API güvenlik şirketi Salt Security, bugün Salt Labs API Güvenlik Durumu Raporu, Q3 2022’yi yayınladı. Son baskısında, iki yılda bir yayınlanan rapor, ankete katılanların %94’ünün geçtiğimiz yıl üretim API’lerinde güvenlik sorunları yaşadığını tespit etti. %20’si, kuruluşlarının API’lerdeki güvenlik açıkları nedeniyle veri ihlaline maruz kaldığını belirtti. Ayrıca rapor, API saldırı trafiğinin son 12 ayda ikiye katlandığını tespit etti. Salt Security birlikte, bulguların mevcut çözümlerin ve sola kaydırma stratejilerine odaklanan API güvenlik taktiklerinin API’leri yeterince korumakta başarısız olduğunu vurguladığını söylüyor.
API Güvenlik Durumu Raporu, Salt Security Bulut Hizmeti’nden anket yanıtları ve deneysel verilerin bir kombinasyonundan alınır. Q3 2022 raporu, Salt müşterilerinin API saldırı trafiğinde %117’lik bir artış yaşarken, genel API trafiğinin %168 arttığını ve bu da kurumsal API kullanımında devam eden patlamanın altını çiziyor. Kötü amaçlı API trafiğinin toplam trafiğin %2,1’ini oluşturmasıyla, API saldırı girişimleri, bir yıl önce ayda ortalama 12,22 milyon kötü amaçlı çağrıdan geçen Haziran ayında ortalama 26,46 milyon çağrıya yükseldi. Salt müşterilerinin %44’ü her ay ortalama 11 ila 100 saldırı girişimine maruz kalıyor ve %34’ü her ay 100’den fazla saldırı girişiminde bulunuyor, %8’i ise 1000’den fazla saldırıya maruz kalıyor.
“Modern ekonomimizin bel kemiği olan dijitalleşme, kuruluşları yeni hizmetler sunmak ve daha iyi rekabet etmek için API’lere giderek daha fazla bağımlı hale getirdi. Ancak, bu araştırmanın açıkça ortaya koyduğu gibi, dijital inovasyona bu odaklanma, bu kuruluşlara da bir hedef koydu” dedi Salt Security’nin kurucu ortağı ve CEO’su Roey Eliyahu. “API saldırılarının yıldan yıla hızlanmasıyla, anketimizin API stratejileriyle ilgili en önemli endişe kaynağı olarak güvenlik göstermesine şaşmamalı. Rapor bulguları ayrıca, bu genişleyen saldırı yüzeyini ve şirketlerin en değerli varlıklarını daha iyi korumak için geliştirme ile başlayan ancak özellikle çalışma zamanına odaklanan daha sağlam bir API güvenlik stratejisine ihtiyaç olduğunu gösteriyor.”
Ankete katılanların %61’i artık 100’den fazla API’yi yönettiğinden, rapora göre güçlü bir API güvenlik stratejisi geliştirmek kritik önem taşıyor. API kullanımına çok yakından bağlı önemli kurumsal girişimlerle, şirketlerin dağıtım gecikmelerine veya geri almalara karşı toleransı yoktur. Ancak ankete katılanların yarısından fazlası, API güvenlik endişeleri nedeniyle yeni uygulamaların kullanıma sunulmasını geciktirdiğini bildirdi.
Saldırıları durdurma yeteneği, en değerli API güvenlik yeteneği olarak belirtilirken, en düşük dereceli sola kaydırma uygulamaları uygulanır.
API güvenlik platformlarının altı özelliğinden hangisinin “son derece önemli” olduğu sorulduğunda, yanıt verenlerin %41’i buna atıfta bulunarak, saldırıları durdurma yeteneği en üst sırada yer aldı. Hangi API’lerin PII’yi veya hassas verileri açığa çıkardığını belirleme yeteneği ikinci sırayı aldı ve ankete katılanların %40’ı bu özelliğin son derece önemli olduğunu belirtti. Uyum veya düzenleyici ihtiyaçların karşılanması, yanıt verenlerin %39’u ile üçüncü sırada yer aldı. Sola kaydırma uygulamalarını uygulamak listenin en altında yer aldı ve katılımcıların yalnızca %22’si bunu son derece önemli olarak seçti.
