API’ler benzeri görülmemiş bir oranda geliştirilip dağıtıldığından, API yayılımı modern işletmelerde yaygın bir sorundur. Postman’ın 2022 API Durumu Raporunda vurgulandığı gibi, “Katılımcıların %89’u kuruluşların API’lere yaptığı zaman ve kaynak yatırımının önümüzdeki 12 ay içinde artacağını veya aynı kalacağını söyledi”, API geliştirme ve devreye almanın büyümesine olan güveni vurguluyor .
Bu hızlı büyüme nedeniyle kuruluşlar, API’lerinin izini kaybetme riskiyle karşı karşıya kalıyor, bu da saldırganların yararlanabileceği gölge API’lerin oluşturulmasına yol açıyor ve yüksek bakım maliyetlerine katkıda bulunuyor. Katılımsız API yayılmasının gerçek hayattaki sonuçlarının potansiyelini göstermek için, bilinmeyen veya güncel olmayan API uç noktalarından kaynaklanan gerçek dünyadan üç ihlal örneği aşağıda verilmiştir:
Über (2016)
2016 yılında Uber, 57 milyon müşteriyi ve sürücüyü etkileyen büyük bir veri ihlali yaşadı. Saldırganlar, Uber geliştiricileri tarafından kullanılan özel bir GitHub deposundan yararlandı ve hassas bilgiler içeren bir S3 klasörüne erişmek için kullanılan AWS kimlik bilgilerini keşfetti. Olay, 148 milyon dolarlık bir anlaşmaya yol açtı ve şirketin itibarını ciddi şekilde etkiledi. Kaynak.
facebook (2018)
2018’de Facebook, yaklaşık 50 milyon kullanıcının kişisel bilgilerini ifşa eden bir ihlal yaşadı. Saldırganlar, “Farklı Görüntüle” özelliğindeki bir güvenlik açığından yararlanarak erişim belirteçleri elde etmelerine ve diğer kullanıcıların kimliğine bürünmelerine olanak sağladı. İhlal, düzgün bir şekilde güvenliği sağlanmamış bir API uç noktasına kadar izlendi. Facebook, sorunu çözmek için yaklaşık 90 milyon kullanıcının erişim belirteçlerini sıfırlamak zorunda kaldı ve önemli düzenleyici inceleme ve kullanıcı tepkisiyle karşı karşıya kaldı. Kaynak.
Panera Ekmeği (2018)
2018’de ABD’li bir fırın-kafe zinciri olan Panera Bread, milyonlarca müşterinin kişisel bilgilerinin açığa çıkmasına neden olan bir veri ihlali yaşadı. İhlalin nedeni, isimler, e-posta adresleri, telefon numaraları ve kredi kartı numaralarının son dört hanesi dahil olmak üzere müşteri verilerine yetkisiz erişime izin veren güvenli olmayan bir API uç noktasıydı. Şirket, güvenlik açığı raporuna yavaş yanıt vermesi ve uç noktayı düzgün bir şekilde güvence altına almaması nedeniyle eleştirildi. Kaynak.
API ile ilgili veri ihlallerinin artan maliyetleri
IBM Security tarafından yayınlanan Bir Veri İhlalinin Maliyeti Raporuna göre, veri ihlallerinin maliyetleri 2018’den 2021’e kadar istikrarlı bir şekilde artıyor. Spesifik olarak, 2021 raporu, bir veri ihlalinin ortalama toplam maliyetinin 4,24 milyon dolar olduğunu ortaya koydu. son dört yılda bildirilen en yüksek maliyet. Ek olarak, kaybolan veya çalınan kayıt başına maliyet de 2018’de 148 dolardan 2021’de 164 dolara yükseldi.
2019, 2020 ve 2021 tarihli Verizon Veri İhlali Araştırma Raporu (DBIR), API saldırılarının giderek yaygınlaştığını ortaya koydu. 2021’de API’ler, tüm ihlallerin %13’ünü oluşturan ihlallerde en yüksek tehdit eylemi türü olarak belirlendi. 2020 raporunda, API’ler ihlallerin %16’sında yer alırken, 2019 raporunda API’ler ihlallerin %7’sinde yer aldı.
API saldırı maliyetlerinin, veri ihlallerinin genel maliyetlerine benzer bir oranda arttığını söylemek mümkündür. API’ler, farklı yazılım sistemleri arasında veri alışverişini kolaylaştırmak için modern uygulamalarda giderek daha fazla kullanıldığından, siber suçlular için birincil hedef haline geldiler. Bu eğilim, işletmelerin siber güvenlik önlemlerine öncelik vermesi ve maliyetli veri ihlallerini önlemek için API’lerini korumak için proaktif adımlar atması gerektiğini vurguluyor.
