Uygulama Programlama Arayüzü (API) kullanımı, 2021’in ikinci yarısında bu mekanizma kullanılarak analiz edilen 21,1 milyar işlemin yüzde 70’i ile birçok sektörde web uygulaması kullanımını gölgede bıraktı. API’ler popülerdir çünkü mobil hizmetler, buluta geçiş ve daha hızlı yayın döngüleri sağlayarak geliştirmeyi hızla üst düzeye çıkaran ve bunların tümü daha iyi bağlantılı bir ekosistemle sonuçlanan işletmelerdir. Enterprise Strategy Group’a (ESG) göre, kuruluşların yüzde 57’sinin uygulamalarını önümüzdeki iki yıl içinde API’lere geçirmeyi beklemesiyle, kullanımlarının artmaya devam etmesi bekleniyor.
Saldırganlar bu değişimi fark ederek hareket halindeyken hızlı bir şekilde yararlandılar ve dikkatlerini API’lere çevirdiler. Haziran ayında yayınlanan en son Bulut Güvenliği İttifakı (CSA) tehdit vektörleri lig tablosu, API saldırılarının artık bulut bilişimin karşı karşıya olduğu en büyük ikinci tehdit olduğunu ortaya koydu. büyüyor ve işletmelerin API altyapılarını güvenceye almak için yeterince şey yapmıyorlar. Ama nerede yanlış yapıyorlar?
API’ler farklı şekillerde kötüye kullanılır
Tehdit saldırganları, herhangi bir açıktan yararlanma veya güvenlik açığı yerine API’lerin çalışma biçiminden yararlanır. Yaygın olarak Living off the Land (LotL) saldırısı olarak adlandırılan bu saldırı, API’leri tarayarak, zayıflıklarından yararlanarak, ardından verileri sızdırarak, sistemlerin daha derinlerine sızarak veya gelişmiş kötü amaçlı yazılımlar enjekte ederek işlevlerin istismar edildiğini görür.
İmza veya kural ihlali olmadığı için bu, geleneksel çözümlerin bu etkinliği tespit etmesini zorlaştırır. IPS veya yeni nesil güvenlik duvarları veya WAF veya bot azaltma aracı gibi uygulama güvenlik araçları, örneğin bir API’nin kötüye kullanıldığını gösteren anormal davranışı yakalayamaz. Ancak ESG anketi, üçte birinden fazlasının bu gerçeğin farkında olmadığını ve bu araçların yeterli olduğunu düşündüğünü tespit etti.
Tehditlere ayak uydurmak
Yeni API tehdit vektörlerinin geliştirilmesi bir sorun ve yüzde 41’i ayak uydurmayı zor buluyor. ESG raporuna göre API tabanlı saldırılar, yüzde 28 enjeksiyon saldırılarını ve yüzde 23’ü yanlış yapılandırılmış API’lerin istismarını bildiriyor. Hem web uygulamalarının hem de API saldırılarının çeşitliliği, işletmenin ihtiyaç duyduğu savunma çözümlerini belirlemesini zorlaştırıyor, bu da kullanımdaki araçların yüzde 31’inin API güvenliği için özel olarak oluşturulmadığından karmaşıklık ve teknolojik yayılmaya neden oluyor.
Bu saldırıların çoğu otomatiktir ve savunmaları bunaltacak büyük ölçekli saldırılara yol açar. Yüzde 40’tan fazlası, bir web uygulaması veya API saldırısının sonucu olarak kapalı kalma süresi bildirdi. Diğer serpinti türleri, olumsuz müşteri ve hissedar etkisinden, gelir kayıplarından ve uyumsuzluktan ve ayrıca yeniden eğitimden işten çıkarmaya kadar işgücünü etkileyen ikincil maliyetlerden oluşuyordu.
Önceliklendirme bir sorundur
Web uygulamalarının ve API’lerin güvenliğini sağlamak bir öncelik olsa da sıfır güven, buluta geçiş, tehdit algılama ve yanıt verme ve uzaktan veya esnek çalışma düzenlemelerini güvenceye alma gibi diğer çabalarla rekabet ediyor. Bütçenin API’lere ayrılması gerektiğine dair bir anlayış var, ancak birçok aracın API’ye özgü olmadığı veya API’nin yaşam döngüsünü kapsamadığı göz önüne alındığında, pazarın nasıl yatırım yapılacağı konusunda kafası karışık.
