Uygulama programlama arayüzleri (API'ler), dijital modernizasyonun arkasındaki bağ dokusudur ve uygulamaların ve veritabanlarının daha etkili bir şekilde veri alışverişine yardımcı olur. Bir Thales şirketi olan Imperva'nın 2024'te API Güvenliğinin Durumu Raporu, 2023'teki internet trafiğinin çoğunluğunun (%71) API çağrıları olduğunu ortaya çıkardı. Dahası, tipik bir kurumsal sitede 2023'te ortalama 1,5 milyar API çağrısı görüldü.
API'ler üzerinden geçen internet trafiğinin büyük hacmi her güvenlik profesyonelini endişelendirmelidir. Sola kaydırma çerçevelerini ve SDLC süreçlerini benimsemeye yönelik en iyi çabalara rağmen, API'ler genellikle kataloglanmadan, kimlik doğrulaması yapılmadan veya denetlenmeden üretime aktarılır. Kuruluşların üretimde ortalama 613 API uç noktası vardır, ancak dijital hizmetleri müşterilere daha hızlı ve verimli bir şekilde sunma baskısı arttıkça bu sayı hızla artmaktadır. Zamanla bu API'ler riskli ve savunmasız uç noktalar haline gelebilir.
Imperva, raporunda API'lerin hassas verilere erişmenin doğrudan bir yolu olması nedeniyle artık siber suçlular için yaygın bir saldırı vektörü olduğu sonucuna varıyor. Nitekim Marsh McLennan Siber Risk Analitik Merkezi tarafından yapılan bir araştırma, API ile ilgili güvenlik olaylarının küresel işletmelere yılda 75 milyar dolara kadar maliyet getirdiğini ortaya koyuyor.
Daha Fazla API Çağrısı, Daha Fazla Sorun
Bankacılık ve çevrimiçi perakende, 2023'te diğer tüm sektörlerle karşılaştırıldığında en yüksek API çağrısı hacmini bildirdi. Her iki sektör de müşterilerine dijital hizmetler sunmak için büyük API ekosistemlerine güveniyor. Bu nedenle, 2023'te API bağlantılı saldırıların ana hedefinin bankacılık da dahil olmak üzere finansal hizmetler olması sürpriz değil.
Siber suçlular, API uç noktalarına saldırmak için çeşitli yöntemler kullanır ancak yaygın saldırı vektörlerinden biri Hesap ele geçirmedir (ATO). Bu saldırı, siber suçluların hesaplara yetkisiz erişim elde etmek için API'nin kimlik doğrulama süreçlerindeki güvenlik açıklarından yararlanmasıyla meydana gelir. 2023 yılında tüm ATO saldırılarının neredeyse yarısı (%45,8) API uç noktalarını hedef aldı. Bu girişimler genellikle kötü niyetli botlar, otomatik görevleri kötü niyetle çalıştıran yazılım aracıları biçimindeki otomasyon tarafından gerçekleştirilir. Bu saldırılar başarılı olduğunda müşterilerin hesaplarını kilitleyebilir, suçlulara hassas veriler sağlayabilir, gelir kaybına katkıda bulunabilir ve uyumsuzluk riskini artırabilir. Bankaların ve diğer finansal kuruluşların müşterileri için yönettiği verilerin değeri göz önüne alındığında, ATO endişe verici bir iş riskidir.
Yanlış Yönetilen API'ler Neden Bir Güvenlik Tehdididir?
API güvenlik riskini azaltmak, en gelişmiş güvenlik ekiplerini bile hayal kırıklığına uğratan benzersiz bir zorluktur. Sorun, yazılım geliştirmenin hızlı temposundan ve geliştiricilerin ve güvenlik ekiplerinin daha işbirliği içinde çalışmasına yardımcı olacak olgun araç ve süreçlerin bulunmamasından kaynaklanıyor. Sonuç olarak neredeyse her 10 API'den biri, doğru şekilde kullanımdan kaldırılmaması, izlenmemesi veya yeterli kimlik doğrulama denetimlerinin bulunmaması nedeniyle saldırılara karşı savunmasızdır.
Imperva, raporunda kuruluşlar için güvenlik riskleri oluşturan üç yaygın yanlış yönetilen API uç noktası türünü belirledi: gölge, kullanımdan kaldırılmış ve kimliği doğrulanmamış API'ler.