Boşluğu kapatmak: API zorluklarından çözümlere
Kuruluşların, özellikle güvenli olmayan API’ler ve gölge API’ler olmak üzere, API yayılmasıyla ilişkili riskleri ele almak için uygulayabilecekleri çeşitli çözümler vardır. API risk değerlendirmesine ve izlemesine yardımcı olabilecek bir yaklaşım, kuruluşların API altyapılarındaki güvenlik açıklarını ve bağımlılıkları belirlemesine olanak tanıyan SBOM’nin (Yazılım Malzeme Listesi) kullanılmasıdır.
Yazılım Malzeme Listesi (SBOM), bir üründeki tüm yazılım bileşenlerinin ve bağımlılıklarının kapsamlı bir envanteridir. SBOM’lar, API’nin temel bileşenlerine görünürlük sağlayarak API risk değerlendirmesinde ve izlenmesinde hayati bir rol oynar, potansiyel güvenlik açıklarını belirlemeyi ve üçüncü taraf bağımlılıklarıyla ilişkili riskleri yönetmeyi kolaylaştırır.
SBOM’lara ek olarak, bulut ortamlarında etkili API yönetişimi, kuruluş içinde bir güvenlik kültürünün teşvik edilmesi ve sürekli eğitim de güvenli olmayan API’lerin neden olduğu risklerin azaltılmasına yardımcı olabilir. Tüm bu çözümler, işletmelerin daha güvenli ve esnek bir dijital ekosisteme doğru ilerlemesine yardımcı olacaktır.
WAF’lerin ve API Ağ Geçitlerinin ötesine geçmek
Capital One, 2019’da 100 milyondan fazla müşteriyi etkileyen bir veri ihlaliyle karşı karşıya kaldı. Kötü niyetli aktör, hassas verilere erişmek için API ağ geçidindeki yanlış yapılandırılmış bir WAF ve bir SSRF güvenlik açığından yararlandı.
Web Uygulaması Güvenlik Duvarları (WAF’ler) ve API Ağ Geçitleri, API koruması için yaygın olarak benimsense de, kendi başlarına yetersiz kalabilirler. Örneğin, WAF’ler bilinen tehditleri engelleyebilir ancak karmaşık saldırıları tespit edemeyebilir ve API Ağ Geçitleri, karmaşık güvenlik risklerini ele almada yetersiz kalabilir. API’lerin etkin bir şekilde güvenliğini sağlamak için sürekli izleme, API yönetişimi ve risk değerlendirmesi dahil olmak üzere çok katmanlı bir yaklaşımın benimsenmesi önerilir.
“Sadece WAF’lere ve API Ağ Geçitlerine güvenmek, API güvenliği için yetersizdir. Capital One ihlalinde görüldüğü gibi, karmaşık saldırılar güvenlik açıklarından yararlanabilir. Kuruluşlar, dijital varlıklarını etkili bir şekilde korumak için anında gözlemlenebilirliği, sürekli izlemeyi, API yönetişimini ve risk değerlendirmesini benimsemelidir.” – Chaim Peer, BLST Security CEO’su
Bulut ortamlarında API yönetişimini anlama: Güvenlik ekiplerinin bilmesi gerekenler
API yönetişimi, bulut ortamlarındaki API’lerin yönetimi ve güvenliği için çok önemli kabul edilir. API yaşam döngüsü yönetimi için politikaların, standartların ve süreçlerin oluşturulması ve uygulanması, aşağıdakileri içeren bu süreçte yer alır:
- En iyi güvenlik uygulamalarını ve düzenleyici gereklilikleri karşılamak için tasarlanmış API’ler
- Güvenli, güvenilir ve performanslı olacak şekilde geliştirilen API’ler
- Uyumluluk gereksinimlerini karşılamak için kontrollü bir şekilde dağıtılan API’ler
- Sürekli uyumluluk ve performans sağlamak için izlenen API’ler
Bulut ortamlarının dinamik yapısı nedeniyle, yönetişim sürecini mümkün olduğunca otomatikleştirmek önemlidir. Etkili API yönetişimi uygulamanın faydaları şunları içerir:
- En iyi güvenlik uygulamaları takip edilir ve API’ler tarafından yasal gerekliliklere uyulur
- API’ler tutarlı performans ve güvenilirlik sağlar
- Kuruluşun risklere ve güvenlik açıklarına maruz kalması azalır
- Güvenlik ekipleri, bulut ortamlarındaki değişikliklerin hızına ayak uydurabilir
Bu nedenle, API’lerin en iyi güvenlik uygulamalarına ve düzenleyici gerekliliklere uyum açısından sürekli olarak izlenmesi için güvenlik ekipleri tarafından otomatik yönetişim çözümlerinin gerekli olduğu düşünülmektedir. Bu otomatik yönetişim çözümlerine, gerekli değişiklikleri hızlı bir şekilde uygulamak için de güvenilmektedir.
