Uygulama odaklı işletmelerin yayılması, uygulama programlama arayüzü (API) güvenlik sorunlarını acil bir endişe kaynağı haline getirdi; zayıf API’lerden kaynaklanan olayların sayısı tavan yaptı ve kuruluşların çoğunluğu buna ayak uydurmak için daha fazla yatırım yapmayı planlıyor – ancak bu, gelecekte de mümkün olacak. Aynı zamanda, güvenlik liderlerinin API güvenlik araçlarına ne kadar güvendikleri ile API’lerine ne sıklıkla saldırıldığı arasında kafa karıştırıcı bir uçurum var.
Bu, İsrail merkezli API güvenlik uzmanı Noname Security için İngiltere ve ABD’de 600’den fazla liderin katıldığı bir araştırmaya göre.
Bu, Noname’in şu başlıklı raporu hazırladığı ikinci yıldır: API güvenlik bağlantısının kesilmesiBaşlıktan da anlaşılacağı gibi, orijinal çalışmadan 12 ay sonra araştırmacılar, katılımcılar arasındaki bu tuhaf ve görünüşe göre büyüyen kopukluğun kanıtlarını buldular.
Geçen yıl katılımcıların %61’i dinamik ve statik uygulama güvenlik testi (DAST ve SAST) araçlarına güvendiklerini ifade ederken, Noname bu yıl bu oranın %94’e yükseldiğini tespit etti. Bununla birlikte, %78’i o dönemde bir API güvenlik olayı yaşadıklarını söyledi; bu oran geçen yılki %76’dan Birleşik Krallık’ta yanıt verenler arasında %85’e yükseldi.
İsimsiz baş teknoloji sorumlusu Shay Levi, bu korelasyon eksikliğinin, eğer bu kadar çok kuruluş, bir tür API istismarını içeren yüksek düzeylerde siber saldırılarla karşı karşıya kalırken araçlarından memnun olabiliyorsa, bir yerlerde bir şeyin pek yolunda gitmediğini öne sürdüğünü söyledi.
Levi bu kopukluğun acilen ele alınması gerektiğini öne sürdü. “Son iki yılda rapor edilen API güvenlik olaylarında devam eden artış, bunun geçici bir eğilim olmadığını, kuruluşların ele alması ve öncelik vermesi gereken acil bir gerçeklik olduğunu gösteriyor” dedi.
“API’ler günümüzün modern ortamında vazgeçilmezdir ancak herkes fidye yazılımlarından, kimlik avı saldırılarından ve veri ihlallerinden endişe duymaktadır. Bu araştırma, güvenlik liderlerinin neden API güvenliğine öncelik vermeye devam etmesi gerektiğini doğruluyor.”
API güvenliği neden önemlidir?
API güvenliği, API’lerin dünya çapında her yerde bulunması nedeniyle gündemde yer alıyor; kullanımları şu anda yılda yaklaşık %200 artıyor. Levi, “Son yedi yılda yazılmış, API’yi açığa çıkarmayan veya kullanmayan hiçbir kod parçasının olmadığını söylüyoruz” dedi.
Ancak API’lerin çeşitli nedenlerden dolayı açık bir risk kaynağı olduğunu da sözlerine ekledi; çoğu büyük kuruluş için kritik öneme sahiptirler; birden fazla genel buluta, ağ geçidine ve bölgeye dağılmış bir ortamda var olmak; ve daha da önemlisi, bunların kullanımı güvenlik ekipleriyle geliştiricileri çatışmaya sokuyor.