- Gölge API'leri: Belgelenmemiş veya keşfedilmemiş API'ler olarak da bilinen bunlar, denetlenmeyen, unutulan ve/veya güvenlik ekibinin görünürlüğü dışında kalan API'lerdir. Imperva, gölge API'lerin her kuruluşun etkin API koleksiyonunun %4,7'sini oluşturduğunu tahmin ediyor. Bu uç noktalar, yazılım testinin amacından üçüncü taraf hizmetlere yönelik bir bağlayıcı olarak kullanılmasına kadar çeşitli nedenlerle tanıtılmıştır. Bu API uç noktaları kataloglanmadığında veya düzgün şekilde yönetilmediğinde sorunlar ortaya çıkar. İşletmelerin gölge API'ler konusunda endişelenmesi gerekir çünkü genellikle hassas bilgilere erişimleri vardır, ancak kimse onların nerede bulunduğunu veya neye bağlı olduklarını bilmez. Tek bir gölge API, uyumluluk ihlaline ve düzenleyici para cezasına yol açabilir veya daha kötüsü, motivasyonu yüksek bir siber suçlu, bir kuruluşun hassas verilerine erişmek için bunu kötüye kullanabilir.
- Kullanımdan kaldırılan API'ler: Bir API uç noktasının kullanımdan kaldırılması, yazılım yaşam döngüsünde doğal bir ilerlemedir. Sonuç olarak, yazılım hızlı ve sürekli bir hızla güncellendiğinden, kullanımdan kaldırılmış API'lerin varlığı alışılmadık bir durum değildir. Aslında Imperva, kullanımdan kaldırılan API'lerin ortalama olarak bir kuruluşun etkin API koleksiyonunun %2,6'sını oluşturduğunu tahmin ediyor. Uç nokta kullanımdan kaldırıldığında, bu tür uç noktaları destekleyen hizmetler güncellenir ve kullanımdan kaldırılan uç noktaya yapılan istek başarısız olur. Ancak hizmetler güncellenmezse ve API kaldırılmazsa uç nokta, gerekli düzeltme eki ve yazılım güncellemesine sahip olmadığı için savunmasız hale gelir.
- Kimliği doğrulanmamış API'ler: Çoğu zaman, kimliği doğrulanmamış API'ler, yanlış yapılandırma, aceleye getirilen sürüm sürecinin gözden kaçırılması veya yazılımın eski sürümlerine uyum sağlayacak şekilde katı bir kimlik doğrulama sürecinin gevşetilmesi sonucunda ortaya çıkar. Bu API'ler ortalama olarak bir kuruluşun etkin API koleksiyonunun %3,4'ünü oluşturur. Kimliği doğrulanmamış API'lerin varlığı, hassas verileri veya işlevleri yetkisiz kullanıcılara ifşa edebileceğinden ve veri ihlallerine veya sistem manipülasyonuna yol açabileceğinden kuruluşlar için önemli bir risk oluşturur.
Yanlış yönetilen API'lerin getirdiği çeşitli güvenlik risklerini azaltmak için izlenmeyen veya kimliği doğrulanmamış API uç noktalarını belirlemek amacıyla düzenli denetimler yapılması önerilir. Sürekli izleme, bu uç noktalarla ilişkili güvenlik açıklarından yararlanmaya yönelik girişimlerin tespit edilmesine yardımcı olabilir. Ayrıca geliştiricilerin, kullanımdan kaldırılan uç noktaların daha güvenli alternatiflerle değiştirilmesini sağlamak için API'leri düzenli olarak güncellemesi ve yükseltmesi gerekir.
API'lerinizi Nasıl Korursunuz?
Imperva, kuruluşların API Güvenliği duruşlarını iyileştirmelerine yardımcı olacak çeşitli öneriler sunar:
- Tüm API'leri, uç noktaları, parametreleri ve yükleri keşfedin, sınıflandırın ve envanterini çıkarın. Her zaman güncel bir API envanteri sağlamak ve hassas verilerin açığa çıkmasını açıklamak için sürekli keşiften yararlanın.
- Hassas ve yüksek riskli API'leri tanımlayın ve koruyun. Özellikle Bozuk Yetkilendirme ve Kimlik Doğrulamanın yanı sıra Aşırı Veriye Maruz Kalmaya karşı savunmasız API uç noktalarını hedefleyen risk değerlendirmeleri gerçekleştirin.
- Şüpheli davranışları ve erişim kalıplarını etkin bir şekilde tespit etmek ve analiz etmek amacıyla API uç noktalarına yönelik sağlam bir izleme sistemi oluşturun.
- Web Uygulaması Güvenlik Duvarı (WAF), API Koruması, Dağıtılmış Hizmet Reddi (DDoS) önleme ve Bot Korumasını entegre eden bir API Güvenliği yaklaşımını benimseyin. Kapsamlı bir etki azaltma seçenekleri yelpazesi, her API'ye özgü olduğundan savunması özellikle zor olan iş mantığı saldırıları gibi giderek daha karmaşık hale gelen API tehditlerine karşı esneklik ve gelişmiş koruma sunar.