2023’te “siber güvenlik için yeni savaş alanı” olarak kabul edilen API’ler, birçok yönden önümüzdeki yıl bir iş yapabilir veya bozabilir. Bağlayıcı olmaları, günlük kullandığımız dijital hizmetlerin çoğunu desteklemeleri ve bir araya getirmeleri, onları bilgisayar korsanlığı için birincil hedef haline getiriyor. Bir bilgisayar korsanının kutsal kâsesi, en düşük riskli, yüksek kazançlı seçenektir. API’ler pek çok yararlı arka uç hizmetinin merkezi olduğundan, tek bir giriş noktası ve tek bir arıza noktasıdır. Önümüzdeki yılı idare etmek, API’lerle birlikte bölgeye gelen bu doğal tehditleri doğru bir şekilde anlama ve ele alma meselesi olacak.
Onlarla yaşayamam, onlarsız yaşayamam.
API’ler çok kolaydır, bu nedenle günümüzün dijital olarak yerel, hızlı hareket eden, anında memnuniyet odaklı bilgi çağında yaygın olarak kullanılmaktadırlar. Aslında, neredeyse her yerde bulunuyorlar veya önümüzdeki birkaç yıl içinde olacaklar. Apple, size bu güzel günlük güncellemeleri sağlamak için Hava Durumu Kanalı API’sini kullanır, müzik uygulamaları, hangi şarkıyı dinlediğinizi göstermek için API’leri kullanır ve park hizmetleri, bir sonraki müsait yer olduğunda sizi bilgilendirmek için API’leri kullanır. Yakın zamanda yapılan bir araştırma, kurumsal liderlerin %97’sinin API kullanımını gelecekteki büyüme için gerekli olarak sınıflandırdığını ve bir başka çalışmada, kullanılan ortalama API sayısının geçen yıla göre %82 arttığını gösteriyor.
Hızlı bir örnek, bilgisayar korsanları için neden ve neden birincil hedef olduklarını gösterecek. Bir restoranda, tüm aşçı ekibiyle değil, bir garsonla iletişim kurarsınız. API’lerden önce, kullanıcılar (ister kuruluş ister son kullanıcı olsun) çok daha büyük bir bilgi yüküne sahipti ve ihtiyaç duydukları bilgileri elde etmek için çok şey bilmek zorundaydı. Başka bir deyişle, menüyü, pişirme sürelerini, stoklama seçeneklerini, bulaşık rafını ve kısa süreli ızgarayı bilmeniz gerekiyordu. Şimdi, API’ler sahneye giriyor ve bir garsonunuz var. Sonunda, tüm bunları sizin yerinize yönetecek ve sürekli karmaşıklaşan arka uçla başa çıkmak için tek irtibat noktanız olacak biri. API’ler harikadır ve günümüzde dijital hizmetlerin çoğunun temelini oluşturur. DevOps için bir nimet oldular ve yalnızca zaten baş döndürücü dijital büyümeyi hızlandırdılar. Ancak, üzerlerinde dinlenecek çok şey olduğu ve seyahat eden çok fazla bilgi olduğu için. Ve onlar aracılığıyla, güvenlik açısından da büyük bir sorumluluktur.
Zırhta hiçbir çatlak, bu haliyle zayıf halka olamaz. En iyi haliyle bile, bir API önemli ölçüde risk altındadır. Bununla birlikte, karışıma gereksiz ve gizli güvenlik açıklarını ekleyin ve bunlar bir saatli bomba haline gelir.
API güvenlik açıkları (ve bunlarla nasıl başa çıkılacağı)
En tehdit edici güvenlik açıklarından biri, daha önce bahsedilen güvenlik açıklarıdır – bunların doğası, kullanıcı ile sayısız arka uç hizmeti arasındaki arayüzdür. Sırtlarına bir hedef koyar.
Gerisi daha incelikli. İşte beş tane:
- Aşırı izin veren API’ler. Zaten yeterince idare ediyorlar. Bu nedenle, API bir süper kullanıcı olarak ele alınmalı ve aynı önlemlerle korunmalıdır. Ayrıca, onları “ortalama kullanıcı” olarak değerlendirmek ve en az ayrıcalık ilkesiyle çalışmak yararlı olabilir. Talep eden varlığa (uygulamayla arayüz oluşturan kişi) yalnızca ihtiyaç duyduğu şeyi verin ve geri kalan süper bağlantılı süper güçleri devre dışı bırakın. API güvenlik anketini yanıtlayan beş kişiden biri, aşırı ayrıcalıklı API’ler nedeniyle bir ihlal yaşadı.
