Akamai'ye göre, web saldırılarının toplam %29'u 12 ay boyunca (Ocak-Aralık 2023) API'leri hedef aldı; bu da API'lerin siber suçluların odak alanı olduğunu gösteriyor.
API entegrasyonu, kuruluşların riske maruz kalmasını artırır
API'ler kuruluşlardaki dijital dönüşümün kalbinde yer alır. Ancak API'lerin varlığı işletmelerin riske maruziyetini artırıyor ve önemli bir güvenlik sorunu teşkil ediyor. Ticaret, API saldırılarının %44'üyle en çok saldırıya uğrayan sektör olurken, bunu yaklaşık %32 ile ticari hizmetler izliyor.
API'ler çoğu kuruluş için hayati öneme sahiptir çünkü hem çalışan hem de müşteri deneyimlerini geliştirirler. Ne yazık ki siber suçlular, bu dijital inovasyondan ve API ekonomisinin hızla genişlemesinden yararlanarak yeni istismar fırsatları yaratıyor. Bu saldırılar, API kullanımına olan talep arttıkça artmaya devam edecek ve kuruluşların API'lerini uygun şekilde hesaba katmalarını ve güvenliklerini sağlamalarını zorunlu kılacaktır.
Dolandırıcılar sadakat programı hesaplarını hedef alıyor çünkü bu hesaplarda puan, mil veya kredi gibi gerçek hayattaki ürünler veya nakit karşılığında kullanılabilecek değerli para birimleri bulunuyor.
Akamai verilerine göre, 2023'te dünya genelindeki şüpheli bot isteklerinin neredeyse üçte biri API'leri hedef alıyordu. Her ne kadar tamamı kötü amaçlı olmasa da, bu bot istekleri kimlik bilgisi doldurma saldırıları ve veri kazıma gerçekleştirmek için silah haline getirilebiliyor ve bu da bilgi hırsızlığına yol açabiliyor.
İş mantığının kötüye kullanılması kritik bir sorundur çünkü API davranışı için bir temel oluşturmadan anormal API etkinliğini tespit etmek zordur. API etkinliklerindeki anormallikleri izlemeye yönelik çözümlere sahip olmayan kuruluşlar, verileri içeriden yavaşça kazımak için kimliği doğrulanmış API'leri kullanan yeni bir veri ihlali vektörü olan veri kazıma gibi çalışma zamanı saldırıları riskiyle karşı karşıyadır.
API'lere yönelik saldırıların kapsamı, hedeflerine sızmak için Yerel Dosya Ekleme (LFI), Yapılandırılmış Sorgu Dili ekleme (SQLi) ve Siteler Arası Komut Dosyası Çalıştırma (XSS) gibi denenmiş ve doğrulanmış yöntemleri içerir.
API ortamlarındaki programlama hataları ve yapılandırma hataları
Yeniden mimari oluşturma ihtiyacını ortadan kaldırmak için kuruluşların uyumluluk gereksinimlerini ve yeni ortaya çıkan mevzuatı güvenlik stratejisi süreçlerinin başlarında düşünmeleri gerekir.
Örneğin Amerika Birleşik Devletleri Menkul Kıymetler ve Borsa Komisyonu (SEC), yakın zamanda halka açık şirketler için önemli güvenlik olaylarının yanı sıra riskler, güvenlik yönetimi ve gözetim hakkında ayrıntılı bilgilerin açıklanmasını gerektiren yeni kurallar yürürlüğe koydu. Dünya çapında şirketler kişisel bilgileri korumadıkları için para cezasına çarptırılıyor.
Çoğu API ortamında mevcut olan yaygın bir iş sorunu, API güvenlik programının olgunlaştırılmasının keşif aşamasında tespit edilen bir programlama hatası veya yapılandırma hatasıdır. Bu hataların çoğu hiçbir zaman istismar edilmese de, güvenlik ekipleri API mülkünü ve her bir API üzerinde çalışan trafiği görünür hale getirdiklerinde potansiyel hasarı görebilirler.
Çoğu zaman, API'leri içeren uygulamalar ve iş süreçleri, güvenlik ekiplerinin duruşlarını değerlendirebileceğinden daha hızlı başlatılır ve dağıtılır. Bu, yanlış yapılandırmaları ve güvenlik açıklarını kaçınılmaz kılıyor gibi görünüyor. Buna çoğu kuruluştaki API güvenlik uzmanlığı eksikliğini de ekleyin ve hoş olmayan bir güvenlik denklemi için tüm değişkenlere sahip olursunuz.
Akamai Danışmanlık CISO'su Steve Winterfeld, “API'ler kuruluşlar için giderek daha kritik hale geliyor, ancak güvenlikleri genellikle bu kapasiteye göre tasarlanmıyor veya güvenlik ekibi yeni teknolojinin hızlı dağıtımına ayak uyduramıyor” dedi.
API'ler şirketlerin geliştirmekte olduğu birçok yeni yeteneğin temelini oluşturur; ancak çoğu durumda API'lerin güvenliği ya planlama sürecinde yeterince erken dikkate alınmıyor ya da yeni teknolojinin hızlı dağıtımına ayak uyduramıyor.