2023’te CISO’lar için API ekosistemlerinin güvenliğini sağlamak hiç bu kadar kritik olmamıştı.
API’lerin birçok avantajı vardır. Ana fayda, ayrı hizmetlerin birbiriyle bağlantılı olması ve kritik verilerin çalışanlar, ortaklar ve müşterilerle değiş tokuş edilmesidir.
Ancak modern şirketin binlerce API’si var. Onlar da çok hızlı değişiyor. API’ler, bağlı oldukları hassas veriler nedeniyle bilgisayar korsanları için gerçek bir altın madeni. Ve API güvenliği ihlaller artıyor.
Securiti, API hatalarının en büyük veri ihlallerine neden olduğunu söylüyor. CISO’ların güvenli bir API yapısı oluştururken karşılaştıkları en önemli sorunları burada bulabilirsiniz.
API Güvenlik Programı / Stratejisi
Wallarm, CISO’ların %48,8’inin API güvenlik programını en önemli endişeleri olarak gördüğünü söylüyor.
CISO’lar, kapsamlı bir API güvenlik programının neye benzediğini bulmakla görevlidir. API’lerle ilgili dikkate alınması gereken birçok nüans ve faktör vardır. Örneğin, bir API güncellendiğinde daha önce sahip olmadığı yeni güvenlik sorunları yaratabilir.
Bu nedenle güvenlik stratejileri statik olamaz. Ayrıca API ekosistemindeki değişikliklerin genel güvenliği nasıl etkileyebileceğini güncellemeli veya en azından hesaba katmalıdırlar.
Geçmişin güvenlik programı, virüsten koruma yazılımı, güvenlik duvarı ve güvenli parolalar olabilir. Bu iyi bir başlangıç noktasıdır. Ancak bugün, dikkat edilmesi gereken çok daha fazla şey var.
Ancak güvenli bir API planı oluşturulmalıdır. Güvenlik ve BT ekipleri rehberlik ve yönlendirme için CISO’ya bağlıdır. Ve CISO’lar bu gerçekle karşı karşıya.
Risk değerlendirmesi
API güvenlik programları ile el ele. SALT’lar Bir CISO’nun Temel API Güvenliği Kılavuzu risk değerlendirmesinin hiç bu kadar karmaşık olmamıştı diyor.
Gelişme hızı sadece daha hızlı oluyor. Bu, risklerin de daha hızlı değerlendirilmesi gerektiği anlamına gelir. Bu, öncelik yönetimini kritik hale getirir. Riskler ve güvenlik açıkları anlaşılmalı ve mantıksal olarak ele alınmalıdır.
Ayrıca, API güvenlik yatırımlarının akıllıca yapılması gerekir.
Yeni API’ler için Değişiklik Yönetimi
API güvenlik stratejisinin alt kümesi, değişiklik yönetimi endişesini artırıyor.
İşlem Temposu diyor ki:
“Yeni API’ler, uygun dokümantasyon, yönetişim ve değişiklik kontrolü olmadan hızla dağıtılıyor.”
Her yeni API dağıtımı, yeni altyapı gerektirir. Bu da entegrasyonun, olası tehditlerin ve güvenlik açıklarının ve hangi koşullar altında hangi adımların atılması gerektiğinin net bir şekilde anlaşılmasını gerektirir.
API Tehdit Tespiti
CISO’larla yapılan birçok görüşme sonucunda Process Tempo, API tehditlerinin tespit edilmesini en önemli altı endişeden biri olarak belirledi.
Birçok kuruluş, kaç tane API’ye sahip olduğunun farkında değil. “Gölge API’leri”, bir bakıma, tüm olası güvenlik risklerini bilmeyi imkansız hale getiriyor.
CISO’lar, API’ye yönelik tüm olası tehditleri tespit etmek ve tanımlamak için bir süreç bulmalıdır. Sadece gerçek zamanlı olarak değil. Ama aynı zamanda önceden, böylece bu konuda bir şeyler yapılabilir.
Saldırı Yüzeyi
Wallarm’a göre CISO’ların %34,1’i en çok saldırı yüzeyiyle ilgileniyor.
API’lerin büyümesi patlamadan başka bir şey değildir. Nordic API, geliştiricilerin %90’ından fazlasının API kullandığını söylüyor. %69’u üçüncü taraf API’leri kullanırken, %20’si dahili veya özel API’leri kullanıyor.
MarketsandMarkets, API yönetimi pazar boyutunun 2022’de 4,5 milyar dolardan 2027’de 13,7 milyar dolara çıkmasının beklendiğini söylüyor.
