Gölge API’ler (Uygulama Programlama Arayüzleri), günümüzde API güvenliğinin karşı karşıya olduğu en büyük tehdittir. 2022’nin ilk yarısında 20 milyardan fazla işlemin analizi, bunların 16,7 milyarının doğası gereği kötü amaçlı olduğunu ve çoğunluğunun (5 milyar), daha yaygın olarak Gölge API’leri olarak adlandırılan bilinmeyen, yönetilmeyen ve korumasız API’lere yönelik olduğunu ortaya çıkardı.
Birçok kuruluş, BT ekibinin bilgisi olmadan çalıştırıldıkları ve onları güvenlik ekibi için etkili bir şekilde görünmez kıldıkları için Gölge API’lere sahiptir. Kalite güvencesini ve geliştirme API uç noktalarını veya sürüm oluşturma sistemini izlemek için yerinde uygun bir envanter yoksa bunlar yaygın bir sorundur. Ayrıca, uç noktalar değişkenleri kabul edecek şekilde kodlandığında veya tek tip kaynak tanımlayıcısı (URI) yolunda veya sonunda joker karakter girişlerinde de görünebilirler.
Saldırganlar, üretim verileriyle etkileşim kuracak API uç noktalarını kolayca keşfedebilir. Bunu, daha sonra Gölge API’lerini keşfetmek için kullandıkları bir üretim API’sini analiz ederek yaparlar. Üretim API’si iyi korunsa bile, diğer API’lere ihanet etmek için kullanılabilir. Saldırgan, bilinen/korumalı API’nin değerlerini bulanıklaştırarak veya değiştirerek, diğer API uç noktalarını numaralandırır.
API’leri numaralandırma
Numaralandırma saldırıları, farklı diziler arasında hızlı bir şekilde çalışabilen otomasyon araçları kullanılarak kolayca gerçekleştirilir. Farklı sürümler, farklı ana bilgisayar adları altında listelenebilme olasılıkları veya URI yolunun sonunda rastgele karakterleri kabul edecekleri gibi bir dizi kriter kullanacaklar ve bunun ardından elde edilen bilgiler benzerdir. zımbalayıcıya kullanım kılavuzunu API’ye vermek.
Gölge API’leri, çeşitli saldırıları gerçekleştirmek için kullanılabilecek aşırı miktarda hassas veriyi açığa çıkarabilir. Bunlar, çalıntı kredi kartlarının nispeten yavaş kart testi dolandırıcılığından, korunan hesaplara yetkisiz erişim elde etmek için güvenliği ihlal edilmiş kullanıcı adlarını/e-postaları ve parolaları kullanan kaba kuvvet kimlik bilgilerini doldurma kampanyalarına ve perakende web sitelerine yönelik, kafa derisine izin veren yüksek hacimli bot saldırılarına kadar uzanır. talebin arzı geçtiği yerde en son sahip olunması gereken öğeyi yakalamak için.
Örneğin, son zamanlarda yüksek talep gören bir ürün için yapılan bir promosyon sırasında, büyük bir ayakkabı ve giyim perakendecisi, yaklaşık 6 milyon benzersiz IP adresinden gelen 200 milyon API isteğiyle normalden 50 kat daha yüksek bir bot saldırısı tespit etti ve etkisini azalttı. Ancak saldırı burada bitmedi, çünkü saldırganlar ödevlerini yapmış ve bir Shadow API’nin varlığından haberdar olmuşlardı.
Bu gölge API, perakendecilerin platformunda Apple Pay işlevini başlattı. Saldırganlar, tespit edilmekten olabildiğince uzun süre kaçınmak için Shadow API’ye saldırmak için son dakikaya kadar beklediler ve ardından ürün lansmanı başlar başlamaz, (Shadow) Apple Pay API’ye 100 milyondan fazla kötü amaçlı API isteği çarptı. tümü yüksek kaliteli konut proxy’lerinden.
Aktivitede artış
Shadow API kötüye kullanımı, yılın ilk yarısında sürekli olarak saldırı listelerinin zirvesinde yer alırken, rapor Nisan ayında önemli bir artış olduğunu ve saldırıların o zamandan beri artmaya devam ettiğini ortaya koyuyor. Odak noktası, daha sonra ağırlıklı olarak hem alışveriş botu saldırıları hem de hediye kartı saldırıları için kullanılan bu API’lerden kazınan yüksek hacimli içerik olmuştur.
Shadow API’lere yönelik saldırılardaki artışın bize söylediği şey, saldırganların her bir API’nin nasıl çalıştığına, birbirleriyle nasıl etkileşim kurduklarına dair ayrıntılı analizler gerçekleştirdikleri ve bu bilgileri Shadow API’leri kullanmak için kullanıp bir saldırı sırasında hızla dönmelerini sağlayabilecekleri. Aynı zamanda, güvenlik ekipleri bilinmeyen, ölçülemeyen bir riskle çalıştıkları için kör yürüyorlar. Sorunun büyüklüğünü veya ölçeğini bilmiyorlar.
Yakın zamanda bir CISO ile konuşurken, işletmenin ağında 25 API olduğunu tahmin ederken, aslında rakam 109 olanın üç katından fazladır. . Gözden kaçarlar, bu da riskin risk kaydında yeterince temsil edilmediği ve API altyapısının yatırımdan yoksun bırakıldığı anlamına gelir; bu nedenle Forrester Group kısa süre önce API güvenliğini, 2023 Planlama Kılavuzu: Güvenlik ve Risk 2023 raporu.
Ne yapılabilir?
Araştırma, bunun büyüyen bir sorun olduğuna dair çok az şüphe olduğunu gösteriyor. Gölge API’lerinin sayısı artıyor, saldırganlar bunları araştırıyor ve işlevselliklerini çeşitli şekillerde kullanıyor. Bu, otomatikleştirilmiş teknolojinin API’lerin analiz edilmesini ve hassas verilerin benzeri görülmemiş oranlarda kazınmasını sağlaması gerçeğiyle daha da alevlenen bir sorundur.
Gölge API’lere yönelik yüksek hacimli saldırılar bariz olanı vurgular – göremediğiniz şeyi koruyamazsınız, bu nedenle doğru bir çalışma zamanı envanteri tutmak çok önemlidir. Ancak sorunun bir kısmı, API güvenliğinin web uygulama güvenliğinin bir uzantısı olarak görülmesi gerçeğine de iniyor. Birleşik bir uçtan uca yaklaşım yerine saldırıları tespit etmeye vurgu yapıldı.
API güvenliğinin, API ayak izinizin keşfedilmesi, tanımlanması ve envanterinin çıkarılmasıyla başlayan tek tip bir yaklaşımla bütünsel olarak ele alınması gerekir. API mülkü bilindiğinde, üretim ve üretim dışı API’ler için hassas verileri, kimlik doğrulama veya spesifikasyon uygunsuzluğuyla ilgili kodlama hatalarını ortaya çıkarmak ve düzeltmek için sürekli risk analizi yapılabilir. API güvenlik yolculuğunun bu orta aşaması, riskli API’lerin yayına girmemesini sağlamak için devam eden testler ile birlikte davranışsal parmak izi ve gerçek zamanlı engelleme veya aldatma gibi karşı önlemleri kullanan çalışma zamanı saldırı tespitini de içerir.
Bu nedenle, mesele yalnızca gölge API ayak izini azaltmak değil, aynı zamanda bu mekanizmaları yaşam döngüleri boyunca güvenceye almayı amaçlayan çok daha geniş bir yaklaşımı benimseme meselesidir.
