Richard Bird, Baş Güvenlik Görevlisi, İzlenebilir
Sıfır Güven güvenlik modellerinin küresel olarak benimsenmesi, haklı olarak hızla artıyor. Kuruluşların dijital iş modellerini benimsemesi ve hibrit iş gücünü etkinleştirmesi nedeniyle, kuruluşların ağlarına her zamankinden daha fazla kullanıcı ve cihaz erişiyor. Bir Cloud Security Alliance anketi, kuruluşların yüzde 94’ünün Sıfır Güven stratejilerini uyguladığını ve yüzde 77’sinin önümüzdeki 12 ay içinde Sıfır Güven harcamalarını artıracağını ortaya koyuyor. Başkan Biden’ın Mayıs 2021’de yayınlanan Siber Güvenlik Kararnamesi de bu güvenlik modeline kamu desteği sağladı. Emir, federal kurumların Sıfır Güven mimarilerini hızla geliştirmesini ve uygulamasını gerektiriyor.
Sıfır Güven kavramı, 2010 yılında Forrester analisti John Kindervag tarafından popüler hale getirildi. Sıfır Güven’i benimseyen kuruluşlar “asla güvenme, her zaman doğrula”. Bu, her kullanıcının ve cihazın kabul etme girişimini sürekli olarak doğrulamak ve eldeki işe doğru boyuttaki kullanıcı ayrıcalıklarına verilen en az ayrıcalık ilkesini uygulamak anlamına gelir. Sonuç olarak, Sıfır Güven geçmişte ağ erişimini ve kimlik erişim yönetimi güvenliğini iyileştirmeye odaklanmıştır.
Şimdiye kadar, çok iyi. Yine de gerçek şu ki, dağıtılmış ağlar katlanarak büyüyor. Ayrıca kuruluşlar, yekpare iş uygulamalarını çalıştırmaktan yeni uygulamalar oluşturmak ve dağıtmak için sayısız mikro hizmet kullanmaya yöneliyor. Kuruluşlar daha sonra istemcileri sunuculara bağlamak için uygulama programlama arabirimlerini (API’ler) kullanır; hassas veriler göndermek ve almak; ve giderek karmaşıklaşan birbirine bağlı iş süreçlerini yürütün.
API’ler modern iş dünyasının temeli olsalar da yeni riskler de yaratıyorlar. Hızlı API benimseme hızı, kuruluşların bu katman çevresinde güçlü yönetişim ve güvenlik araçları oluşturma becerisini geride bırakıyor. Ayrıca kuruluşlar, beklendiği gibi performans gösteren ancak bulutta yerel hizmetlerin ve mimarilerin güvenliğinden yoksun olan eski uygulamalara bağlanmak için API’leri kullanıyor.
Bu eğilimlerin farkında olan OWASP, bozuk nesne düzeyinde yetkilendirme, bozuk kullanıcı yetkilendirmesi, aşırı veri ifşası ve daha fazlasını içeren bir ilk 10 API güvenlik riski listesi yayınladı.
Gartner, API’lerin 2022’de bir numaralı saldırı vektörü olacağını tahmin etti. API güvenlik risklerinden kaynaklanan ihlaller şimdiden Coinbase, Optus, Uber ve diğerlerini tuzağa düşürdü.
Sıfır Güven, API Katmanını Korumalıdır
Bu nedenle, Sıfır Güven güvenlik modellerinin uygulama, veri ve entegrasyon katmanlarını içerecek şekilde kullanıcı ve cihaz katmanının ötesine geçmesi gerektiği açıktır. Kuruluşlar bunu, API güvenliği sorununu çözerek ve Sıfır Güven çerçevelerinde ortakları, satıcıları, müşterileri ve diğer üçüncü tarafları göz önünde bulundurarak yapabilir.
API’leri yönetmek, kontrol etmek ve güvenliğini sağlamak için BT ve güvenlik ekiplerinin şunları yapabilmesi gerekir:
- API’leri keşfedin ve test edin: Ekipler, API’leri ve hassas veri akışlarını otomatik olarak keşfetmek istiyor. Sürekli keşif sağlayan API güvenlik platformları, ekiplerin ortamları değiştikçe API’leri izlemesine ve tüm API’lerinin her zaman güncel bir envanterini oluşturmasına olanak tanır. Sonuç olarak, ekiplerin herhangi bir değişikliğin yanı sıra gölge ve yetim API’leri tanımlaması kolaydır.
