Yazan: Doug Dooley, COO, Veri Teoremi
Bulutta yerel uygulamaların yükselişi, işletmelerin çalışma biçiminde devrim yaratarak hızlı bir şekilde ölçeklenmelerine ve hızlı tempolu dijital ortamda çevik kalmalarına olanak tanıdı. Ancak, farklı sistemler arasında bağlantı kurmak ve verileri paylaşmak için Uygulama Programlama Arayüzlerine (API’ler) artan güven, yeni riskleri ve güvenlik açıklarını da ön plana çıkardı. Her yeni API entegrasyonuyla bir kuruluşun saldırı yüzeyi büyür, saldırganların güvenlik açıklarından yararlanması ve hassas verilere erişmesi için yeni fırsatlar yaratılır.
Bu makale aşağıdaki konulara biraz daha ışık tutmaya çalışacaktır:
- API Saldırı Yüzeyleri
- Gölge API’leri
- Zombi API’leri
- API Koruması
API’ler modern dijital ekosistemlerin omurgası haline gelerek kuruluşların operasyonlarını kolaylaştırmasına, süreçleri otomatikleştirmesine ve kusursuz kullanıcı deneyimleri sunmasına olanak tanıyor. Bunlar, tüm bulut tabanlı uygulama ve hizmetlerin veri taşıyıcılarıdır. API’ler uygulamalar arasında aracı görevi görerek uygulamaların birbirleriyle iletişim kurmasını ve veri alışverişinde bulunmasını sağlar. Ayrıca bulut tabanlı uygulamalarınızdaki kritik hizmetlere ve işlevlere erişim sağlarlar. Bir saldırgan API’lerinize erişim kazanırsa, güvenlik önlemlerini kolayca atlayabilir ve bulut tabanlı uygulamalarınıza erişebilir; bu da veri ihlallerine, mali kayıplara ve itibar kaybına neden olabilir. Verileri kullanmak ve sızdırmak için zaman ve enerjilerinin en iyi yatırım getirisini (ROI) elde etmek isteyen bilgisayar korsanları için API’ler bugün mevcut en iyi hedeflerden biridir.
Yenilik, gelir ve kar sağlayan aynı API’lerin aynı zamanda saldırganların kendi mali kazançları için başarılı veri ihlalleri gerçekleştirmeleri için yeni yollar oluşturduğu açıktır. Kullanılan API’lerin sayısı arttıkça bir kuruluşun saldırı yüzeyi de artar. Kurumsal Strateji Grubu (ESG) tarafından “API Saldırı Yüzeyinin Güvenliğini Sağlama” başlıklı yakın tarihli bir sektör araştırmasına göre, kuruluşların çoğunluğu (%75) genellikle API’lerini günlük veya haftalık olarak değiştiriyor veya güncelliyor; dinamik doğası API saldırı yüzeyleri.
API güvenliği kritik öneme sahiptir çünkü API’ler genellikle modern uygulamaların güvenlik zincirindeki önemli halkadır. Geliştiriciler genellikle güvenlikten ziyade hıza, özelliklere, işlevselliğe ve kullanım kolaylığına öncelik verir; bu da API’leri saldırılara karşı savunmasız bırakabilir. Ek olarak, bulutta yerel API’ler genellikle doğrudan internete sunulur ve bu da onlara herkesin erişebilmesini sağlar. Bu, bilgisayar korsanlarının API’lerinizdeki güvenlik açıklarından yararlanmasını ve bulut tabanlı uygulamalarınıza erişmesini kolaylaştırabilir. Kanıt olarak aynı ESG çalışması, kuruluşların çoğunun (%92) son 12 ayda güvenli olmayan API’lerle ilgili en az bir güvenlik olayı yaşadığını, kuruluşların çoğunluğunun (%57) ise güvensiz API’lerle ilgili birden fazla güvenlik olayı yaşadığını ortaya koydu. Geçen yılki API’ler.
