Bu yardımda net güvenlik görüşmesinde, Stackhawk CEO’su Joni Klippert, API görünürlüğünün güvenlik ekipleri için neden önemli bir kör nokta olduğunu, eski araçların nasıl yetersiz kaldığını ve Stackhawk’un riskli API’leri ve hassas verileri herhangi bir şey dağıtılmadan önce koddan doğrudan koddan nasıl tanımladığını tartışıyor.
API görünürlüğü genellikle güvenlik ekipleri için büyük bir kör nokta olarak belirtilir. Neden bu kadar çok kuruluşun hala tam API saldırı yüzeyini tanımlamak için mücadele ettiğini düşünüyorsunuz ve bu boşluk nasıl ortaya çıkıyor?
Modern uygulamalar – özellikle AI ile veya AI ile inşa edilenler – API koleksiyonlarının üstünde giderek daha fazla ön uçlardır. Bu API’ler, veritabanlarınızla konuşan, hassas verileri işler ve iş mantığını ortaya çıkarır. Saldırı yüzeyi hakkında konuştuğumuzda API yüzeydir.
Zorluk, çoğu güvenlik ekibinin hala görünürlük için API Gateway izleme gibi eski yaklaşımlara güvenmesidir. Sorun? Ağ geçitleri sadece nelerin dağıtıldığını ve yönlendirildiğini görebilir ve aktif olarak trafik alır. Bu, dahili API’lerin, entegrasyon uç noktalarının veya düzgün bir şekilde kaydedilmeyen herhangi bir şey görünmezdir-genellikle standart işlemleri atlayan AI tarafından oluşturulan kod dahil. Var olduğunu bilmeden önce bir şey gerçek dünya trafiğinden-ya da daha kötüsü, sömürülen-vuruluncaya kadar etkili bir şekilde bekliyorsunuz.
Bunun da ötesinde, API yayılımı hızlı bir şekilde hızlanıyor. API’ler şimdi tüm İnternet trafiğinin% 80’inden fazlasını oluştururken, yeni uç noktalar geleneksel APPSEC araçlarının izleyemediği bir hızda dağıtılıyor.
Stackhawk’ın yaklaşımı farklıdır: API’leri doğrudan kod tabanından tanımlarız – konuşlandırılmadan önce. Bu, ekiplere SDLC’nin başlarında API saldırı yüzeyinin tam bir görünümünü verir ve sadece bir şeyin üretime çarptıktan sonra tepki vermek yerine hassas veri maruziyeti ve kimlik doğrulama gereksinimleri gibi faktörlere göre testlere öncelik vermelerine izin verir.
Stackhawk, API’lerin hassas verileri doğrudan kaynak kodundan kullanmasını tanımladığını söylüyor. Ne tür hassas veriler işaretleniyor ve bu test önceliklerini nasıl bilgilendiriyor?
Hassas veri algılama, güvenlik ve geliştirme ekiplerinin, düzenlenmiş veya yüksek riskli veri türlerinin doğrudan kaynak kodundan işlendiği yerlerde işaretleyerek en önemli API’lere odaklanmasına yardımcı olur.
Örneğin, bir fintech veya bankacılık uygulamasında, sistemimiz /işlemler gibi bir API uç noktasının “Card_Number”, “CVV” veya “Expiry_Date” gibi alanları olan bir JSON gövdesini kabul ettiğini tespit edebilir. Bu anahtar-değer çiftleri PCI tarafından düzenlenen verileri gösterir. Stackhawk bu örnekleri işaretler ve güvenlik testi için bu uç noktalara öncelik verir – çünkü savunmasızlarsa, saldırganlar finansal verilere doğrudan erişim sağlayabilir.
Bu tür verileri koddan otomatik olarak yüzeyme yeteneği – herhangi bir şey konuşlandırılmadan önce – güvenlik ekiplerinin kör uçmadığı anlamına gelir. Bir güvenlik açığının etkisinin en yüksek olacağı çabalara odaklanmalarına yardımcı olur ve en hassas API’lerin üretime ulaşmadan önce en derin incelemeyi almasını sağlar.
Hassas veri tanımlama özelliğinin gerçekten kaputun altında nasıl çalıştığı konusunda bize geçebilir misiniz? Hangi sinyalleri veya meta verileri analiz ediyor?
Kaputun altında Stackhawk, hassas verileri gösteren kalıpları tespit etmek için kaynak kodunu analiz eder. “Credit_card”, “SSN”, “DOB” ve daha fazlası gibi düzenlenmiş veya yüksek riskli bilgilerle yaygın olarak ilişkili anahtar değer çiftlerine ve tanımlılarına bakıyoruz.
