Video
CISO’lar ve Analistler Görünürlük, Yönetim ve Olay Yanıtlama Çözümlerini Araştırıyor
Anna Delaney (anamadelin) •
15 Ağustos 2024
API’ler, dijital işin gerçekleşmesini sağlayan bağlantılardır. Şirketler ortalama olarak işlemleri gerçekleştirmek ve verilere erişmek için 15.000’den fazla API’ye güvenir, ancak bu arayüzler aynı zamanda güvenlik riskleri de oluşturur. Bu “Derinlemesine İnceleme” özel raporunda, ISMG’den Anna Delaney güvenlik liderlerinin API keşfi, test etme, yönetişim ve olay müdahalesi gibi sorunların üstesinden nasıl geldiğini inceliyor.
Ayrıca bakınız: Yapay Zeka/Makine Öğrenimi ile Daha İyi Güvenlik Operasyon Merkezleri Oluşturma
Sağlık sektörüne yönetilen bakım hizmetleri sağlayan Centene Corp.’un başkan yardımcısı ve CISO’su Rick Doten, “Her şey API tabanlı ve bazı büyük avantajları ve büyük dezavantajları var,” dedi. “Elbette dezavantajları, yüzey alanının genişlemesi ve harici ve dahili API’lerle uğraşmanız. Ancak avantajı şu: Her şeyden telemetri almak çok daha kolay çünkü her şey API tabanlı.”
API güvenliği benzersiz zorluklar ortaya çıkarır çünkü API’leri envanterlemek ve güvenliğini sağlamak, yazılım geliştirme ekibiyle daha yüksek düzeyde iş birliği ve hem geleneksel güvenlik kontrolleri hem de istismar edilebilecek iş mantığındaki potansiyel kusurlar hakkında anlayış gerektirir.
“Tehdit aktörleri sistemlere hiç girmelerine gerek olmadığını anladılar. Verileri, savunmasız API’ler aracılığıyla sızdırabilirler,” diyor daha önce API’ler oluşturan bir teknoloji firmasında güvenlik liderliği yapmış olan, çevrimiçi alışveriş platformu Meesho’da siber güvenlik ve uyumluluk başkanı Aseem Rastogi.
Günümüzün hibrit BT ortamlarının karmaşıklığı API kusurlarının görünürlüğünü azalttı ve bu da operasyonlar için potansiyel riskler oluşturuyor, diyor CISO, OWASP proje lideri ve The Cyber Boardroom kurucusu Dinis Cruz. Cruz, “API güvenliği bir güvenlik sorunu değil,” diyor. “API güvenliği bir mühendislik sorunudur.”
Delaney, bu “Derinlemesine İnceleme” raporunda uzmanlar ve analistlerle şu konuları görüştü:
- Zayıf şifreleme, yetkisiz erişim, kötü amaçlı kod enjeksiyonu, zayıf görünürlük ve yeni bir tehdit olan üretken yapay zeka araçları tarafından yazılan güvenli olmayan kod tarafından oluşturulan güvenlik riskleri;
- Günümüzde mevcut API güvenlik araçlarının güçlü ve zayıf yönleri ve test alanında ihtiyaç duyulan gelişmeler;
- Kuruluş genelinde API görünürlüğünü ve yönetişimini iyileştirmeye yönelik stratejiler.
Bu Bölümde
- Sandy Carielli, Forrester’da güvenlik ve risk uzmanlarına uygulama güvenliği konusunda danışmanlık yapan baş analisttir ve güvenlik ve risk, uygulama geliştirme, operasyon ve iş ekipleri arasındaki iş birliğine vurgu yapmaktadır.
- Doten, BT sektöründe 30 yılı aşkın deneyime sahip bir siber risk yönetimi düşünce lideridir; son 25 yılı özellikle siber güvenliğe odaklanmıştır. Hem çok uluslu bir şirketin CISO’su hem de müşteri güvenliği ve gizlilik programlarını olgunlaştırmak için risk yönetimi ve risk mühendisliği gerçekleştiren bir yönetim danışmanı olarak çalışmıştır. CyberEdBoard üyesidir.
- Rastogi, siber güvenlik ve uyumluluğun tüm yönlerinde 25 yılı aşkın deneyime ve yüksek performanslı güvenlik ekipleri ve işletmeleri tanımlama, oluşturma ve ölçeklendirme konusunda derin deneyime sahiptir. Çeşitli büyük kuruluşlarda BT ve güvenlik programlarına liderlik etmiştir. CyberEdBoard üyesidir.
- Cruz bir CISO ve The Cyber Boardroom girişiminin kurucusudur. Güvenlik ve yazılım geliştirme alanında 20 yılı aşkın deneyime sahiptir ve mühendislik ve güvenliğin işletmeler için kolaylaştırıcı ve hızlandırıcı olduğu üretken-AI destekli ekipler ve ortamlar yaratmaya odaklanmıştır. CyberEdBoard üyesidir.