“Sola kaydırma” uygulamalarına aşırı güven, işletmeyi başarısızlığa uğratmaya devam ediyor
Tek başına sola kaydırma stratejileri, kuruluşları ve API’lerini açıkta bırakmaya devam ediyor. Ankete katılanların %53’ü geliştirme sırasındaki boşlukları düzeltmeye odaklanırken ve %59’u testlerde API sorunları ararken, %94’ü daha yüksek çalışma zamanı korumasına duyulan ihtiyacı yansıtan API güvenlik olaylarıyla karşı karşıya kaldı. Bu son raporda, yanıt verenlerin yalnızca %30’u çalışma zamanında API güvenlik açıklarını belirleyip düzelttiklerini söylüyor. Yine de, ortamlarında halihazırda çalışmakta olanı tam olarak korumak için kuruluşlar, çalışma zamanı koruma özelliklerine ihtiyaç duyar.
Güvenlik endişeleri, ankete katılanların çoğunluğu için yeni uygulama eylemi sunumlarını geciktiriyor
Ankete katılanların yarısından fazlası (%54), API güvenlik endişeleri nedeniyle yeni uygulamaların kullanıma sunulmasını yavaşlatmak zorunda kaldıklarını belirtti. Zayıf API tasarımı ve güvenlik uygulamaları, genellikle hassas PII veri sızıntılarının temelinde yer alır ve anket yanıtları bu zorluğu pekiştirir – yanıt verenlerin yaklaşık üçte biri, geçtiğimiz yıl API üretimlerinde hassas verilere maruz kalma veya bir gizlilik olayı yaşadıklarını itiraf ediyor. geçen yılki %19’a kıyasla keskin bir artış. Salt müşteri tabanında, API’lerin %91’i bazı PII’leri veya hassas verileri açığa çıkardı, bu da kuruluşların verilerin nasıl ve nerede iletildiğini bilmesini zorunlu hale getirdi, böylece bu API’leri ekstra özenle en iyi şekilde koruyabilirler.
Güvenlik endişeleri ve “zombi” API’leri en büyük endişeleri yaratıyor
Ankete katılanlar, üretim öncesi güvenliğe yeterince yatırım yapmamak (%20) ve çalışma zamanı güvenliğini yeterince ele almamak (%18), API stratejileriyle ilgili en büyük endişelerinin olduğunu bildirdi. En çok ilgili API güvenlik riskleri sorulduğunda, %42’si eski veya “zombi” API’leri söyledi. Zombie API’ler, Salt’ın son dört anketinde 1 numaralı endişe kaynağı olmuştur; bu, muhtemelen kuruluşların API’lerle ilişkili iş değerini en üst düzeye çıkarmaya çalışırken giderek daha hızlı gelişen geliştirmenin bir sonucudur. Hesabın ele geçirilmesi ve hassas bilgilerin yanlışlıkla ifşa edilmesi, her biri %15 ile ikinci en yüksek endişeler olarak bağlandı ve bunu, son altı ayda %5’ten %11’e yükselen “gölge” veya bilinmeyen API’lere ilişkin endişeler izledi.
WAF’ler ve API Ağ Geçitleri, API saldırılarını kaçırmaya devam ediyor
Önceki anketlerde olduğu gibi, katılımcılar API’leri yönetmek ve uygulama saldırılarına karşı korunmak için öncelikle geleneksel araçlara güvendiklerini söyledi. Yanıt verenlerin çoğu, saldırıları belirlemek için API ağ geçitlerine (%54) ve WAF’lere (%44) güveniyor. Bu geleneksel araçların boşlukları, %82’sinin mevcut araçlarının API saldırılarını önlemede çok etkili olduğuna inanmadığı ve %94’ünün bir API güvenlik olayına maruz kaldığı bulgusu ile açıkça ortaya çıkıyor.