Bir API ortamını korumanın en büyük zorluklarından biri Gölge API’lerin yaygınlaşmasıdır. Gölge API’ler, geliştiriciler veya iş birimleri tarafından BT güvenlik ekiplerinin bilgisi veya onayı olmadan kullanılan API’lerdir.. Bu API’ler, bunları oluşturabilecek teknik bilgiye sahip herkes tarafından oluşturulabilir ve BT departmanı tarafından yönetilmedikleri için genellikle resmi olarak onaylanmış API’lerle aynı güvenlik kontrollerine ve yönetişim politikalarına tabi olmazlar.
Gölge API’ler öncelik, sahiplik ve güvenlik politikası kontrolleri konusunda netlikten yoksundur. Genellikle mobil ve web uygulamalarındaki özellikleri desteklemek gibi ticari amaçlara sahiptirler, ancak hiç kimse bu API’lerin üretimde mi yoksa üretim dışında mı çalıştığından, gerçek sahiplerinin kim olduğundan ve korumak için hangi güvenlik politikası kontrollerinin uygulanması gerektiğinden emin değil. onları saldırıdan korur. Örneğin, bir geliştirici bir iş akışını kolaylaştırmak için bir API oluşturabilir veya bir iş birimi, üçüncü taraf bir uygulamayı entegre etmek için bir API oluşturabilir. Ancak bu API’ler uygun şekilde incelenmediğinde, test edilmediğinde ve güvenliği sağlanmadığında kuruluş için önemli bir risk oluşturabilir. Gölge API’ler; güvenli olmayan uç noktalar, zayıf kimlik doğrulama mekanizmaları ve yetersiz erişim kontrolleri gibi, saldırganların hassas verilere yetkisiz erişim elde etmek için kullanabileceği güvenlik açıkları ortaya çıkarabilir.
Kuruluşların karşılaştığı bir diğer zorluk da Zombie API’lerinin ortaya çıkmasıdır. Zombi API’leri artık kullanılmayan ancak ağda hala etkin olan ve bulutta çalışan API’lerdir. Bu API’ler eski sistemlerden, API’nin önceki sürümlerinden veya kullanımdan kaldırılan uygulamalardan kalmış olabilir; veya o zamandan beri kuruluştan ayrılan geliştiriciler tarafından oluşturulmuş olabilirler. Zombi API’leri özellikle tehlikeli olabilir çünkü izlenemeyebilir veya güvenliği sağlanamayabilir, bu da onları istismara karşı savunmasız hale getirir.
Zombie API’lerinin net bir iş amacı olmasa da kaynakları tüketir, kuruluşlara maliyet getirebilir ve ek saldırı yüzeyi oluşturabilir. Örneğin, bir Zombie API, artık orijinal uygulamasına bağlı olmayan ancak olası geriye dönük uyumluluk nedenleriyle yerinde bırakılan bir API’nin eski bir sürümü olabilir. Ancak zamanla bu eski API unutulur, ancak API’nin operasyonlarını besleyen temel kaynakları (bilgi işlem, depolama, veritabanları) uygun gözetim, bakım ve güvenlik güçlendirmesi yapılmadan çalışır durumda kalır. Saldırganlar bu API’leri hassas verilere yetkisiz erişim sağlamak, güvenlik kontrollerini atlamak ve ağdaki diğer sistemlere karşı yanal hareket saldırıları başlatmak için kullanabilir. Zombi API’leri aynı zamanda Sunucu Tarafı İstek Sahteciliği (SSRF) veya uzaktan kod yürütme (RCE) saldırılarını başlatmak için de kullanılabilir; bu saldırılar, Capital One Breach ve Log4shell küresel istismarlarında görüldüğü gibi tüm sistemleri çökertebilir ve bir kuruluşun itibarına ciddi zarar verebilir. , sırasıyla.
