kaydeden Yaron Azerual Kıdemli Güvenlik Çözüm Lideri,
Hibrit çalışma ve dijital dönüşüme geçiş, API’lerin kullanımını hızlandırdı. Enterprise Management Associates ile yürütülen Radware’e göre, kuruluşların %97’si iş yükleri ve sistemler arasındaki iletişim için API’leri kullanıyor; %92’si geçen yıl içinde API kullanımını önemli ölçüde veya bir şekilde artırdı; ve %59’u zaten uygulamalarının çoğunu bulutta çalıştırıyor; bunların tümü, API’lerin kurumsal bilgi işlemde oynadığı kritik rolün altını çiziyor.
Zorluk, API korumasının yalnızca API kullanımındaki artışa ayak uydurmakta başarısız olması değil, aynı zamanda birçok şirketin yanlış varsayımlar altında ve siber saldırılardan yeterince korunduklarına dair aşırı güven altında çalışmasıdır – bu riskli bir kombinasyondur. Gerçek şu ki, güvenlik ekiplerinin API’lerini korumaya yönelik yaklaşımlarını yeniden düşünmeleri gerekiyor.
API GÜVENLİĞİNİN DURUMU
Son anketimizde, Avrupa, Asya ve Kuzey Amerika’dan 203 şirket, günümüz kuruluşlarında API güvenliğinin durumunun gerçek dünya resmini çiziyor. Anketin sonuçları, şirketlerin yetersiz ve etkisiz çözümler konusunda yanlış bir güvenlik duygusuna sahip olduğu anlatısını güçlendiriyor:
Belgelenmemiş API’ler önemli ve hafife alınmış bir tehdit oluşturur.
Ankete katılan kuruluşların %92’si yeterli API korumasına sahip olduklarına ve %70’i hassas verileri işleyen uygulamaları görebildiğine inanırken, çoğu (%62) API’lerinin üçte birinin veya daha fazlasının korunduğunu kabul ediyor. belgesiz.
Yorum: Anket, API’lerin önemli bir kısmının bilindiğini ve belgelendiğini ortaya çıkarsa da, belgelenmemiş API’lerin büyük bir yüzdesinden kaynaklanan gerçek (ve hafife alınan) bir tehdit var. Bu, yalnızca bazı kişilerin otomatik API keşfi ve korumasının gerekli olduğuna inanması ve daha da küçük bir kısmın aslında otomatik keşif özelliklerine sahip bir çözüm kullanması gerçeğiyle birleşiyor. Bu, birçok kuruluş için büyük bir ihlale yol açabilecek yanlış anlatının bir parçasıdır: yeterli güvenliğe sahip oldukları, ancak aslında bilinmeyen ve belgelenmemiş API’lere karşı korumalarında önemli boşluklara sahip oldukları inancı.
API saldırıları büyük ölçüde fark edilmez.
Ankete katılan şirketlerin yarısı, mevcut araçlarının API’lerini korumada yalnızca bir şekilde veya çok az etkili olduğunu düşünürken, %7’si çözümlerin hiçbir saldırıyı tanımlamadığını bildirdi.
Yorum: Mevcut araçların API’leri yaygın tehditlere karşı yeterince koruyamaması, yanlış güvenlik anlatısına daha fazla katkıda bulunur. Yanıt verenlerin, uyguladıkları çözümlerin herhangi bir saldırıyı (%7,4) tespit etmediğini bildirmesi daha da rahatsız edici.
Bot saldırıları bir tehdit olmaya devam ediyor.
Şirketlerin yaklaşık üçte biri, otomatik bot saldırılarının API’lere yönelik en yaygın tehditler arasında olduğunu bildiriyor. Bir API saldırısını tespit ederken, %29’u bir API ağ geçidinden gelen uyarılara ve %21’i web uygulaması güvenlik duvarlarına (WAF’ler) güvendiklerini söylüyor.
Yorum: Kuruluşlar, API ağ geçitlerinin ve geleneksel WAF’lerin yeterli koruma sağladığı ve API’lerini savunmasız ve bot saldırıları gibi yaygın tehditlere açık bıraktığı şeklindeki yanlış varsayıma dayalı olarak API güvenliğini sağlamaya devam ediyor. Kapsamlı bir API koruma çözümü bu tehditleri ele alır, ancak yanıtlayanların çok azı bu tür çözümleri devreye aldıklarını belirtir. API’leri korumaya yönelik çözümleri değerlendirirken bot koruması ve otomatik saldırı koruması bir öncelik olmalıdır.
