F5’e göre müşteriye yönelik API’lerin %70’inin güvenliği HTTPS kullanılarak sağlanıyor ve bu API’lerin neredeyse üçte biri tamamen korumasız kalıyor.
Bu, son on yılda güvenli web iletişimine yönelik baskıların ardından, artık HTTPS üzerinden erişilen web sayfalarının %90’ıyla tam bir tezat oluşturuyor.
F5 Seçkin Mühendisi Lori MacVittie şunları söyledi: “API’ler, kuruluşlar arasındaki kritik hizmetleri ve uygulamaları birbirine bağlayarak dijital dönüşüm çabalarının omurgası haline geliyor.” “Ancak raporumuzun da belirttiği gibi pek çok kuruluş, özellikle yeni ortaya çıkan yapay zeka kaynaklı tehditler bağlamında bu değerli varlıkları korumak için gereken güvenlik gereksinimlerine ayak uyduramıyor.”
Müşteriye yönelik API’ler savunmasız olmaya devam ediyor
Ortalama bir kuruluş artık çoğu genel bulut ortamlarında barındırılan 421 farklı API’yi yönetiyor. Bu büyümeye rağmen önemli sayıda API (özellikle müşteriye yönelik olanlar) korumasız kalıyor.
API’ler OpenAI gibi yapay zeka hizmetlerine giderek daha fazla bağlandıkça, güvenlik modelinin hem gelen hem de giden API trafiğini kapsayacak şekilde uyarlanması gerekiyor. Mevcut uygulamalar büyük ölçüde gelen trafiğe odaklanıyor ve giden API çağrılarını savunmasız bırakıyor.
Kuruluşların %80’i API güvenliğine API tasarım aşamasında başlıyor. Ayrıca %59’u API yaşam döngüsünün her aşamasına güvenliği dahil ettiklerini söylüyor. Kuruluşların %87’si, döngünün her aşamasında güvenliğin ele alınmasını vurgulayan güvenli geliştirme yaşam döngüsü (SDLC) uygulamalarını benimsemiş veya benimsemeyi planlamaktadır.
Bazı API’ler, mikro hizmet mimarileri içindeki mTLS’den erişim kontrolüne, DDoS ve bot savunmalarına kadar bir güvenlik hizmetleri balonunun içinde yaşar.
ve API’ye özgü güvenlik önlemleri. Sonuç olarak, bu API’ler genel olarak oldukça iyi korunmaktadır. Ancak %10’un altındaki küçük bir yüzde tamamen korumasız kalıyor. Çoğu kuruluşta API kullanımının genişliği göz önüne alındığında bu durum endişe verici olmayabilir. Ancak müşteriye yönelik API’lerin endişe verici bir yüzdesi (%30’dan fazlası, neredeyse üçte biri) kesinlikle hiçbir şey tarafından korunmuyor.
Kamu ve iş ortakları tarafından erişilen uygulamalarda veya operasyonel entegrasyonlarda herhangi bir API’yi korumasız bırakmak akıllıca değildir. Sıfır güven güvenlik modellerini benimseyen kuruluşların, kaynağı ne olursa olsun her API isteğinin kimliğinin doğrulandığından, yetkilendirildiğinden ve doğrulandığından emin olmak için düşüncelerini uygulamalarının ötesine taşımaları gerekir.
API güvenliği için parçalanmış sorumluluk
Rapor, kuruluşların %53’ünün uygulama güvenliği altında ve %31’inin API yönetimi ve entegrasyon platformları aracılığıyla yönettiği API güvenliği konusunda bölünmüş bir sorumluluğu ortaya koyuyor. Bu bölünme kapsama alanında boşluklara ve tutarsız güvenlik uygulamalarına yol açabilir.
Katılımcılar, programlanabilirliği en değerli API güvenlik özelliği olarak derecelendirdi ve gerçek zamanlı inceleme ve API trafiğine ve tehditlere yanıt verme ihtiyacının altını çizdi.
Rapor, bu güvenlik açıklarını gidermek için kuruluşların tasarımdan dağıtıma kadar tüm API yaşam döngüsünü kapsayabilecek kapsamlı güvenlik çözümlerini benimsemesini öneriyor. API güvenliğini hem geliştirme hem de operasyonel aşamalara entegre ederek kuruluşlar, dijital varlıklarını giderek artan tehdide karşı daha iyi koruyabilir.
MacVittie, “API’ler yapay zeka çağının ayrılmaz bir parçasıdır, ancak yapay zeka ve dijital hizmetlerin güvenli ve etkili bir şekilde çalışabilmesini sağlamak için bunların güvence altına alınması gerekir” diye ekledi. “Bu rapor, kuruluşların API güvenlik stratejilerini yeniden değerlendirmeleri ve verilerini ve hizmetlerini korumak için gerekli adımları atmaları yönünde bir eylem çağrısıdır.”