Imperva, daha büyük kuruluşların istatistiksel olarak daha fazla risk altında olduğu konusunda uyarıyor
Yeni bir araştırmaya göre, siber güvenlik olaylarının %4,1 ila %7,5’inden API güvensizliği sorumludur.
Marsh McLennan Siber Risk Analitiği Merkezi tarafından yürütülen ve yaklaşık 117.000 benzersiz siber güvenlik olayının analizine dayanan çalışma, daha büyük kuruluşların istatistiksel olarak daha büyük bir baskınlığa sahip olduğunu buldu. API-ilgili olaylar.
Büyük işletmelerin API güvensizliği yaşama olasılığı, küçük veya orta ölçekli işletmelere göre üç ila dört kat daha fazlaydı.
Araştırmaya sponsor olan siber güvenlik sağlayıcısı Imperva’ya göre, dijital dönüşümün ve iş geliştirmenin hızlanan hızı, büyük işletmeleri açık veya korumasız API’lerden daha fazla risk altında bırakıyor.
API ile ilgili en son güvenlik araştırmalarını yakalayın
API’ler (uygulama programlama arabirimleri), uygulamaların verilere erişmesini veya harici yazılım bileşenleri, işletim sistemleri veya mikro hizmetler ile bağlantı kurmasını sağlamak için bir köprü sunan bir yazılım teknolojisi sınıfıdır.
Birçok API doğrudan arka uca bağlanır veritabanları hassas verilerin depolandığı yerde, saldırganların kilitlendiği ve modern çevrimiçi hizmetlerin yapı taşları haline gelenleri hedefleyen saldırıların artmasına neden olan bir özellik.
API’ler, aşağıdakilerden zarar verici saldırılara olanak tanır: DDoS saldırıları hizmetin komisyon dışında alınması ortadaki manipülatör iletişimleri kesmek, çalmak ve değiştirmek veya yeniden yönlendirmek, kötü amaçlı kod enjekte etmek, hizmetleri veya hesapları ele geçirmek veya basitçe birçok API’nin bağlandığı geniş veritabanlarından çalmaya yönelik saldırılar.
Imperva’ya göre, “Her 13 siber olaydan biri API güvensizliğine atfedilebilir”. “Üretimdeki API sayısı arttıkça, bu rakamın önümüzdeki yıllarda artması bekleniyor.”
Çoğaltmak
Imperva The Daily Swig’e, daha büyük kuruluşların “daha fazla API’ye sahip oldukları ve sınırlı görünürlükleri daha fazla sayıda API’yi savunmasız bıraktığı” için soruna özellikle maruz kaldığını söyledi.
Imperva’da API güvenliği başkan yardımcısı Lebin Cheng şu yorumu yaptı: “API’lerle ilişkili artan güvenlik riskleri, API’lerin yaygınlaşmasıyla ve kuruluşların bu ekosistemlerde görünürlük eksikliğiyle bağlantılı. Aynı zamanda, her API benzersiz olduğundan, her olayın farklı bir saldırı modeli olacaktır. Basit bir yamanın tüm güvenlik açıklarını ele aldığı geleneksel bir güvenlik yaklaşımı, API’lerle çalışmaz.”
Cheng şunları ekledi: “API’lerin çoğalması, bu ekosistemlere ilişkin görünürlük eksikliğiyle birleştiğinde, devasa ve maliyetli, veri sızıntısı”
sayıları çalıştırmak
Imperva’nın çalışması, farklı endüstrilerin API güvenliğiyle ilgili sorunlara maruz kalma derecesinde büyük bir eşitsizlik buldu.
Örneğin, bilgi teknolojisi endüstrisinde API güvensizliğinden kaynaklanan olayların tahmini yüzdesi %18 ile %23 arasındaydı.
Aynı ölçüye göre, profesyonel hizmetler de API ile ilgili sorunlara yüksek oranda (%10-15) maruz kalırken, imalat, nakliye ve kamu hizmetleri (tümü %4-6) orta aralıktadır. Sağlık hizmetleri gibi sektörler, API ile ilgili güvenlik sorunlarına atfedilebilecek güvenlik olaylarının %1’inden daha azına sahiptir.
Pek çok kuruluş API’lerini koruyamıyor çünkü bu, tarihsel olarak bir şekilde çelişkili olan güvenlik ve geliştirme ekiplerinin eşit katılımını gerektiriyor.
Cheng The Daily Swig’e şunları söyledi: “Geliştiriciler hızlı hareket ediyor ve API’leri sürekli değiştiriyor, bu da güvenlik ekiplerinin ayak uydurmasını neredeyse imkansız hale getiriyor. Bu, birçoğunun standart bir yaklaşımın tehditleri en aza indirebileceğini umdukları için etkisiz araçlara güvenmeyi varsayılan hale getirdiği anlamına gelir.
“Ancak, bu savunmalar, hedeflenen API ile ilgili karmaşık saldırıları durdurmak için donanımlı değil. iş mantığı güvenlik açıkları”
“API’ler, genellikle güvenlik ekibinin yetki alanının dışında, geliştirme ekibi tarafından oluşturulur ve yönetilir. Her API, belirli bir uygulamanın ihtiyaçları için tasarlandığından, meseleleri karmaşık hale getiriyorlar” diyerek sözlerini tamamladılar.
Imperva tarafından yaptırılan rapor, başlıklı API Güvensizliği Maliyetinin Ölçülmesi, sorunun üstesinden gelmek için tavsiyelerle sona eriyor. Bu, her API’den akan verilerin tanımlanmasını ve sınıflandırılmasını, API’lerin keşfinin otomatikleştirilmesini ve bir API yönetişim modelinin etkinleştirilmesini içerir.
ÖNERİLEN İnternet taramaları, web siteleri tarafından sızdırılan 1,6 milyon sırrı buldu