Wallarm’a göre, 239 güvenlik açığının %33’ü (239 güvenlik açığından 79’u) API güvenliğinin temel direkleri olan kimlik doğrulama, yetkilendirme ve erişim kontrolü (AAA) ile ilişkiliydi.
AAA ilkelerine öncelik vermek
API güvenliğine yönelik güvenlik önlemleri olan açık kimlik doğrulama (OAuth), tek oturum açma (SSO) ve JSON Web Token (JWT), Sentry ve WordPress gibi saygın teknoloji kuruluşlarında tehlikeye atıldı.
Sentry, OAuth belirteci isteklerinde yanlış kimlik bilgileri doğrulaması yaşadı ve potansiyel olarak geliştiricilerin projelerini yetkisiz erişime maruz bıraktı; WordPress’in SSO’su ise bozuk eklenti kimlik doğrulamasına maruz kaldı ve milyonlarca kullanıcının verileri hırsızlığa karşı savunmasız kaldı.
Sağlam API güvenliğinin temeli, yetkilendirme, kimlik doğrulama ve erişim kontrolünün (AAA olarak anılır) temel ilkelerinde yatmaktadır. Bu temel ilkelerin aynı zamanda ciddi sonuçlara yol açabilecek güvenlik sorunlarına ve kusurlarına da tabi olduğunu kabul etmek önemlidir.
2023’ün 3. çeyreği raporu, çeşitli teknoloji şirketleri tarafından kullanılan teknoloji yığınlarında AAA ile ilgili güvenlik açıklarında bir artışa tanık oldu. Bu, kuruluşların potansiyel riskleri etkili bir şekilde azaltmak için tüm tedarik yığınlarını düzenli olarak taahhüt etmeleri ve güncellemelerinin gerekliliğinin altını çiziyor.
API sızıntısına karşı koruma önlemlerinin dahil edilmesi
API sızıntıları önemli bir tehdit olarak ortaya çıktı ancak sıklıkla gözden kaçırılıyor. API sızıntısına karşı koruma önlemlerinin bir güvenlik stratejisi programına dahil edilmesi çok önemlidir.
OWASP API Güvenlik yönergelerinde yer almamasına rağmen rapor, güvenlik ihlallerine yol açan kimlik bilgilerinin (3. taraflarca olanlar dahil) sızdırılmasına kadar takip edilen çok sayıda olayı vurguluyor. Sızan API anahtarları ve sırlarına ilişkin otomatik bir keşif sistemi uygulamak, bunların kullanımını engellemek için kontrolleri ve önlemleri uygulamak ve sonraki saldırılara karşı koruma sağlamak çok önemlidir.
Bu risklerin kanıtı, Netflix, VMware ve SAP’nin yakın zamanda yaşadığı ciddi veri ihlallerinde görülüyor; Netflix, hata mesajlarında JWT gizli anahtarlarını ifşa ediyor ve VMware hassas bilgi güvenlik açıklarını ifşa ediyor.
Wallarm CEO’su Ivan Novikov, “Son aylarda Netflix ve VMware gibi büyük oyuncuların bile önemli miktarda veri ifşasından muaf olmadığını gördük” dedi. “İster kötü niyetli kişilerden ister şirket içi dikkatsizlikten kaynaklansın, bu rapor, iş dünyası liderleri ve siber güvenlik profesyonellerinin, API’lere yönelik tehditlere ve diğer sızıntılara karşı korumayı ürün güvenlik programlarına dahil etmeleri için bir uyandırma çağrısıdır. OWASP API Security Top-10 gibi yerleşik güvenlik çerçeveleri başlamanın bir yoludur ancak günümüzün karmaşık API güvenlik ihtiyaçlarını karşılama konusunda sınırlamaları vardır.”
API’ler artık yalnızca bağlayıcı değil; bunlar bir organizasyondaki veri akışını kontrol eden vanalardır. Küçük veya büyük herhangi bir sızıntı, uyumluluk hatalarından yıkıcı veri ihlallerine kadar önemli aksaklıklara neden olabilir. Bunlar teorik riskler değil; bunlar şu anda gerçekleşiyor ve acil müdahale ve eylem gerektiriyor.