API’ler her yerde. Günümüzün dijital dünyasını birbirine bağlayan web uygulamalarına güç veriyorlar ve daha fazla kuruluş dijital dönüşüm girişimlerini benimsedikçe ve bulut tabanlı çözümlere yöneldikçe kullanımları artmaya devam edecek.
Bu API yayılımı, kuruluşlar için büyük güvenlik sorunları sunar. Bu dijital girişimler, buluta geçiş projeleri ve API öncelikli uygulama mimarileri ile API geliştirme ve kullanımı çoğaldı. Yine de çoğu işletme, bırakın hassas verileri ifşa edip etmediklerini, altyapılarında kaç tane API bulunduğunu bile bilmiyor. Doğru bir envanter olmadan kuruluşlar API’lerini koruyamaz.
Aynı zamanda, API sayısındaki patlama, saldırılarını gerçekleştirmek için giderek daha karmaşık teknikler kullanan siber suçlular için daha geniş bir saldırı yüzeyi oluşturdu. API’ler, örneğin açık bankacılık uygulamaları için hassas finansal veriler gibi kritik bilgileri taşıdıkları için oldukça kazançlı ve çekici hedefler oluştururlar.
Günümüzün değişken siyasi, sosyal ve ekonomik ortamı, artan sayıda siber saldırılara da katkıda bulunarak, güçlü API güvenlik stratejilerine olan ihtiyacı her zamankinden daha acil hale getirdi.
Küresel Eğilimler İngiltere’ye Ulaşıyor
Salt Security, API güvenliğinin İngiltere’deki işletmeleri nasıl etkilediğini öğrenmek için geçen yıl Londra’da düzenlenen Infosecurity Europe, International Cyber Expo, DTX London, apidays London ve Black Hat Europe dahil olmak üzere en iyi siber güvenlik ticari fuarlarından katılımcılarla iletişime geçti. Finansal hizmetler, teknoloji ve iş danışmanlığı sektörlerini kapsayan Birleşik Krallık merkezli bu kuruluşların aşağıdakilere sahip olup olmadığını öğrenmek istedik:
- Siber güvenlik stratejilerinin bir parçası olarak API güvenliğine öncelik verildi
- Herhangi bir API güvenlik olayı yaşadı
- Belirlenen önemli API güvenlik sorunları
Ankete katılanların %40’ının API güvenliğini yüksek bir öncelik olarak gördüğünü ve şimdiden özel çözümleri değerlendirdiğini, yaklaşık üçte birinin (%32) ise şu anda bir API güvenlik stratejisi oluşturduğunu bulduk. Pratikte bu, yanıt verenlerin %70’inden fazlasının özel API güvenliğine duyulan ihtiyacı halihazırda kabul ettiği anlamına gelir.
API’lerin yaygın olarak benimsenmesinin getirdiği risklerle ilgili artan farkındalık, büyük olasılıkla, yanıt verenlerin yarısından fazlasının (%54) API güvenlik endişeleri nedeniyle bir uygulamanın kullanıma sunulmasını yavaşlatmak zorunda kalmasından kaynaklanmaktadır – bu oran, küresel ölçekte yanıt verenlerle tam olarak aynı yüzdedir. en yeni Salt Labs tarafından hazırlanan State of API Security raporu.
Birleşik Krallık’ta yanıt verenlerin %40’ından fazlası geçen yıl kuruluşlarında meydana gelen bir API güvenlik olayının farkında olduğundan, saldırı önlemenin %43’ten fazlası için ana API güvenlik sorunu olarak tanımlanması şaşırtıcı değil – yine aynı çizgide küresel API Güvenlik Durumu Raporu yanıtlayanların oranı %41’dir. Saldırı önleme ayrıca, yanıt verenlerin %18’inden fazlası için en acil ikinci zorluk olarak tanımlandı ve yaklaşık %60 için öncelik listesinin üst sıralarına yerleştirdi.
Geleneksel API Yönetim Araçları Yetersiz Kalıyor
API ağ geçitleri ve web uygulaması güvenlik duvarları (WAF’ler) gibi API yönetimi araçları birkaç yıldır kullanılmaktadır. Günümüzün güvenlik yığınlarına şüphesiz değer katsalar da, sayıları artan API güvenlik tehditleri, API’leri etkin bir şekilde korumak için yeterli olmadıklarını açıkça ortaya koydu. Bu, Salt Security UK anketine katılanların %60’ının WAF’lere ve API ağ geçitlerine sahip olduğunu belirtmesi, ancak yine de API’lerinin günümüzün siber tehditlerine karşı savunmasız olduğunu fark etmesiyle daha da belirgin hale geliyor.