API spesifikasyonlarının tutarsız şekilde benimsenmesi
Spesifikasyonlar, API geliştirme ve dağıtımını standartlaştırmaya yardımcı olarak daha iyi belgelenen ve daha güçlü bir güvenlik duruşuna sahip olan daha tutarlı API’lere yol açar. Ancak rapor, spesifikasyonların tutarsız bir şekilde benimsenmesinin katılımcıların yüzde 35’i için bir sorun olduğunu tespit etti.
2021’de gerçekleştirilen alıma odaklanan başka bir anket, işletmelerin yüzde 76’sının tüm API’leri için API spesifikasyonlarını kullanmadığını ve yüzde 27’sinin hiçbir standardı takip etmediğini ortaya koydu. Üçte birinden fazlası, becerilerden, en iyi uygulama bilgisinden veya neden ihtiyaç duyuldukları konusunda farkındalıktan yoksun olduğunu itiraf etti.
Yine de, bir belirtimi kullananlar arasında bile, yaklaşımları geçiciydi ve yüzde 36’sı API belirtimlerini belgelemek için bir araç kullanmıyordu. Otomatik yerine manuel uygulamalar da kullanıldı; yüzde 58’i manuel olarak uygunluğu doğrularken ve yüzde 64’ü API envanterlerini manuel olarak izleyip bakımını yaptı; bu, yalnızca hatalara yol açması muhtemel olmayan, aynı zamanda API’ler rampalar kullandıkça sürdürülemez olduğunu kanıtlayacak bir uygulama.
Görünürlük eksikliği
API’nin benimsenmesi arttıkça, döndürülen API’lerin sayısı da artar. Bunlar bir envantere kaydedilmezse, bu, hızlı bir şekilde ağ üzerinde oturan ve işletmenin farkında olmadığı ve hangi saldırganların daha sonra koklayabileceği zombi veya gölge API’lerine yol açabilir. Envanter API’ler her güncellenmelidir, ancak ESG raporuna göre, yüzde 37’si envanter sürecini zorlu buldu.
Yanlış yapılandırılmış API’leri keşfetme ve düzeltme
Güvenlik yanlış yapılandırması, OWASP İlk On API güvenlik açığından biridir ve saldırgana bir fırsat penceresi sunar, bu nedenle kapatmak bir zorunluluktur. Çalışma zamanı keşfi, yanlış yapılandırılmış ve standart uygulama olması gereken kullanımda olan API’lerin tespit edilmesine yardımcı olabilir, ancak yüzde 32’si bunu sorunlu buldu.
Veri yönetimi ve maruz kalma
Aşırı Veri Maruziyeti, çok fazla bilgi gösteren veya karmaşık bilgiler gösteren hata mesajları gibi birçok şey tarafından tetiklenebilir ve OWASP tarafından üçüncü sırada yer alır. Uygulamaya erişmeyi ve uygulamanın nasıl çalıştığını anlamayı çok kolaylaştırıyor, veri yönetimi çabalarını tehlikeye atıyor ve yüzde 39’unun bunu API’lerin korunmasıyla ilgili ikinci en büyük zorluk olarak tanımlamasına yol açıyor. Saldırı olasılığını azaltmak için minimum miktarda meta verinin aktarılmasını sağlamak için geliştirme ve iş ekiplerinin işbirliği yapması önerilir.
Tehlike, API’nin kullanıma sunulmasının hızla devam etmesi ve onlara sağlanan korumanın yaklaşmada gecikmeli veya düzensiz olması ve boşluklar bırakmasıdır. Bunun üstesinden gelmek için kuruluşların, anormal davranışları tanımak için makine öğrenimi ve yapay zekayı kullanan aktif savunma mekanizmalarının yanı sıra tehdit önleme ve algılamayı kapsayan API korumasına birleşik bir yaklaşım benimsemesi gerekir. Kuruluş, yalnızca bu savunmaları API’ye özgü bir araç setinde yoğunlaştırarak tehditlere ayak uydurmayı ve API’yi tüm yaşam döngüsü boyunca korumayı umabilir.
