Modern dijital dönüşümler, API’ler tarafından desteklenerek kaç işletme ve kuruluşun yönetildiğini değiştirdi. Ancak son dönemdeki inovasyon ve dijital dönüşüm dalgası, siber suçlulara da yeni saldırı yüzeyleri açtı. Şirketler API tehditlerindeki artışa yanıt vermek zorunda kalıyor ancak geleneksel, statik API güvenliği yöntemlerinin etkisiz olduğunu hızla öğreniyorlar. Makine öğrenimi (ML) ve yapay zeka (AI), API saldırılarını durdurmada yardımcı müttefikler haline gelir. Makine öğrenimi odaklı API güvenliğine sahip olunup olunmayacağı konusu artık yerini en iyi düzeyde iş korumasının nasıl elde edileceğine bıraktı.
API’lerle ilgili güvenlik sorunları giderek daha sık ve rahatsız edici hale geliyor. Dünya çapındaki kuruluşlar, API trafiğindeki artış nedeniyle zararlı API olaylarında bir artış görüyor ve bu da API güvenliğini yüksek bir öncelik haline getiriyor. Google 2022 API Güvenliği Araştırma Raporu’na göre ankete katılan firmaların %50’si API güvenlik olayıyla karşılaştı; bunların %77’si yeni bir hizmet veya uygulamanın dağıtımını geciktirdi.
Salt Security API Güvenlik Trendleri 2023 araştırmasına göre, manşetlere çıkan API güvenlik ihlallerinin sayısı ve önemli iş gecikmeleri, API güvenliğini yönetim kurulu önceliğine yükseltti. Tanınmasının zor olduğu bilinen bu saldırılar, fikri mülkiyete, operasyonel prosedürlere veya özel bilgiler, özel veriler veya banka hesapları gibi hassas verilere bağlı API’leri hedef alır.
Bu API’lerin iş değeri sunabilmeleri için sürekli olarak kullanılabilir olmaları gerekir ancak aynı zamanda saldırganların da hedefi haline gelmişlerdir. Aynı Salt Security raporuna göre, ankete katılanların %17’si bir güvenlik ihlaliyle karşılaşmış, %31’i ise hassas verilerin ifşa edilmesi veya gizlilik sorunu yaşamıştır. Bu tür olaylar yüksek masraflara neden olur ve şirketin itibarına zarar verir.
Imperva tarafından yayınlanan API Güvensizliğinin Maliyetinin Ölçülmesi başlıklı bir makale, güvenli API’lerin yokluğunun yıllık ortalama 41 milyar ila 75 milyar dolar arasında küresel siber kayba yol açabileceğini öngörüyor. Ayrıca IBM 2023 Veri İhlalinin Maliyeti Raporu’na göre bir veri ihlalinin ortalama maliyeti 4,45 milyon dolardır. API kötüye kullanımı sorunlarının erken tespiti ve azaltılması, şirketlerin uzun vadeli mali ve itibar zararlarından kaçınmaları açısından çok önemlidir.
Pek çok işletme, genişleyen API tehdit ortamını ele almak için öncelikle API ağ geçitleri, günlük dosyası analizi ve web uygulaması güvenlik duvarları (WAF’ler) tarafından oluşturulan uyarılar gibi geleneksel güvenlik uygulamalarına güveniyor. Ancak Salt Security raporuna göre BT uzmanları bu yöntemlerin etkisiz olduğunu kabul ediyor. Ankete katılanların %77’si mevcut araçlarının API saldırılarını önlemede pek etkili olmadığını söylüyor.
Statik güvenlik önlemleri, iş mantığı saldırılarını tespit etmede daha az etkilidir; suçlulara, dikkat çekmeden kötü niyetli amaçlarına ulaşmak için yasal hizmetleri değiştirme özgürlüğü verir. Örneğin, çoğu izleme aracı, kötü niyetli bir aktörün sunucunun kontrolünü ele geçirmesi ve küçük değişiklikler yapması durumunda, sunucunun etkinlik modellerinde bir değişikliği muhtemelen fark etmeyecektir.
