API güvenliğini destekleyen kuruluşların, yönetilmeyen veya gölge uygulama programlama arayüzlerine özellikle dikkat etmesi gerekir.
Gölge API’ler artık kullanılmayan, güncelliğini yitirmiş veya belgelenmemiş ve bu nedenle aktif olarak yönetilmeyen Web hizmetleri uç noktalarıdır. Akamai uygulama güvenliğinden sorumlu kıdemli başkan yardımcısı Rupesh Chokshi, uygulama ve güvenlik ekiplerinin bu tür API’leri bulması ve içerdikleri önemli riskleri azaltmak için her birinin belgelendiğinden veya hizmet dışı bırakıldığından emin olmaları gerektiğini söylüyor.
Yönetilmeyen API’lerden Kaynaklanan Risk
Chokshi’nin önümüzdeki hafta San Francisco’da yapılacak olan RSA Konferansı 2024’te konuyla ilgili bir konuşma sunması planlanıyor. “API’lerin Gizli Yaşamı: En Son Saldırı Verileri API’lerinizin Ne Yaptığını Gösteriyor” başlıklı bir sunumda Chokshi, gölge API’leri, kuruluşların API güvenliğiyle uğraşırken öncelik vermesi gereken çeşitli duruşsal veya uygulamayla ilgili sorunlardan biri olarak tanımlıyor.
Chokshi, API etkinliklerine ilişkin görünürlüklerini artıran kuruluşlar için en büyük sürprizlerden birinin, ortamlarında daha önce farkında olmadıkları çok sayıda gölge uç nokta olduğunu söylüyor. Daha iyi API güvenliği sağlamanın ilk adımının bu gölge uç noktaları keşfetmek ve bunları ortadan kaldırmak veya API güvenlik programına dahil etmek olduğunu belirtiyor.
API güvenliği bir hale geldi giderek daha acil bir meydan okuma BT ve güvenlik liderleri için. Son yıllarda birçok kuruluş, iş süreçlerini kolaylaştırmak ve operasyonel verimliliği artırmak amacıyla farklı sistemleri, uygulamaları ve hizmetleri entegre etmek için API’leri kapsamlı bir şekilde kullanmaya başladı. API’ler aynı zamanda şirketlere eski uygulamaları modernize etme, bulut hizmetlerini benimseme ve müşteriler, iş ortakları ve diğer üçüncü taraflarla daha verimli etkileşim kurma yolu sunarak dijital dönüşüm girişimlerinin sağlanmasında da merkezi bir rol oynadı.
API Yayılımı Mücadelesi
Chokshi, bunun sonucunda API’lerin çoğalmasının birçok kuruluşta saldırı yüzeyini önemli ölçüde genişlettiğini ve onları daha büyük risklere maruz bıraktığını söylüyor. Bu yılın başlarında Akamai’nin yaptığı araştırmaya dikkat çekiyor: 2023’teki tüm Web saldırılarının %29’u hedeflenen API’ler. Yaygın saldırı vektörleri arasında SQL enjeksiyonu, siteler arası komut dosyası oluşturma, oturum ele geçirme/oturum manipülasyonu ve veri toplama saldırıları yer alıyordu. Saldırganlar belirli sektörlerdeki kuruluşları diğerlerinden daha sık hedef aldı. Örneğin e-ticaret sektöründeki tüm Web saldırılarının %44’ünden fazlası API’leri hedef aldı. Benzer şekilde, geçen yıl ticari hizmet kuruluşlarının ve sağlık kuruluşlarının karşılaştığı Web uygulaması saldırılarının yaklaşık %32’si ve %19’u, uygulama programlama arayüzlerini hedef aldı.
Chokshi diyor ki API güvenliği zorlukları Çoğu kuruluşun karşılaştığı sorunlar iki geniş kategoriye ayrılır: duruş ve çalışma zamanı ile ilgili. Duruş sorunları, gölge API’lerle ilgili olanlar gibi uygulama zayıflıklarından kaynaklanır. Cequence Security’nin Ekim 2022 tarihli araştırma raporunda şunlardan fazlası tespit edildi: Tüm kötü niyetli isteklerin %31’i – veya 16,7 milyarın yaklaşık 5 milyarı – bilinmeyen ve yönetilmeyen API’leri hedef aldı.
Diğer yaygın duruş sorunları arasında kimliği doğrulanmamış kaynak erişimi, URL’deki hassas veriler, aşırı izin veren çapraz kaynak paylaşımı ve uygunsuz kimlik doğrulama gibi sorunları içerebilecek aşırı istemci hataları yer alır.
Kuruluşların genellikle karşılaştığı en yaygın çalışma zamanı sorunları veya etkin tehditler arasında, hassas API kaynaklarına kimlik doğrulaması yapılmadan erişme girişimleri; Beklenmeyen veri türleri gibi olağandışı JSON yüklerine sahip API etkinliği; API isteklerinin bir parçası olarak beklenmeyen veya hatalı biçimlendirilmiş veriler; ve veri kazıma girişimleri.
Chokshi, API tehdit ortamının hızla gelişen doğası göz önüne alındığında, kuruluşların API ortamları üzerinde uygun görünürlüğe sahip olduklarından emin olmaları gerektiğini belirtiyor. Gölge API’lerin tespit edilmesi ve kullanımdan kaldırılmasının yanı sıra kuruluşların API’lerinin bir envanterini de tutmaları gerekir. Ayrıca, örneğin API kodundaki kusurları düzelterek ve yanlış yapılandırma sorunlarını ele alarak API duruşlarını güçlendirmeleri gerekiyor; tehdit algılama ve yanıt yeteneklerinin güçlendirilmesi; ve API tehdit avlama yeteneğinin oluşturulması.