- Koddaki hatalar. Doğaları gereği birçok API, açık kaynak modellerinden kesilip yapıştırılır. Bu, hızlı bir şeyin pazara daha hızlı girmesini sağlar. Ve hız harika. Ama sonra her zaman var olan güvenlik sorunuyla karşılaşıyoruz. Bir kuruluş, gösterişli yeni web uygulaması için geliştiriciden bir API ister ve ekip bunu olabildiğince verimli bir şekilde çıkarmak ister. Temelde ön ve arka uçları köprülediğinden, daha önce yapılmamış bir şey değildir ve kullanılabilir kaynak kodu GitHub gibi ücretsiz depolarda bulunur. Bu nedenle ekip, kullanım için güvenli olduğunu varsayarak, teknik özelliklere uyması için basit bir API ince ayarını indirir ve kullanıma sunar. GitHub’da yayınlanmadan önce test edildi, değil mi? Şart değil. Takımlar sahip olmak açık kaynaklı API’ler her zaman en son yükseltmeler veya yamalarla güncellenmediğinden ve arka kapılar mevcut olabileceğinden kendi kontrollerini yapmak.
- Güvenlik üzerinde hız. Bundan daha önce bahsedilmişti, ancak son aşamadaki felaketlerden kaçınmanın en iyi yolu, güvenliği göz önünde bulundurarak API’ler oluşturmaya başlamaktır. Bazı QC ekipleri durum tespiti yaparken (umarız) onları oyunun sonlarında yakalayabilir veya güvenlik özelliklerini en baştan tasarıma dahil edebilirsiniz. Sorun yatırımdır. Dışarıdan bir API tasarımcısı ile sözleşme yaparsanız, şirketinizin bir ihlalle karşı karşıya kalıp kalmadığına ilişkin hiçbir çıkarları yoktur. Belki itibarlarına yansıyacaktır, ancak sözleşmede güvenlik beklentileri hakkında hiçbir şey yoksa, risk müşteri tarafından üstlenilir. Küçük yazıları kontrol ettiğinizden ve beklentilerinizi ve gereksinimlerinizi önceden belirttiğinizden emin olun. Tüm API’ler eşit yaratılmamıştır, bu nedenle satın almadan önce şirket içi veya üçüncü taraf bir ajansa bir kez daha şans vermekten çekinmeyin. Hepsinin yıldırıma karşı dayanıklılığını yavaşlatır, ancak bu hız, kestirmeden giden şirketler için geri tepecektir.
- Açık (ve gizli) API’ler. Bu bölge ile birlikte gelir. Dış dünyaya açılan API sayısı arttıkça saldırı yüzeyi de artıyor. Bir takas var. Bir yandan, API’lerinizi açık bir API ekosisteminde sergilemek, kuruluşların kullanıcı/ürün etkileşimini izlemesine olanak tanır ve değerli veriler sağlar. Müşterilerin ürününüzü özelleştirmesine olanak tanır ve müşteriler istediklerini elde ettikçe onları elde tutmanıza yardımcı olur. Açığa çıkan bir API ayrıca gelişmiş kullanıcı deneyimi için ürünleri birleştirebilir; hatta bazı endüstriler bunu talep ediyor – üç isim vermek gerekirse bankacılık, telekomünikasyon ve sağlık hizmetleri. Sonuç olarak, Açık API stratejisine sahip şirketler, stratejisi olmayanlara göre gelirlerinde yaklaşık %13’lük bir artış görüyor. Ancak kapıları açmadan önce risklerin farkına varın ve önceden plan yapın: API yayılımı, silolar ve güvenlik kör noktaları. Kodlama hatalarında, gizli güvenlik açıklarında ve ayrıcalığın kötüye kullanılmasında istatistiksel bir artıştan bahsetmiyorum bile.
- Her API benzersizdir. Bir API, şablonla geliştirilmiş ve benzersiz olabilir, bu da ona iki farklı dünyanın risk profilini verir. Bu nedenle, API saldırıları genellikle API’ye özel olarak hazırlanır. SQL enjeksiyonları gibi “bir ve bitmiş” saldırılara karşı güvenlik sağlamak ve üretim öncesi kodu test etmek sizi yalnızca bir yere kadar götürür. İki ucu keskin bir kılıç gibi, API’lerin hızlı, dinamik doğası, gözden kaçan hatalara ve özel olarak programlanmış iş mantığına özel dikkat gerektirir çünkü saldırganlar her ikisinde de saldırıları düzenli olarak test eder.
Yapısal (ve trend olan) API güvenlik açıklarını ele almak, önce farkındalığa bağlıdır. Birincil sorun, yalnızca birkaç kuruluşun riskleri fark etmeden faydaları görmesidir. Akıllı kalın ve şirket içinde eğitim yapın veya değişiklikleri işlemek için oluşturulmuş bir API güvenlik platformunu düşünün. API’lerin güvenliğini sağlamanın temel zorluklarından biri, ortamın sürekli gelişmesi ve bununla birlikte tehditleri değiştirmesidir. 2023’te başarılı olacak kuruluşlar, değişiklikleri kaldırabilecek kuruluşlar olacak.