Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Kong’un API Güvenlik Perspektifleri Raporu, Birçok Ekibin Yapay Zeka Tehditlerine Hazırlıksız Olduğunu Söyledi
Sandhya Michu •
14 Ocak 2025
Dijital dünya, uygulamalar, hizmetler ve cihazlar arasında kesintisiz etkileşimi mümkün kılmak için büyük ölçüde uygulama programlama arayüzlerine güvenmektedir. Ancak bu API’ler bağlantı için gerekli olsa da siber saldırılara karşı en savunmasız giriş noktası olarak ortaya çıktı.
Ayrıca bakınız: Küresel veri ağıyla savunma görevlerini hızlandırma
Yapay zekanın ve büyük dil modellerinin benimsenmesi hızlandıkça API güvenlik ortamı da giderek karmaşık hale geliyor. Kong’un API Güvenlik Perspektifleri 2025 raporu, 2030 yılına kadar API saldırılarında ve güvenlik sorunlarında %548 oranında şaşırtıcı bir artış olacağını öngördü. API’ler, dünya çapında dijital iş operasyonlarını güçlendiren kritik bağlantılar olarak hizmet ediyor. (Bkz. Resim 1)
Kuruluşlar artık işlemleri gerçekleştirmek ve verilere erişmek için ortalama 15.000’den fazla API’ye güveniyor. Ancak bu arayüzler önemli güvenlik zorlukları ortaya çıkarıyor. Dikkate değer bir örnek, Temmuz 2024’te Twilio’nun Authy hizmetinin bir veri ihlalinin kurbanı olmasıyla ortaya çıktı. Tehdit aktörleri güvenli olmayan bir API uç noktasından yararlanarak Authy çok faktörlü kimlik doğrulama kullanıcılarına bağlı 33 milyon telefon numarasını ele geçirdi.
Yapay zeka siber güvenlik pazarı bu artan endişeleri yansıtıyor. Pazar araştırma platformu MarketsandMarkets, sektörün 2023’teki 22,4 milyar dolardan 2028’e kadar 60,6 milyar dolara çıkacağını öngörüyor. Amerika Birleşik Devletleri ve Birleşik Krallık’ta 700 BT liderinin katıldığı bir ankette yanıt verenlerin %74’ü, yapay zeka destekli saldırılar konusunda aşırı veya önemli endişelerini dile getirdi. %32’si bunları günümüzde API güvenliğine yönelik en önemli tehdit olarak tanımlıyor.
Kong’un CTO’su ve kurucu ortağı Marco Palladino, “Kuruluşlar, özellikle yapay zeka çağında güvenlik risklerini hafife almayı göze alamaz” dedi. “Rapor, API güvenliğinin genel siber güvenlik stratejisinin bir parçası olarak ciddiye alındığını gösteriyor ancak hâlâ bir kuruluşu tehditlere açık hale getirebilecek bazı kör noktalar var. Yapay zeka ilerlemeye devam ettikçe şirketler yalnızca kendi kuruluşları içinde daha fazla güvenlik açığı yaratmakla kalmayacak , ancak saldırılar daha karmaşık hale gelecek. Tehdit ortamının tamamını anlamak, güçlü bir API güvenlik duruşunun sürdürülmesi açısından hayati önem taşıyor.” (Bkz. Resim 2)
API Güvenlik İhlallerinin Mali Sonuçları
API ihlallerinin mali sonuçları önemlidir. Kong’un raporuna göre kuruluşların %55’i geçtiğimiz yıl bir API güvenlik olayı yaşadı. Etkilenenlerin %47’si iyileştirme maliyetlerinin 100.000 doları aştığını bildirirken, %20’si 500.000 doları aşan harcamalarla karşı karşıya kaldı. Gartner’ın araştırması bu aciliyetin altını çiziyor ve API ihlallerinin genellikle diğer güvenlik olaylarına göre 10 kat daha fazla veri sızıntısına yol açtığını vurguluyor.
Yapay Zeka: API Güvenliğinde İki Taraflı Kılıç
Yapay zeka teknolojileri, özellikle de Yüksek Lisanslar, benzeri görülmemiş yenilikleri teşvik ederken, yeni güvenlik açıkları da ortaya çıkarıyor. Bu gelişmiş araçlar, saldırganların gölge API’lerden yararlanmasına, geleneksel savunmaları aşmasına ve API trafiğini beklenmedik şekillerde manipüle etmesine olanak tanır. Anket, liderlerin %84’ünün AI ve LLM’lerin önümüzdeki iki ila üç yıl içinde API’leri güvence altına almanın karmaşıklığını artıracağını öngördüğünü ve acil eylem ihtiyacını vurguladığını gösteriyor.
Kuruluşların yüzde 92’si API’lerini güvence altına almak için önlemler uygulamasına rağmen liderlerin yüzde 40’ı, yatırımlarının yapay zeka kaynaklı riskleri yeterince karşılayıp karşılayamayacağı konusunda şüpheci olmaya devam ediyor. Hazırlıklı olma konusunda bölgesel eşitsizlik göze çarpıyor: Birleşik Krallık’taki %4’e kıyasla ABD’deki kuruluşların %13’ü yapay zeka tehditlerine karşı özel bir önlem almadığını kabul ediyor
Azaltma Stratejileri: Dayanıklılığın Artırılması
Gelişmiş izleme ve trafik analizi, API güvenlik risklerini azaltmak için en sık bildirilen stratejiler arasında yer almaktadır. Birçok kuruluş, API trafiğini yönetmek ve güvenliği güçlendirmek için tasarlanmış merkezi çözümler olan API ağ geçitlerini uyguluyor. Benimseme oranları önemli bir bölgesel farklılığı ortaya koyuyor: Birleşik Krallık’taki kuruluşların %71’i bir API ağ geçidi kullanıyor; ABD’deki %50’ye kıyasla bu oran, Birleşik Krallık’taki daha katı düzenleme gerekliliklerini yansıtıyor
Yaygın olarak en iyi güvenlik uygulaması olarak kabul edilen sıfır güven mimarisi hâlâ yeterince kullanılmamaktadır ve kuruluşların yalnızca %35’i bu yaklaşımı benimsemektedir. Gölge API’ler birçok kuruluş için kritik bir güvenlik açığı olmaya devam ediyor ve izlenmediği ve yönetilmediği takdirde önemli riskler yaratıyor.