Shadow ve Zombie API’lerinin oluşturduğu riskleri azaltmak için kuruluşların API yönetimi ve güvenliği konusunda proaktif bir yaklaşım benimsemesi gerekir. Buna güvenlik kontrolleri, aktif izleme ve raporlama yeteneklerini içeren kapsamlı bir API yönetim stratejisinin geliştirilmesi de dahildir.
API yönetiminin önemli yönlerinden biri merkezi bir API envanter kataloğunun oluşturulmasıdır. Bu katalog, onaylanmış tüm API’lerin yanı sıra bunların işlevleri, kullanımı ve güvenlik kontrolleriyle ilgili bilgileri içermelidir. Bu, BT ve güvenlik ekiplerinin Gölge API’leri ve Zombie API’lerini tanımlamasının yanı sıra yönetişim politikalarına uygunluğu sağlamak için API kullanımını takip etmesine ve izlemesine yardımcı olabilir.
API yönetiminin bir diğer önemli yönü güvenlik kontrollerinin uygulanmasıdır. Bunlar şifrelemeyi, erişim kontrollerini, kimlik doğrulama mekanizmalarını ve tehdit algılama ve yanıt yeteneklerini içerebilir. API’lerin çok çeşitli saldırılara karşı korunmasını sağlamak için uygulama katmanından taşıma ve altyapı hizmet katmanlarına kadar API yığınının tüm katmanlarında güvenlik kontrolleri uygulanmalıdır.
Ayrıca kuruluşlar, API ile ilgili tehditleri tespit etmek ve bunlara yanıt vermek için tarama, gözlemlenebilirlik, dinamik analiz ve raporlama yeteneklerini de uygulamalıdır. Bu, API kullanımının gerçek zamanlı taranmasını, API etkinliğinin günlüğe kaydedilmesini ve çalışma zamanı analizini ve BT ve güvenlik ekiplerini potansiyel tehditler konusunda bilgilendirmek için uyarı ve raporlama yeteneklerini içerebilir.
API’lerin güvenliğinin sağlanması ve saldırı yüzeylerinin azaltılması söz konusu olduğunda Bulut Yerel Uygulama Koruma Platformu (CNAPP), çeşitli API saldırı tehditlerine karşı onları koruyarak özellikle bulut yerel uygulamalar için güvenlik sağlayan daha yeni bir güvenlik çerçevesidir. CNAPP’ler üç temel görevi yerine getirir: (1) üretim öncesi yapıt taraması; (2) bulut yapılandırması ve duruş yönetimi taraması; (3) özellikle üretim ortamlarında uygulamaların ve API’lerin çalışma sırasında gözlemlenebilirliği ve dinamik analizi. CNAPP tarama ön üretim ve üretim ortamları ile tüm API’lerin ve yazılım varlıklarının bir envanter listesi oluşturulur. Dinamik olarak oluşturulan bulut varlık envanterinin kendisine bağlı API’leri varsa Shadow veya Zombie API’leri keşfedilebilir. Sonuç olarak CNAPP’ler, bu tehlikeli API sınıflarının belirlenmesine yardımcı olur ve bunların zarar görmesini ve savunmasız API saldırı yüzeylerinden etkilenmesini önlemek için koruma katmanları eklenmesine yardımcı olur.
Sonuçta, Shadow ve Zombie API’leri ile API saldırı yüzeylerinin genişletilmesinin ortaya çıkardığı riskleri yönetmenin anahtarı, API yönetimi ve güvenliğine proaktif bir yaklaşım benimsemektir. Bulut güvenliği söz konusu olduğunda CNAPP, bulutta yerel uygulamalara, mikro hizmetlere ve uygulama düzeyinde güvenlik gerektiren API’lere sahip kuruluşlar için çok uygundur. Bulutta yerel uygulamalar oluştururken API güvenliği olmazsa olmazdır ve CNAPP, Shadow ve Zombie API’lerinin neden olduğu saldırılar da dahil olmak üzere genişleyen API saldırı yüzeylerini korumak için etkili bir yaklaşım sunar.
Reklam