RAIDIAM’a göre çoğu kuruluş, güvenlik kontrolleri olmadan API’ler aracılığıyla hassas verileri ortaya çıkarıyor ve bunu fark etmeyebilirler.
Raporları, Bir dönüm noktasında API Güvenliğisektörlerdeki 68 kuruluşun ayrıntılı bir değerlendirmesinden yararlanır. Gelişmiş güvenliğin zorunlu olduğu İngiltere Açık Bankacılığı gibi düzenlenmiş ortamları kasten hariç tutar. Amaç, düzenleyici baskısı olmayan tipik işletmelerin API’lerini nasıl koruduğunu anlamaktı. Sonuçlar cesaret verici değil.
Kuruluşların% 80’inden fazlası raporun “acilen hareket” kategorisi olarak sınıflandırdığı şeye düştü. Bunlar, API’ler aracılığıyla yüksek değerli kişisel veya ödeme verilerini idare eden ancak statik API anahtarları, uzun ömürlü taşıyıcı jetonları veya paylaşılan sırlarla temel OAuth gibi zayıf kontroller kullanan şirketlerdir. Tüm örnekte yalnızca bir kuruluş, araştırmacıların API’lar için modern bir güvenlik yığınını düşündüğü, istemci sertifikası kimlik doğrulamasına, gönderen kısıtlı jetonlara ve karşılıklı TLS’ye (MTLS) dayandığı şeyleri konuşlandırmıştır.
Veri hassasiyeti ve güvenlik duruşu arasındaki bu boşluk, araştırmacıların ortaya çıkarmak istedikleri temel sorundur. Raporda, “Çoğu kuruluş, API’lere güvenleri artmış olsa bile, API güvenlik sertleşmesi eğrisinin arkasında” diyor.
Kırılgan Bir Temel
Mobil uygulamaları, bulut hizmetlerini ve ortak entegrasyonları desteklemek için API’lerin yaygın kullanımı, saldırı yüzeyinin değiştiği anlamına gelir. Ancak güvenlik uygulamaları genellikle yapılmaz. API’ler bugün kimlik iddialarından ve kart sahibi verilerinden sağlık ve hesap bilgilerine kadar her şeyi ele almaktadır. Ancak birçok kuruluşta, standart güvenlik programlarının kapsamı dışında kalırlar.
Raporda, kuruluşların sadece% 27’sinin API’ları aracılığıyla hangi hassas verilerin ortaya çıktığı konusunda görünürlüğe sahip olduğunu belirtiyor. Yarıdan az API’ye özgü güvenlik testi, bulanıklaştırma veya dinamik analiz gibi. İzleme de eksiktir, yani saldırganlar algılamadan haftalarca API’leri araştırabilir veya kötüye kullanabilirler.
Gibi daha iyi görünüyor
Raiam, daha güçlü API güvenliğine giden bir yol ortaya koyuyor ve çoğu, düzenlenmiş alanlarda zaten kanıtlanmış uygulamaları benimsemeye geliyor. Örneğin, finansal sınıf API’leri, hem istemciyi hem de sunucuyu doğrulamak için karşılıklı TL’lere güvenerek saldırganların meşru uygulamaları taklit etmesini çok daha zor hale getirir. Ayrıca, jeton hırsızlığının geçerli bir erişim yöntemi olmasını önleyen sertifikaya bağlı jetonlar kullanırlar.
Bunlar teorik gelişmeler değildir. İngiltere, Avrupa ve Avustralya’daki açık bankacılık rejimleri bu tür kontrolleri zorunlu kılar ve İngiltere’deki her banka bunları uygulamıştır. Ancak düzenleyici baskısı olmayan endüstrilerde benimsenme düşük kalır.
Bu iki vitesli bir ortam yaratır: Bir grup kuruluş API’leri güvenlik yönetişimiyle temel iş altyapısı olarak ele alırken, diğer grup bunları başka bir geliştirici aracı olarak ele alıyor.
“Raporda ankete katılan çoğu kuruluş, API güvenliği konusunda gecikmiş olsa da, düzenlemenin gerektirdiği bankalar veya gönüllü olarak hareket eden küresel kart planları gibi, glavarlar gibi gecikmeler, ölçek ve olgunluk olarak cüce,” diye açıkladı David Oppenheim, yardım net güvenliğine. “Bu risk duruşunda keskin bir kontrast yaratıyor.”
Oppenheim, yönetim kurulu düzeyinde anlamlı gözetimin teknik akıcılık gerektirmediğini de sözlerine ekledi. “Bu kadar teknik olarak karmaşık bir alandaki yönetim kurulu düzeyinde metriklerin anlamlı bir şekilde yüzleşmesi zor olabilir, ancak gözetim ve yatırımlara rehberlik etmenin hala etkili yolları vardır. Yönetmenlerin hangi tanınmış standartların (örneğin FAPI) kabul edildiğini veya yol haritasında olduğunu sormalı ve kuruluşun mevcut duruş ve izlemelerini süre içinde ölçmek için bir olgunluk modeli veya çerçeve uygulanıp uygulanmadığını sormalıdır.”
Ayrıca başlamak için kolay bir yerden bahsetti: “Basit ama güçlü bir KPI, hala statik anahtarlara veya paylaşılan sırlara dayanan API entegrasyonlarının yüzdesi olabilir, kriptografik korumalara doğru geçiş yapmak için bir zaman çizelgesi ile eşleştirilir. Zaman içinde izleme, güvenlik iyileştirmesine yönelik teknik olmayan görünürlük kazandırır.”
Yapısal değişim geliyor olabilir
Şimdiye kadar, API güvenliğindeki en büyük gelişmeler ya doğrudan düzenleme veya endüstri liderliğindeki görevler yoluyla ortaya çıktı. Ancak başka bir yerde baskı inşa ediyor.
Oppenheim, “Yine, örgütsel boyut kilit bir rol oynuyor” dedi. “Daha büyük firmalar ve altyapı sağlayıcıları zaten gönüllü olarak ilerliyor – sadece bankacılıkta değil, ödemelerde ve kimlik platformlarında – güçlü API güvenliğini ölçek ve güven için gerekli bir temel olarak görüyorlar.”
Uygunluk kuyruk rüzgarlarının ortaya çıktığını da sözlerine ekledi: “TLS temel gereksinimlerinde yapılan değişiklikler, dijital ayak izi olan tüm kuruluşları etkileyecekken, DORA gibi düzenlemeler üçüncü taraf riski etrafında yeni beklentiler yaratıyor-özellikle dış ortaklara maruz kalan API’ler için alakalı.”
Oppenheim ayrıca işleri ileriye taşımaya yardımcı olan daha geniş mimari eğilimleri görüyor. “NIST Zero Trust çerçevesi, dijital ortamlarında örtük güveni azaltmak isteyen birçok kuruluş için bir plan olarak hizmet etmeye başlıyor. Bu bağlamda, PKI veya karşılıklı TLS aracılığıyla güçlü müşteri kimliği, savunulabilir, doğrulanabilir mimarilere doğru daha geniş bir hareketin bir parçası.”