Çok sayıda uyarı, API’nin kötüye kullanım durumlarını belirlemede başka bir zorluktur. Daha az karmaşık saldırıları belirleyen birçok statik kriter son derece hassastır: Önemli güvenlik olaylarının kaçırılma olasılığını azaltmak için çok sayıda bildirim oluştururlar. Pek çok BT ekibi için bu, API trafiğindeki önemli olayları tespit etmeyi ve bunları düzeltmek için harekete geçmeyi “samanlıkta iğne aramaya” benzer hale getiriyor.
ML odaklı API güvenlik çözümleri, API kötüye kullanım olaylarının karmaşık yapısını ele almanın tek geçerli yolu gibi görünüyor. Ancak işletmelerin böyle bir çözümü seçerken dikkatli olması gerekir.
Veri kümesinin derinliği ve genişliği ile tespit amacıyla kullanılan özelliklerin sayısı, her makine öğrenimi algoritmasının temelini oluşturur. Siber güvenlikte makine öğrenimi için en önemli sorun, nedensellik ve ilişkilendirme konusunda değerli ve kesin bilgiler sunarken büyük miktarda çeşitli ve sıralı verileri yönetme ihtiyacını dengelemektir. Saldırganların taktikleri sürekli değiştiği için işletmelerin her iki ihtiyacı da başarılı bir şekilde karşılayan makine öğrenmesi algoritmalarını seçmesi gerekiyor.
Bu nedenle, API güvenliğine yönelik makine öğrenimi çözümlerinin iki kritik özelliğe sahip olması gerekir:
- Modelin, meşru ve sahte trafik arasında ayrım yapmak için en iyi şansı sağlayacak ve kilit paydaşları derhal harekete geçmeleri ve sorunun ciddiyetini sınırlamaları konusunda uyaracak şekilde, yıllarca süren API verileriyle eğitilmiş olması ve tehdit tanımlamaya yönelik en iyi uygulamalara dayanması gerekiyor.
- İşletmelerin, iş mantığı saldırıları ve anormallikler gibi kritik API kötüye kullanımı sorunlarını daha hızlı bir şekilde tespit edebilmesi için algılama kontrol panellerini ekleyin. Herhangi bir olayı daha hızlı çözmek için kritik tehditlerin, saldırının özünü yakalayan ve kaynağı, yaptığı API çağrılarının sayısı ve süresi gibi temel unsurlarını vurgulayan kesin ve kısa açıklamalarla vurgulanması gerekir.
Bu teknik özelliklerin yanı sıra işletmelerin API kötüye kullanım olaylarını ele alma yöntemlerini de değiştirmesi gerekiyor. Düzenleme, gizlilik ve siber güvenlik uzmanı Sarah Klein, bir LinkedIn blog yazısında şunları yazdı:
“Birçok şirket “veri ihlallerini” tanımlamayı çeşitli kanunlar veya uymakla yükümlü oldukları düzenleyici açıklamalarla tanımlanan olaylarla sınırlandırsa da, olgunlaşan bir veri endüstrisi için bu yetersizdir. Buna ek olarak, şirketler müşterilerine hizmet veya ürün sağlamak veya bunları dahili olarak veri süreçlerini otomatikleştirmek için kullanmak için API’lere daha fazla güvendikçe, güvenlik uzmanlarının proaktif olarak anlatıyı değiştirmesi ve API’nin kötüye kullanımını bir veri ihlali olarak ele alması gerekiyor.”
API kötüye kullanımının veri ihlali olarak tanımlanması doğrultusunda birçok şirket, ürünlerine API kötüye kullanımı tespit etme yeteneklerine yer vermiştir. Gelişmiş Makine Öğrenimi yetenekleri ile API güvenliğine yönelik kapsamlı bir yaklaşımın birleşimi, işletmelerin API saldırılarını önlemesine ve bir kötüye kullanımın tespit edilmesi durumunda etkilerinin azaltılmasına yardımcı olabilir.