Artan API benimsenmesi tek bir anlama gelebilir: Büyüyen bir saldırı yüzeyi. Daha fazla API, tanımlanması gereken daha fazla risk ve güvenlik açığı anlamına gelir. Ve birçoğu mutlaka önceden tanımlanamaz. Geliştiriciler hızlı hareket etmelidir, bu nedenle genellikle tüm endişeleri önceden ele alamazlar.
Bununla birlikte, tam güvenlik için tüm saldırı vektörlerinin tanımlanması gerekir. Bu, yalnızca ek entegrasyonlarla daha karmaşık hale gelir. Eski API’ler (güncellenmemiş) de sorunlu olabilir.
Koruma Çevresi
Process Tempo, güvenli API’ye ilişkin en önemli endişelerden birinin, korumanın nadiren tek seferlik bir işlem olması olduğunu söylüyor. Kendi sözleriyle:
“Koruma uygulamak için nadiren tek bir ‘ağ geçidi’ vardır.”
Farklı entegrasyonlar ve uygulamalar için birçok güvenlik yapısının oluşturulması gerekebilir.
Process Tempo, API trafiğinin hem iç hem de dış kullanımdan oluştuğunu söylüyor. Uygulama API koruması her ikisi için de gereklidir.
Manuel Güvenlik Yapılandırmaları
İşlem Temposu, her yeni API için manuel güvenlik yapılandırmalarının yapılması gerektiğini belirtir. Güvenli API, binlerce API içeren bir ekosistemde zaman alan bir görevdir.
BT ve Siber Güvenlik Yeteneği
Wallarm’a göre, CISO’ların %12,2’sinin en önemli endişesi mühendisler ve personel uzmanlarıydı.
CISO’lar, iyi BT ve güvenlik yeteneğinin API güvenliğini geliştirmelerine yardımcı olduğuna inanır. Uzmanlar, riskleri ve güvenlik açıklarını bulmanıza yardımcı olabilir. İş ortakları ve satıcılar önerebilirler. Belirli araçlar önerebilirler. Hatta CISO’ları stratejik düzeyde destekleyebilirler.
Nisan 2022’de Forbes kıdemli yazarı Edward Segal, güvenlik personeli sıkıntısı konusunda uyarıda bulundu. ABD siber güvenlik işgücünün bir milyon güçlü olmasına rağmen neredeyse 600.000 doldurulmamış siber güvenlik pozisyonu olduğunu söyleyen Philadelphia Inquirer’dan alıntı yaptı.
CISO’ların siber güvenlik yeteneğinin mevcudiyeti konusunda bu kadar endişelenmesine şaşmamalı. API güvenlik ihlalleri.
Silolanmış DevOps ve Güvenlik Ekipleri
Process Tempo’ya göre, mühendisler ve personel uzmanlarından oluşan bir alt küme olarak CISO’lar, DevOps ile güvenlik ekipleri arasındaki bazen parçalanan ilişkiden duydukları endişeyi dile getirdiler.
API’lerin %30’unun BT güvenliğinden girdi olmadan dağıtıldığını ekliyorlar. Bu, güvenlik endişelerinin genellikle önceden ele alınmadığı anlamına gelir.
Güvenilir Ürünler ve Satıcılar
Wallarm, CISO’ların %4,9’unun güvenilir ürünlerin ve satıcıların en önemli endişe kaynağı olduğuna inandığını söyledi.
CISO’lar mevcut tüm çözümlerin farkında olmalıdır. Ama onların işi burada bitmiyor. Durumları için doğru ürünleri ve satıcıları bulmaları gerekir. Piyasaya yeni giren birçok kişi var. Ve bu, kime güveneceğini bilmeyi zorlaştırabilir.
Ardından, belirli ihtiyaçları belirleme teknik sorunu gelir. Bir CISO’nun ele almak istediği API güvenlik sorunlarına en uygun çözüm hangisidir? Bu endişeler konsültasyonda tartışılabilir. Ama tabi bunun için ek süre gerekiyor.
Sonuç: CISO Öncelikleri 2023
Entegrasyonlarınızı güvence altına almaya çalışırken en büyük endişeleriniz nelerdir? API’lerinizi nasıl güvenli hale getirmeyi planlıyorsunuz? Yolculuk, API güvenliğinin acil bir ihtiyaç olduğunu kabul etmekle başlar. Ardından, doğru stratejiyi ve ortakları belirleyin. API güvenliği, aşağıdakiler gibi doğru API koruma çözümü ile mümkündür: AppTrana.