YANLIŞ VARSAYIMLARA DİKKAT
API’lerin güvenliğini sağlamanın birçok zorluğu vardır – yanlış varsayımlar bunların arasındadır. Çoğu kuruluşun API güvenliği konusunda sahip olduğu aşırı güveni çürütürken mitleri ve yanlış inançları ortadan kaldırmak, güvenlik duruşunu iyileştirmeye başlamak için harika bir yerdir.
Burada, API güvenliğini daha da engelleyen ve API’leri savunmasız ve tehditlere açık bırakan birkaç yanlış varsayım bulunmaktadır.
- “Bir WAF, uygulamalarımızı ve API’lerini koruyacaktır.”
WAF’ler gömülü saldırılara karşı koruma için harika bir çözüm olsa da API’lerin maruz kaldığı saldırı vektörlerinin yalnızca bir kısmını kapsar. API’ler, içeriği ayrıştırma ve API’nin özel şemasıyla karşılaştırma yeteneği gibi belirli yetenekler gerektirir – standart WAF’lerin genellikle yapmadığı bir şey.
İkincisi, çoğu WAF çözümü (özellikle bulut WAF tarafından yönetilen hizmetler) yalnızca devreye alınır olumsuz güvenlik modelleri Bu, sıfır gün saldırılarına (henüz imzası olmayan tanıdık olmayan saldırılar) karşı korumayı sınırlar. Negatif bir güvenlik modeliyle kapsanamayacak birçok türde saldırı ve kötü niyetli API çağrıları içerir. API çağrısının kötü amaçlı olup olmadığını belirlemek için pozitif bir güvenlik modeli ve davranışsal analiz gerektirirler – çoğu WAF’nin sunmadığı bir özellik.
Son olarak, kötü amaçlı botlar da dahil olmak üzere API’ler için büyük bir sorun teşkil edebilecek otomatikleştirilmiş tehditler vardır. Bir API, kötü bir bot ile meşru bir makineden makineye aramayı nasıl ayırt edebilir? Şirketler, hesap devralmalarına (ATO), veri kazımaya ve diğer uygulama DoS saldırılarına karşı koruma sağlamak için API çağrılarını da analiz edebilen gelişmiş bot yönetimi çözümlerine ihtiyaç duyar. Şu anda hiçbir WAF bu işlevi sunmamaktadır.
- “Bir API ağ geçidi, API’lerimizi yönetecek ve koruyacak.”
API ağ geçitleri, protokolleri çevirmek ve API çağrılarını doğru hedeflere yönlendirmek gibi API’lerin yaşam döngüsünü yönetmek için tasarlanmıştır. Güvenlik tarafında, API ağ geçitleri, API çağrısını yapan varlığın kimliğini doğrular ve varlığın belirli bir çağrıyı yürütmek için uygun yetkiye sahip olmasını sağlar.
API ağ geçitlerinin daha yüksek güvenlik seviyeleri sunmasını bekleyen daha fazla şirketle birlikte, bazı API ağ geçidi satıcıları temel API koruma yeteneklerini (kimlik doğrulama ve yetkilendirme uygulamasının ötesinde) entegre etmeye başladı. Ne yazık ki, bugüne kadar API’leri pozitif bir güvenlik modeli motoru, bot koruma özellikleri, davranış analizi ve uygulama hizmet reddi (DoS) koruması ile koruyan bir API ağ geçidi çözümü yoktur. API ağ geçitlerinin çoğu, üçüncü taraf API koruma çözümlerine bağlantılar içerir; bu, API satıcılarının, ürünlerinin, yönettikleri API’leri koruma konusundaki sınırlamalarını anladığının açık bir göstergesidir.
- “Kullandığımız API’ler iyi belgelenmiştir ve etkili koruma sağlar.”
