Corsha’ya göre siber güvenlik uzmanları, API güvenliğine ne kadar zaman ve dikkat ayırmaları gerektiği konusunda hayal kırıklığına uğradılar ve savunmalarının hala iyileştirilmesi gerektiğinden endişe duyuyorlar.
Araştırmacılar yakın zamanda 400’den fazla güvenlik ve mühendislik uzmanıyla anket yaparak API sır yönetimi uygulamaları ve API saldırılarını engellerken karşılaştıkları zorluklar hakkında bilgi aldı. Önemli çıkarımlar arasında:
- Yanıt verenlerin %86’sı haftada 15 saate varan bir süreyi sırları tedarik etmek, yönetmek ve bunlarla uğraşmak için harcıyor.
- %53’ü, güvenliği ihlal edilmiş API belirteçleri nedeniyle ağlarına veya uygulamalarına yetkisiz erişimle bir veri ihlali yaşadı.
- %72’si bir sır yönetimi çözümü kullanıyor, ancak %56’sı halen mevcut sır yönetimi uygulamaları nedeniyle potansiyel bir veri ihlalinden endişe ediyor.
“Güvenlik ve mühendislik ekipleri, sır yönetimine odaklanmak için dikkatlerini ileriye dönük mühendislikten uzaklaştırmak zorunda kalıyor, ancak kuruluşları, hassas verilere meşru olmayan erişim elde etmek için hem yanal saldırılar hem de sızdırılmış veya tehlikeye atılmış API sırları yoluyla saldırganlara karşı savunmasız kalıyor” dedi. Jared Elder, Corsha’da CGO.
“Veri her şeydir ve sızdırılan API sırlarıyla ilişkili veri ihlallerinden kaynaklanan potansiyel risk açıkça yüksektir ve artmaktadır. Yine de tedarik etmek, döndürmek ve yönetmek için kimlik bilgilerinin patlamasıyla, iyi adamlar kendilerini sürekli olarak sekiz topun arkasında buluyor,” diye ekledi Elder.
Değişen bir tehdit ortamı
Şirketler mikro hizmetler ve sunucusuz mimariler, hibrit bulut altyapıları, CI/CD ardışık düzenleri ve bir dizi başka uygulama ve hizmet gibi yerel teknolojileri ve API güdümlü ekosistemleri benimsemelerini genişletmeye devam ettikçe, son birkaç yılda API kullanımında patlama yaşandı. API’ler aracılığıyla hassas bilgiler gönderiyor ve alıyor.
Ankete göre, yanıt verenlerin %44’ü API hizmetlerini birden çok bulutta barındırıyor. Birçok kuruluş için bu, genellikle farklı ortamlarda ayrık sır yönetimi çözümleri anlamına gelir.
Sonuç olarak, ankete katılanlar API belirteçlerini yönetmek için aşırı miktarda zaman harcıyor. %78’i ağlarında en az 250 API belirteci, anahtarı veya sertifikasını yönettiklerini bildirdi. Ne yazık ki, API tabanlı iletişim için güvenlik stratejileri, bugün mümkün olan ölçek ve otomasyon düzeyine ayak uyduramıyor.
Modern bir güvenlik sorununa modası geçmiş yaklaşımlar
Tüm API’lerin ortak bir noktası vardır: veri aktarımlarını kolaylaştırmak için hizmetleri birbirine bağlarlar. Sırlara dayanan API’lerin sayısı arttıkça ve iş akışları (örneğin, gizli sağlama ve paylaşma, gizli yönetim, izleme, kontrol) zorlaştıkça, bu onları bilgisayar korsanları için favori bir hedef haline getirir.
Ankete göre, en önemli üç API sırrı yönetimi sorunlu noktası:
- Sertifika yetkilileriyle çalışma (%44)
- Dönen sırlar (%37)
- Tedarik sırları (%36)
Katılımcıların bu sorunlu noktaları ele almak için en yaygın olarak kullandıkları yöntemler genellikle eski, manuel, hataya açık ve kullanışsızdır.
Birçok güvenlik ekibi API anahtarlarına, belirteçlerine ve sertifikalarına belirli yetkiler atarken, anket %42’den fazlasının atamadığını ortaya çıkardı. Bu, bu kimlik bilgilerini taşıyan tüm kullanıcılara ya hep ya hiç erişimi verdikleri anlamına gelir; bu, erişim yönetiminde en az direnç gösteren yol olsa da güvenlik riskini de artırır.
Corsha’nın araştırmacıları ayrıca, yanıt verenlerin %50’sinin, kuruluşlarının sağladığı API belirteçlerinden, anahtarlarından veya sertifikalarından yararlanan makineler, cihazlar veya hizmetler (yani istemciler) hakkında çok az veya hiç görünürlüğe sahip olmadığını da buldu. Sınırlı görünürlük, unutulan, ihmal edilen veya geride bırakılan sırlara yol açarak, onları kötü aktörlerin geleneksel güvenlik araçları ve en iyi uygulamalar tarafından tespit edilmeden yararlanmaları için birincil hedefler haline getirir.
Başka bir kırmızı bayrak: Yanıtlayanların %54’ü sırlarını ayda en az bir kez değiştirse de, %25’i sırları döndürmenin bir yıl kadar sürebileceğini kabul ediyor. Bu taşıyıcı sırların uzun ömürlü, statik doğası, tıpkı çevrimiçi hesapların parolalarının statik doğası gibi, onları düşmanlar için birincil hedef haline getirir.
API güvenliği en iyi uygulamaları
Rapor ayrıca, kuruluşların etkili sır yönetimi süreçlerini uygulamak için neler yapabileceğini özetlemektedir:
- Tüm sırlara ilişkin genel görünürlük elde etmek için iyi bir sır yöneticisi entegre etme
- mTLS’yi ne zaman ve mümkün olduğunda kullanma
- Mümkün olduğunda sırlar için her zaman kısa bir son kullanma tarihi belirleyin
- Belirteçleri her zaman imzalayın ve doğrulayın
- Sırları düz metin olarak saklamayın veya iletmeyin
“Bugün, en sağlam modern sır yönetimi uygulaması bile API’lerin kötüye kullanılmasını önlemek için yeterli değil, bu da anketimize katılanların yarısından fazlasının neden mevcut sır yönetimi uygulamaları nedeniyle potansiyel bir veri ihlaline maruz kalma endişesini vurguladıklarını açıklıyor.” dedi Corsha COO’su Scott Hopkins.
“Sır yönetimi etrafında iyi bir güvenlik hijyeni sağlamaya yönelik ağır idari iş yükü ve fazlasıyla manuel süreçler, hata veya gözetim için önemli fırsatlar yaratıyor. Kuruluşlar, API kimlik doğrulama sorunlarına karşı herhangi bir ortama kolayca entegre olabilen daha güçlü, otomatik ve yüksek oranda ölçeklenebilir bir yanıttan faydalanacaktır,” diye sözlerini tamamladı Hopkins.
Güvenlik ve geliştirme ekiplerinin, riskin ağırlıklı olarak insandan makineye ve makineden makineye geçtiğini fark etmesi ve bu dönüşümü hesaba katmak için ne yapılması gerektiğini düşünmesi de önemlidir.