API ağ geçitleri size API’leriniz üzerinde gözlemlenebilirlik sağlasa ve erişim kontrollerini ve WAF’leri uygulama yeteneği web uygulama trafiğinin kötüye kullanıldığını tespit etmeye yardımcı olsa da, hiçbir araç aşağıda listelenenler de dahil olmak üzere en önemli API tehditlerine karşı koruma sağlayamaz. OWASP API Güvenliği İlk 10.
Aslında, API ağ geçitleri ve WAF’ler, algılama için imzalara ve iyi bilinen saldırı modellerine güvendikleri için iş mantığı kötüye kullanımı ve yetkilendirme istismarları gibi benzersiz API güvenlik açıklarını algılayamazlar.
Ek olarak, her iki araç da API iletişimlerini yavaşlattığı bilinen proxy’ye bağlıdır. Performansı korumak için kuruluşlar genellikle her bir API’yi bir ağ geçidi veya WAF ile aracılık etmekten kaçınırlar, bu da bu API’lerin olası kötüye kullanımlarını tam olarak göremedikleri anlamına gelir.
Öncelik Listesinde Sola Kaydırma Koruması Düşük
BTasarım ve geliştirme süreçlerine daha fazla güvenlik adımı dahil ederek, sola kaydırma uygulamaları kuruluşlardaki güvenlik duruşunu geliştirmeye çalışır. API güvenlik sorunlarını geliştirme yaşam döngüsünün başlarında belirlemek ve ele almak şüphesiz faydalı olsa da, geleneksel test araçları genellikle önceden tanımlanmış kalıplara dayanır ve API’ler düşünülerek oluşturulmamıştır. Ek olarak, API güvenlik açıkları her zaman geliştirmeden kaynaklanmaz ve birçoğu yalnızca çalışma zamanı sırasında belirlenebilir ve giderilebilir.
Dünyanın dört bir yanındaki kuruluşlar, sola kayma güvenliğinin sınırlamalarının giderek daha fazla farkına varıyor ve Birleşik Krallık da bir istisna değil. Salt Labs tarafından hazırlanan en son küresel API Güvenlik Durumu Raporunda yanıt verenlerin dörtte birinden azı (%22) üretim öncesi güvenliği ana API güvenlik sorunu olarak tanımlarken, Birleşik Krallık anketine katılanların yalnızca %10’u sola kaymayı ya karşılaştıkları ana veya ikinci ana zorluk.
Sola kaydırma uygulamalarının değeri olsa da, günümüzün API saldırılarının arkasında genellikle bulunan iş mantığı kusurları, tüm API yaşam döngüsü boyunca sürekli, otomatik çalışma zamanı analizi ve koruma gerektirir.
Birleşik Krallık’ta (ve Her Yerde) API Tehditleriyle Mücadele Etmek İçin Neler Gerekiyor?
Birleşik Krallık’taki şirketler, daha olgun ABD pazarı da dahil olmak üzere diğer bölgelerdekilerle aynı API güvenlik sorunlarıyla karşı karşıya. Bu, tüm API yaşam döngüsünü kapsayabilen ve geleneksel araçların ötesine geçebilen özel API korumalarının artık Birleşik Krallık pazarına ulaşan küresel bir ihtiyaç olduğunu gösteriyor.
En son API Güvenliğinin Durumu raporunda küresel ankete katılanların %94’ü geçen yıl üretimde API güvenlik sorunları yaşadıklarını ve yüksek profilli API güvenlik açıkları API güvenliğinin giderek daha fazla ilgi görmesi şaşırtıcı değil.
Günümüzün karmaşık ve tespit edilmesi zor API tehditlerini ele almak için kuruluşların, sürekli görünürlük, zaman içinde API davranışlarına yönelik zengin bağlam, çalışma zamanında saldırı önleme yetenekleri ve genel güvenliği iyileştirmek için sola kaydırma uygulamaları sağlayan kapsamlı API güvenlik stratejileri geliştirmesi gerekir.