Veri Teoremi ve ESG’ye göre, kuruluşların %75’i genellikle API’lerini günlük veya haftalık olarak değiştiriyor veya güncelliyor, bu da değişen API saldırı yüzeyini korumak için önemli bir zorluk oluşturuyor.
Güvenli olmayan API’ler kuruluşların başına bela olur
İlgili bir bulguya göre, araştırma sonuçları, kuruluşların çoğunluğunun (%92) son 12 ayda güvenli olmayan API’lerle ilgili en az bir güvenlik olayı yaşadığını, kuruluşların çoğunluğunun (%57) ise birden fazla güvenlik olayı yaşadığını ortaya koydu. geçen yıl boyunca güvensiz API’ler.
ESG, bu rapor için veri toplamak amacıyla Kuzey Amerika’daki (ABD ve Kanada) özel ve kamu sektörü kuruluşlarından 397 katılımcıyla BT (%38), Güvenlik (%30) ve Uygulama Geliştirme (%32) genelinde sorunlar ve zorluklar hakkında anket yaptı. ve yerel bulut uygulamaları ve API güvenliği ile ilgili trendler. Yanıt verenlerin çoğunluğu (%64) 1.000 veya daha fazla çalışanı olan kuruluşlardan, %36’sı ise 100 ila 999 çalışanı olan kuruluşlardandı.
CI/CD geliştirme döngüsündeki güvenlik sorunları
Çalışma, bu API güvenlik endişelerini gidermek için kuruluşların önümüzdeki 12-18 ay içinde harcamalarını artıracakları önde gelen yaklaşımların API güvenlik araçları (%45), Bulutta Yerel Uygulama Koruma Platformları – CNAPP’ler (%43) ve entegre uygulama güvenliği ve API güvenlik araçları (%41). Çalışma aynı zamanda kuruluşların daha hızlı CI/CD geliştirme döngüleriyle karşı karşıya kaldıkları en çok atıfta bulunulan güvenlik sorununun, geliştirme süreçlerinde güvenliğin görünürlük ve kontrolden yoksun olması (%41) olduğunu buldu.
CI/CD’nin daha hızlı geliştirme döngüleriyle en çok bahsedilen ikinci güvenlik sorunu, yeni yapıların yanlış yapılandırmalar, güvenlik açıkları ve diğer güvenlik sorunları (%40) ile üretime dağıtılması, ardından geliştiricilerin güvenlik süreçlerini (%39) atlaması ve yazılımların piyasaya sürülmesidir. güvenlik kontrolleri ve/veya testler yapılmadan (%38).
Kurumsal Strateji Grubu Kıdemli Analisti Melinda Marks, “Çoğu kuruluşun API ile ilgili güvenlik olayları yaşaması şaşırtıcı değil,” dedi. “Modern geliştirme döngüleri, daha hızlı, daha sık ürün sürümleri ve güncellemeleri getiriyor ve günlük ve haftalık olarak değişen artan sayıda API, değişen saldırı yüzeyinin ele alınmasını zorunlu kılıyor. Bu hızlı değişim oranı, aynı zamanda gölge API’ler ve zombi API’ler yaratıyor; bunlar, kuruluşlar genellikle onlar hakkında bilgi sahibi olmadığı için bilgisayar korsanlarının istismar etmeyi en sevdiği API’ler olabilir.”
Veri teşhiri ve erişim denetimindeki kusurlar
Çalışma ayrıca, kuruluşlar için en büyük endişe kaynağı olan API güvenlik açıklarının türlerinin, SSL veya TLS olmaması nedeniyle hassas verilerin açığa çıkması (%34), öznitelik tabanlı erişim kontrolü (ABAC) güvenlik açıkları ve API iş mantığı kusurları (her ikisi de %31) olduğunu buldu. ve dağıtılmış hizmet reddi saldırıları – DDoS (%30).
“ESG’ye göre, kuruluşların ezici çoğunluğunun (%80) bugün bulut yerel uygulamalarının tamamının veya çoğunun API kullandığını ve benzer bir çoğunluğun (%75) genellikle API’lerini en az haftada bir değiştirdiğini veya güncellediğini bildiriyor. API ve bulutta yerel güvenlik, günümüzde kuruluşlar için kritik bir sorun olmaya devam ediyor,” dedi Data Theorem COO’su Doug Dooley.
“Araştırmanın gösterdiği iyi haber şu ki, iki güvenlik yaklaşımı – API güvenlik araçları ve CNAPP’ler – kuruluşların saldırılara karşı güvenlik açıklarını azaltmalarına yardımcı olacak en umut verici seçenekler gibi görünüyor ve kuruluşlar önümüzdeki 12-18 ay içinde en iyi güvenliği sağlamak için harekete geçiyor. uygulamaları ve verileri. Veri Teoremi, kuruluşlara hem API güvenliği hem de CNAPP çözümleri sağlamak için ideal bir konumdadır,” diye sözlerini tamamladı Dooley.