvenlik ve risk gerçeklerini iş diline ve zorunluluklarına çevirirken çok rağbet gören bir konuşmacı. CyberTheory Zero Trust Institute Kıdemli Üyesi, Forbes Tech konsey üyesi ve Wall Street Journal, CNBC, Bloomberg, The Financial Times, Business Insider, CNN, NBC Nightly News ve TechRepublic gibi medya kuruluşları tarafından sık sık röportajlar yapıldı.
reklam