Çoklu (çözülebilir) engeller, güçlü API güvenlik stratejilerini engelliyor
Yanıt verenlerin önemli bir çoğunluğu (%61), kritik iş sonuçları elde etmek için API’lere yüksek oranda güvenilmesi nedeniyle endişe duyduklarından, herhangi bir temel API güvenlik stratejisine sahip olmadıklarını veya yalnızca temel bir API güvenlik stratejisine sahip olduklarını kabul etti. Üretimde çalışan API’lere sahip tüm anket katılımcılarına rağmen, şaşırtıcı derecede küçük bir yüzde (%9), özel API testi ve korumasını içeren gelişmiş bir API stratejisine sahip olduklarını belirtti. Sağlam bir API stratejisi eksikliğinin en önemli nedenleri arasında bütçe (%24), uzmanlık (%20), kaynaklar (%19) ve zaman (%11) yer aldı.
API Güvenlik Durumu Raporundan elde edilen ek bulgular:
- Salt müşteri tabanında çalışan API’lerin %91’i PII veya hassas verileri ifşa ediyor
- API değişiklikleri artıyor – Katılımcıların %11’i API’lerini günlük olarak güncelliyor, %31’i bunu haftalık olarak yapıyor ve %24’ü her aydan daha az sıklıkta güncelliyor
- Ankete katılanların yaklaşık yarısı (%55), güvenlik ekiplerinin, altı ay önce %61 olan güvenlik programlarında OWASP API Security İlk 10’u vurguladığını söylüyor; bu talihsiz bir bulgu, Salt müşteri tabanındaki saldırı girişimlerinin %62’sinin bu listedeki yöntemlerden en az biri
- Ankete katılanların %86’sı API envanterlerinin eksiksiz olduğundan emin değil ve %14’ü hangi API’lerin PII’yi açığa çıkardığını bilmediğini itiraf ediyor
- Ankete katılanların %64’ü API güvenliğinin güvenliğin işbirliğine ve hatta DevOps ekipleriyle entegre olmasına yardımcı olduğunu söylüyor
API güvenliği için çıkarımlar
API Güvenlik Durumu Raporu’nun Q3 2022 anket sonuçları açıktır. Yanıt verenler, API’ler kuruluşlarının başarısı için daha da zorunlu hale geldikçe, API’lere olan güvenin artmaya devam ettiğini ezici bir çoğunlukla belirttiler. Ancak aynı zamanda mevcut güvenlik araçları ve süreçleri, yeni API protokollerine ve saldırı trendlerine ayak uyduramıyor. Salt müşteri tabanındaki API trafiği ve kullanım eğilimleri bu gözlemleri doğrulamaktadır. Kuruluşlar, geleneksel güvenlik uygulamalarından ve son nesil araçlardan, API yaşam döngüsünün her aşamasında güvenliği ele alan ve ekipler arasında işbirliğini teşvik eden geniş bir koruma yelpazesi sağlayan modern bir güvenlik stratejisine geçmelidir.
API Güvenlik Durumu Raporu, Q3, 2022, Salt Security’nin araştırma bölümü olan Salt Labs’tan araştırmacılar tarafından çeşitli iş sorumlulukları, endüstriler ve şirket boyutlarında 350’den fazla katılımcının anket verilerini kullanarak derlenmiştir. Ankete katılanların yaklaşık yarısı (%49) güvenlikte görev yapıyor, %19’u yönetici düzeyinde güvenlik veya BT liderleri ve diğer %21’i platform, DevOps veya ürün ekipleri içinde yer alıyor. API kullanımının ön saflarında yaygın olarak görülen teknoloji ve finansal hizmetler şirketleri, yanıt verenlerin %47’sini oluşturuyor. Salt Security API Koruma Platformu aracılığıyla Salt Security müşterilerinden elde edilen anonimleştirilmiş ve toplu deneysel verilere ek olarak, büyük ve küçük şirketler eşit olarak temsil edilir.
Tuz Güvenliği hakkında daha fazla bilgi edinmek veya demo talebinde bulunmak için lütfen https://content.salt.security/demo.html adresini ziyaret edin.