- API risk duruşunu değerlendirin: Risk puanlama, güvenliği dönüştürdü ve API’ler için de geçerli. API güvenlik platformları, her API için bir güvenlik riski puanı sağlar. Bu risk puanları, ekiplerin en büyük risk alanlarına odaklanmasına yardımcı olmak için hassas veri akışları, API çağrı haritaları, kullanım davranışı, tehdit ayrıntıları ve etkinlik seviyeleri gibi çalışma zamanı ayrıntılarını ve diğer faktörleri dikkate alır. Ekipler daha sonra hangi API’lerin kötüye kullanıma karşı en savunmasız olduğunu belirleyebilir, böylece düzeltmeye öncelik verebilir ve tehditleri azaltmak için hızlı önlem alabilirler.
- API saldırılarını durdurun: API güvenlik platformları, ekipleri bilinen ve bilinmeyen API, iş mantığı kötüye kullanımı ve sıfır gün saldırılarının yanı sıra API kötüye kullanımı, dolandırıcılık ve hassas veri hırsızlığını tespit edip durduracak şekilde donatır. Bilgisayar korsanlarının hassas verilere nereden eriştiklerini belirleyebilmek, BT ve güvenlik ekiplerinin bu girişimleri hızla durdurarak zararlarını sınırlandırmasını sağlar.
- API’leri tehdit avı ve araştırması için analiz edin: Kuruluşlar, tüm API çağrılarının ve hizmet davranışlarının uçtan uca bir yol izini oluşturmak için API güvenlik platformlarını kullanarak tehdit avcılığını geliştirebilir. Bu bilgiler, güvenlik operasyonları ekiplerinin, tehdit avcılarının ve adli tıp araştırmacılarının temel nedenleri belirlemek, olay tespitini ve çözümünü hızlandırmak ve süreçleri iyileştirmek için kullanabileceği bir API veri gölünde toplanabilir. Kuruluşlar, bu öngörülerle zaman içinde API saldırı yüzeyini azaltabilir.
Bu dört yeteneği sunduğunu iddia eden çok sayıda API güvenlik satıcısı var, ancak birçoğu bu alanlardan bir veya daha fazlasını sunmakta zorlanıyor. Bu platformlar, bot veya DDoS saldırılarını önleyemeyebilir, API davranışındaki değişiklikleri tespit edemeyebilir, hassas veri akışlarını analiz etme yeteneğinden yoksun olabilir veya başka sınırlamalara sahip olabilir. Sonuç olarak, bir API güvenlik ortağı arayan BT ve güvenlik ekipleri, şirketlerden yeteneklerini alandaki diğerleriyle kıyaslamalarını istemelidir.
API Güvenliğini Güçlendirme Zamanı
Sıfır Güven modelleri, kurumsal güvenliği desteklemek için çok şey yaptı. Ancak Sıfır Güveni API katmanına genişletmenin zamanı geldi. API’ler, acilen önceliklendirilmesi gereken kuruluşlar için önemli ve büyüyen bir güvenlik açığını temsil eder.
API keşfi ve risk azaltma, saldırı engelleme ve tehdit analitiği sağlayan güvenlik platformları, kuruluşların API’leri izlemesine, izlemesine ve düzeltmesine olanak tanır. API’ler açık uç noktalar oluştururken, kötü aktörlerin bu ön kapıdan içeri girebilmesi için hiçbir neden yoktur.
yazar hakkında
Richard Bird, Traceable.ai’nin Baş Güvenlik Görevlisidir. Hem kurumsal hem de start-up dünyasında birden çok kez C düzeyinde yönetici olan Richard, siber güvenlik, veri gizliliği, dijital tüketici hakları ve yeni nesil güvenlik konularındaki uzman içgörüleri, çalışmaları ve görüşleri ile uluslararası alanda tanınmaktadır. Richard dünya çapında açılış sunumları yapıyor ve özellikle siber güvenlik ve risk gerçeklerini iş diline ve zorunluluklarına çevirirken çok rağbet gören bir konuşmacı. CyberTheory Zero Trust Institute Kıdemli Üyesi, Forbes Tech konsey üyesi ve Wall Street Journal, CNBC, Bloomberg, The Financial Times, Business Insider, CNN, NBC Nightly News ve TechRepublic gibi medya kuruluşları tarafından sık sık röportajlar yapıldı. https://www.traceable.ai/