İyi korunan bir API, iyi belgelenmiş API. Bir API’yi etkili bir şekilde korumak için API yapısını, parametrelerini, değerlerin türünü ve aralığını ve API gövdesinin beklenen içeriğini yakından bilmeniz gerekir. İyi bir API koruma çözümüyle birleştiğinde, iyi belgelenmiş bir API, güvenlik duruşunuzu önemli ölçüde geliştirir. Bununla birlikte, birçok kuruluşta adreslenmeyen çok sayıda belgelenmemiş ve yönetilmeyen API vardır. Ve belgelenmiş olsalar bile, API’ler uygulamalardan daha sık değişir. Sonuç olarak, belgelerinin ve güvenlik politikalarının düzenli olarak güncellenmesi gerekir.
Etkili API koruması, API’lerin otomatik olarak keşfedilmesini içermelidir. İyi bir keşif motoru ayrıca, keşfedilen API’lerle eşleşecek şekilde uyarlanmış bir güvenlik ilkesini otomatik olarak oluşturup uygulayabilir. Bu, bir API’yi yaşam döngüsü boyunca etkili bir şekilde korumanın en iyi yoludur.
Etkili API Güvenliğinin Bir Anlık Görüntüsü
API güvenliği, çok sayıda ortam ve platformun derinlemesine anlaşılmasını gerektirir. Etkili bir API güvenlik çözümü:
- Mevcut güvenlik ve görünürlük araçlarıyla entegre edin.
- Ortaya çıkan tehditleri algılamak ve API güvenlik ilkelerini otomatik olarak oluşturup optimize etmek için gelişmiş makine öğrenimi algoritmalarından yararlanın.
- Uygulama veya güvenlik uzmanlığı gerektirmeden doğru ve otomatik API keşfi, koruması ve güvenlik ilkesi oluşturmayı etkinleştirin.
- Erişim ihlalleri, veri sızıntısı, hizmet reddi, otomatik tehditler (botlar) ve yerleşik saldırılar dahil olmak üzere çok çeşitli tehditlere karşı API’nin tüm bölümlerini kapsamlı bir şekilde koruyun.
- Otomatik, bot tabanlı tehditlere karşı koruyun.
- Yanlış pozitif olayları düzeltmek ve ortadan kaldırmak için sürekli ve otomatik güvenlik politikası optimizasyonu ve ayarlamaları sağlarken pozitif ve negatif güvenlik modellerini destekleyin.
- “Özel bir API koruma çözümü kapsamındayız.”
Yukarıdaki önerileri dikkate alan iyi bir API koruması harika bir başlangıçtır. Ancak uygulamanızı tamamen korumak için yeterli değildir. API’ler kendi başlarına mevcut değildir. Bir altyapı üzerinde dağıtılan bir uygulamanın parçasıdırlar. API’ye giremeyen bilgisayar korsanları, API ile ilgili olmayan uygulama güvenlik açıklarını arayacaktır. Bir bot saldırısı başlatabilirler veya basitçe bir dağıtılmış hizmet reddi (DDoS) saldırısı başlatabilirler.
Kuruluşlar için tehdit ortamı son birkaç yılda önemli ölçüde değişti. Geleneksel yöntemleri ve araçları kullanarak tüm güvenlik risklerini belirlemek ve azaltmak kesinlikle mümkün değildir. Bunun yerine, güçlü bir WAF, bot yönetimi, tehdit istihbaratı ve DDoS koruması da dahil olmak üzere tüm temelleri kapsayan uygulama korumasına bütüncül bir yaklaşım benimsemek önemlidir. Bu çözümleri tek bir pencereden yönetebilir ve senkronize edebilirseniz, uygulamalarınız ve API’leriniz etkili bir şekilde korunur.
API güvenliği, henüz fidye yazılımı ve DDoS saldırıları gibi haber başlıklarında yer almıyor olabilir. Bununla birlikte, çoğu kuruluş için hızla en önemli güvenlik açığı yüzeyi haline geldi – uygun koruma artan risklerin gerisinde kaldığı sürece devam edecek bir tehdit.
# # #
Kıdemli Güvenlik Çözüm Lideri Yaron Azerual, iletişim ve güvenlik ürünlerinin geliştirilmesine ve bunların çözdüğü pazar zorluklarına ilişkin derin bir anlayışa dayanan 25 yılı aşkın mühendislik, ürün yönetimi ve ürün pazarlama deneyimine sahiptir.
reklam