Çalınan API anahtarları, bugüne kadarki en büyük siber saldırılardan bazılarının arkasındaki suçludur. Başlıkları görüyoruz ve haberleri okuyoruz, ancak genel sonuçları, özellikle de kurumsal mobil güvenlik üzerindeki kayda değer etkileri, genellikle fark edemiyoruz. Bu yılın başlarında 3.000’den fazla mobil uygulamanın Twitter’ın API anahtarlarını sızdırdığı haberini düşünün, bu da kötü niyetli kişilerin binlerce bireysel hesabı ele geçirebileceği ve bir dizi haince faaliyet yürütebileceği anlamına geliyor.
Bunun sizin şirketiniz olduğunu ve rolün tersine döndüğünü ve yüzlerce hatta binlerce mobil uygulamanın API anahtarlarını kurumsal Gmail, Slack veya OneDrive hesaplarınıza sızdırdığını hayal edin. Bu veya benzeri senaryolar gerçekleşirse çalışan cihazları ve hassas şirket verileri büyük risk altında olacaktır.
Son zamanlarda API güvenliğine odaklanma yönündeki baskı, daha fazla işletmenin kurumsal mobiliteye güvendiği, yani mobil uygulama bağlantısına olan güvenin arttığı kritik bir zamanda ortaya çıkıyor. ABD ve İngiltere merkezli güvenlik direktörleri ve mobil uygulama geliştiricileri arasında yakın zamanda yapılan bir ankete katılanların %74’ü, mobil uygulamaların iş başarısı için kritik öneme sahip olduğunu düşünüyor. Ayrıca, mobil uygulamaların işletmelerin hem gelir elde etmesine hem de müşterilerin hizmetlere erişmesine yardımcı olduğu bulundu.
Ayrıca, aynı ankette yanıt verenlerin %45’i, bir mobil uygulamayı çevrimdışı duruma getiren API’lere yönelik bir saldırının işletmeleri üzerinde önemli bir etkisi olacağını söyledi. Bu sonuçlar yalnızca zaten bildiklerimizi doğrular: mobil uygulamalar, kurumsal mobilite ve üretkenlik için kritik öneme sahiptir.
API güvenlik riskleri, cihazın tamamen ele geçirilmesine yol açabilir
API’lerin birçok avantajı olsa da, mobil uygulamalarda her yerde bulunmaları da bariz bir dezavantajdır. Bu, özellikle birçok işletmenin üçüncü taraf uygulamalara ve API’lere güvendiğini düşündüğünüzde doğrudur. Bu üçüncü tarafların sizinle ve kuruluşunuzla aynı güvenlik endişelerine ve prosedürlerine sahip olduğunu düşünüyorsanız, tekrar düşünün. Son zamanlarda bir üçüncü taraf hack’inin Avustralya’nın en büyük telekomünikasyon firmasının büyük bir veri ihlaline maruz kalmasına neden olmasıyla kanıtlandığı gibi, üçüncü taraflar genellikle veri ihlallerinin suçlularıdır – etki maliyetleri hala ölçülmektedir.
İşletmeler için işleri daha da zorlaştıran şey, mobil uygulamaların – ve özellikle onlara güç veren API’lerin – genellikle bilgisayardaki web sayfalarına göre siber saldırılara karşı daha duyarlı olmasıdır. Bir uygulama her kullanıldığında, arka planda çalışıyor olsa bile, cihazınızın en savunmasız olduğu an olan aramalar yoluyla veri gönderir ve alır.
Bir tehdit aktörü, verileri çalmak için bu API çağrılarını veya cihazdan uygulamaya gelen ve cihazdan uygulamaya yönelik istekleri kullanabilir. Bir uygulama cihazın kendisinde yaşadığından, bir tehdit aktörü cihazın tamamını ele geçirerek cihazda depolanan bilgileri büyük risk altına sokma potansiyeline sahiptir. Cihazın şirkete ait veya kişisel (BYOD) olması fark etmez, bir çalışanın erişebildiği her cihazda saklanan bir tür kurumsal veri olduğunu garanti edebilirim.
Kurumsal mobil cihazları ve verileri API güvenlik açıklarına karşı koruma
Bu savunmasız API’ler, yalnızca kuruluşların kârları, itibarı ve uygulanabilirliği için bir tehdit değil, aynı zamanda onların ve müşterilerinin ve ortaklarının hassas verilerini de tehdit ediyor.
Neyse ki, bu tehditlere karşı korunmanın yolları var. İlk olarak, kurumsal uygulamaların karşı karşıya olduğu tehditlere ilişkin ortak bir anlayış oluşturmaya odaklanın ki bu seviye belirleme için önemlidir. Bu, çalışanların telefonlarında bulunan kurumsal mobil uygulamaların, bu uygulamalar yönetilmedikçe veya açıkça ayrılmadıkça, kurumsal verileri hırsızlığa açık hale getirdiği konusunda daha fazla farkındalık yaratacaktır.
Savunmasız API’lere karşı daha iyi koruma sağlamak için atılacak harika bir adım, verilerin cihazın kendisinden ayrıldığı bir strateji geliştirmektir. Bu süreç daha çok kapsayıcılaştırma olarak bilinir. Gelişmiş şifreleme yeteneklerinden yararlanmak ve verilerin yolculuğunun aşamasında, aktarım sırasında ve beklemedeyken güvenliğini sağlamak bir başka kritik faktördür. AES 265 bit şifreleme kullanmanızı öneririm.
Ek olarak, kuruluşlar hassas verileri korumak için daha güçlü kimlik doğrulama süreçlerini dahil etmeye çalışmalıdır.
Çözüm
API güvenlik açıklarından yararlanmak isteyen tehdit aktörlerinin ortaya çıkardığı çok sayıda zorluk vardır ve bu zorluklar yalnızca API saldırı yüzeyi büyümeye devam ettikçe artacaktır. Bu endişeler ilk başta göz korkutucu görünse de, kuruluşlar kurumsal uygulamalarını ve cihazlarını güvence altına almak için proaktif adımlar atabilir.
Geliştirme sürecine ek güvenlik eklemek harika bir adımdır, ancak bazen üçüncü taraf uygulamalarına güvenen kuruluşların karşılayamayacağı veya içgörü sahibi olamayacağı bir lükstür. Bu nedenle kuruluşların, bu uygulamaların kurumsal verilerle nasıl etkileşime girdiğini stratejik olarak düşünmesi ve onu koruyan ek kimlik doğrulama adımları oluşturması zorunludur.