Siber suçlular bu tür konularda bilgili olduğundan API’ler, bunların kullanımını içeren birçok yüksek profilli güvenlik olayı ve siber saldırıyla büyük bir saldırı vektörü haline geldi; belki de son zamanların en önemlisi, 2022’de Avustralya’nın Optus’una yapılan ve verileri ifşa eden saldırıdır. milyonlarca telekomünikasyon müşterisinin
Noname’in “eksiksiz ve proaktif” olarak tanımladığı API güvenliğine yaklaşımı üç temele dayanmaktadır:
- Duruş Yönetimi – iyileştirmeyi hızlandırmak ve uyumluluğu kolaylaştırmak için güvenlik açıklarını ve yanlış yapılandırmaları ortaya çıkarmak;
- Çalışma Zamanı Güvenliği – makine öğrenimi tarafından desteklenen gerçek zamanlı trafik analiziyle API saldırılarını tespit etme ve engelleme;
- API Testi – geliştirme döngüsü sırasında API güvenlik açıklarını bulma ve düzeltme.
İsrailli siber istihbarat uzmanı ve eski Meta yazılım mühendisi olan ve 2020’de Noname’in kurucu ortağı olan Levi – adı ya da yokluğu, kendisinin ve kurucu ortağının şirketi kapsayan yasal belgelere koyacak hiçbir şey düşünememesi nedeniyle ortaya çıktı – diğer çoğu API güvenlik uzmanının hala ağırlıklı olarak orta Çalışma Zamanı sütununa odaklandığını iddia ediyor.
“Kurumlar için proaktif olmak daha önemli hale geldi; bu, halihazırda mevcut olanı analiz etmek ve bir siber saldırı vektörü haline gelmeden önce onu kapatacak bir boşluk bulmak anlamına geliyor” dedi.
Model aynı zamanda OWASP’ın API güvenliğine yönelik en önemli 10 riskini de düzgün bir şekilde ele alıyor. Noname, pazarlama şefi Mike O’Malley’in açıkladığı gibi, çoğunlukla web uygulaması güvenlik duvarları (WAF’ler) ve API ağ geçitleri olmak üzere geleneksel API güvenlik araçlarının bu sorunların çözümünde pek işe yaramadığını söyledi.
“Noname’den önce bir CISO ile konuştuğunuzda [chief information security officer] API güvenliği olup olmadığını sorunca ağ geçidi veya WAF’ı olduğunu söylüyorlar” dedi. “Noname’in var olmasının nedeni, bu ürünlerin modern API tehditleri için tasarlanmamasıdır.
“Modern API tehditleri iş mantığı yaklaşımına o kadar kök salmış ki, WAF’ler ve ağ geçitleri bir amaca hizmet etseler de bu zorluklar için tasarlanmamışlardır.
“Bağlantısızlığın kökü onların [buyers] satıcının bir WAF ile OWASP ilk 10’una girebileceğini düşünüyorum ki bu durum giderek azalıyor” dedi O’Malley.
Ne mutlu ki rapor, güvenlik liderlerinin API güvenliğini 12 ay öncesine göre daha fazla öncelik haline getirdiğine dair açık kanıtlar da buldu – %81’i durumun böyle olduğunu söyledi (Birleşik Krallık’ta %84 ve ABD’de %78) ve veriler Ayrıca, itibar kaybı ve çalışan veya müşteri kaybı gibi API bağlantılı olayların artan hacminin etkisinin de açıkça görüldüğünü belirtti.
İngilizler bazı alanlarda geride
Raporun diğer bulgularından bazıları, Birleşik Krallık ekiplerinin envanterlerindeki API’leri Amerikalılara göre daha az görünür hale getirme eğiliminde olduğu (%70 ila %74) ancak İngilizlerin bu API’lerden hangisinin hassas sonuç verdiğini tam olarak bilme konusunda daha başarılı olduğu yönündeki öngörüyü içeriyordu. veriler (%28 ila %19).
ABD kuruluşları da API testi söz konusu olduğunda daha iyi performans gösteriyor gibi görünüyordu; Birleşik Krallık’ta bu oran %17’ye kıyasla %19’u gerçek zamanlı API güvenlik testi üstleniyordu; 2022 raporunda bu oran tersine döndü; Birleşik Krallık için bu oran %14’tü ve ABD için %8.