Güvenlik kültürünün teşvik edilmesi
Güçlü bir güvenlik kültürü, güvenli API’lerin geliştirilmesini ve uygulanmasını doğrudan etkiler. En iyi güvenlik uygulamaları konusunda bilgili olan çalışanlar, hassas verilerin uygun şekilde korunmasını ve erişimin sıkı bir şekilde kontrol edilmesini sağlayarak sağlam API güvenlik protokollerine bağlı kalmaya daha yatkın olacaktır. Güvenliğe yönelik bu proaktif yaklaşım, potansiyel güvenlik açıklarının önlenmesine yardımcı olur ve yetkisiz erişim veya veri ihlali olasılığını azaltır.
Güvenlik merkezli bir kültürü beslemek genellikle bir CISO için en zorlu sorumluluklardan biri olarak görülse de, işin her yönüne nüfuz eden geniş kapsamlı faydaları ile eşit derecede en teşvik edici ve ödüllendirici çabalardan biridir. API güvenliği bağlamında, önce güvenlik zihniyeti, bir kuruluşun değerli dijital varlıklarını korumak için çok önemli unsurlar olan uyanıklığı, uyarlanabilirliği ve dayanıklılığı teşvik eder.
Sürekli eğitim ve öğrenmenin önemi
Sürekli gelişen dijital ortamda API’leri etkin bir şekilde yönetmek ve güvenceye almak için kuruluşların ve güvenlik ekiplerinin kendilerini sürekli olarak eğitmeleri ve API güvenliğinde en iyi uygulamalar ve yeni ortaya çıkan trendler konusunda güncel kalmaları çok önemlidir. İçgörü kazanmak ve sektör uzmanlarından öğrenmek için mükemmel bir fırsat, yaklaşan API Kör Noktalar Web Semineri: Gölge API’lerin Risklerini Ortaya Çıkarma ve Azaltma.
Bu web seminerinde, kuruluşları potansiyel saldırılara karşı savunmasız bırakabilecek bilinmeyen, eski ve keşfedilmemiş uç nokta API’lerine odaklanırken kritik zorlukları ele alacak saygın güvenlik uzmanlarından oluşan bir panel yer alacak. Güvenlik ekipleri, bu tür etkinliklere katılarak ve bilgi tabanlarını sürekli güncelleyerek, API’lerin izini kaybetmeye katkıda bulunan faktörleri daha iyi anlayabilir, sonuçta kuruluşlarının güvenlik duruşunu güçlendirir ve maliyetli veri ihlalleri riskini azaltır.
Sonuç olarak
API yayılımının artan yaygınlığı ve katılımsız API’lerle ilişkili riskler, kuruluşların sağlam güvenlik önlemleri ve yönetişim uygulamaları benimseme ihtiyacını vurgulamıştır. Gerçek dünya örneklerinden ve API ile ilgili veri ihlallerinin artan maliyetlerinden gördüğümüz gibi, riskler her zamankinden daha yüksek.
Kuruluşlar, güvenli olmayan uç noktalar, gölge API’ler ve hızlı API dağıtımının getirdiği zorlukların üstesinden gelmek için WAF’ler ve API ağ geçitleri gibi geleneksel güvenlik önlemlerinin ötesine bakmalı ve kapsamlı, çok katmanlı güvenlik yaklaşımlarını benimsemelidir.
Bu, API risk değerlendirmesi ve izleme için SBOM’lerin uygulanmasını, bulut ortamlarında etkili ve otomatikleştirilmiş API yönetişimini ve bir güvenlik ve sürekli öğrenme kültürünü teşvik etmeyi içerir. Kuruluşlar, API güvenliğine proaktif bir yaklaşım benimseyerek dijital varlıklarını daha iyi koruyabilir, müşteri güvenini koruyabilir ve katılımsız API’lerle ilişkili potansiyel riskleri azaltabilir.