Hem veri türünün kritikliğini hem de ne sıklıkta göründüğünü değerlendirmek için ağırlıklı bir puanlama modeli kullanıyoruz. Buna dayanarak, hassas verileri işlemek için API’nin işaretlenip işaretlenmeyeceğini belirleriz. Bu, ekiplerin hangi API’lerin en acil güvenlik testine ihtiyaç duyduğuna öncelik vermelerine yardımcı olur.
Müşteriler, platform içindeki tam eşleşen terimleri inceleyerek bir şeyin neden işaretlendiğine dair şeffaflık kazandırabilir. Ve yakında, sağlık, finansal hizmetler veya ötesi olsun, sistemi alana özgü ihtiyaçlarına göre uyarlamak için kendi hassas veri anahtar kelimelerini ekleyerek algılamayı özelleştirebilecekler.
Stackhawk “kodun nerede yaşadığı” başlamasını vurgular. CI/CD ortamlarında API güvenliğini korumak için bu vardiya sol yaklaşımı ne kadar önemlidir? Bu yetenek geliştiricilerin mevcut iş akışlarıyla nasıl entegre olur? Ayrı takımlar gerektiriyor mu yoksa CI boru hatlarına ve sürüm kontrol platformlarına sorunsuz bir şekilde bağlanabilir mi?
Vites-sol yaklaşım, özellikle AI ile inşa edilenler de dahil olmak üzere modern uygulamalar, API’leri güvenlik ekiplerinin manuel olarak izleyebileceğinden daha hızlı olduğu için API güvenliği için kritik öneme sahiptir. Stackhawk, GitHub, GitLab, Bitbucket ve Azure depoları gibi kaynak kodu depolarıyla doğrudan entegre ederek “kodun yaşadığı yerde” başlar. Bu, API’lerin nerede bulunduğunu ve PCI, PII veya HIPAA regüle edilmiş alanlar gibi hassas verileri işleyip ele alıp almadıklarını otomatik olarak algılamak için kod ön deployu analiz etmemizi sağlar.
Bu analiz sürekli olarak gerçekleştiğinden, ekipler üretime ulaşmadan önce yeni eklenen API’lere gerçek zamanlı görünürlük kazanıyor-çalışma zamanı trafiğine veya manuel envantere dayanan geleneksel yaklaşımlardan büyük bir adım. Güvenlik ekipleri değişikliklerin önünde kalabilir ve geliştiricilerin bu içgörüleri yüzeye çıkarmak için farklı bir şey yapmaları gerekmez.
Test söz konusu olduğunda, Stackhawk doğrudan CI/CD boru hatlarına entegre olur-bu nedenle bir API hassas veri veya kimlik doğrulama modelleri nedeniyle yüksek risk olarak işaretlendiğinde, bir çekme isteği veya yapının bir parçası olarak hemen test edilebilir. Bu, güvenlik kontrollerinin otomatik olarak gerçekleşmesi, geliştiricilerin zaten kullandığı veya yönetmek için başka bir araç gerektirmeden zaten kullandığı iş akışlarında gerçekleştiği anlamına gelir.
Güvenliği reaktif ve geç yerine proaktif ve sürekli yapmakla ilgilidir.
Hassas veri tanımlamasının, güvenli olarak doğrulanmadıkça belirli veri türlerini kullanan API’lerin dağıtımını engelleme gibi otomatik bir icra aracına dönüştüğünü görüyor musunuz?
Temel teknoloji uygulanmayı mümkün kılmakla birlikte, Stackhawk’taki felsefemiz, güvenlik ve mühendislik arasındaki işbirliğini güçlendirmektir – sürtünme yaratmak değil. Sadece veri türüne dayalı olarak dağıtımların otomatik olarak engellenmesi, özellikle hızlı hareket eden geliştirme ortamlarında kritik iş akışlarını istemeden bozabilir.
Bunun yerine, hassas veri algılamasını güvenlik ekiplerine erken, eyleme geçirilebilir görünürlük vermenin bir yolu olarak görüyoruz, böylece kod üretimini vurmadan önce mühendislik ile etkileşime geçebilirler. Örneğin, PCI veya PII ile yeni bir API işleme tabi tutulursa, güvenlik, ideal olarak aynı PR veya CI iş akışının bir parçası olarak test edilen bu uç noktanın test edilmesine öncelik verebilir ve doğru kapsamı sağlamak için ekiple birlikte çalışabilir.
Zamanla, kuruluşlar kendi risk iştahlarına ve olgunluklarına göre uygulanmayı benimsemeyi seçebilirler. Ancak ilk, en önemli adımın görünürlük olduğuna inanıyoruz – ve en önemli olanı güvence altına almak için ortak hesap verebilirlik oluşturmak için bu içgörü kullanıyor.