Salt Security’nin en son API Güvenlik raporu, kuruluşların uygulama programlama arayüzlerini (API) güvence altına almada karşılaştıkları zorlukları vurgulamıştır. Salt Labs State of API Güvenlik Raporu Q1 2025, mevcut API güvenlik manzarasına ayrıntılı bir genel bakış sağlamak için Salt Security’nin müşteri tabanından anonimleştirilmiş verilerin yanı sıra 200’den fazla BT ve güvenlik uzmanından yapılan anket yanıtlarından yararlanmaktadır.
Rapor, API güvenliğinin önemli bir endişe kaynağı olduğunu ve katılımcıların% 99’unun geçtiğimiz yıl güvenlik sorunlarıyla karşılaştığını bildiriyor. Ayrıca, kuruluşların% 55’i API güvenlik endişeleri nedeniyle uygulama sunumlarında gecikmeler yaşamıştır. Canlı API’larda yaygın güvenlik zorluklarının analizi, enjeksiyon saldırıları ve kırık nesne düzeyinde yetkilendirme (BOLA) gibi güvenlik açıkları, önde gelen sorun (%37), ardından hassas veri maruziyeti (%34) ve kimlik doğrulama zayıflıkları (%29).
Üretken AI’nın (Genai) artan kullanımı bu zorlukları birleştirmiştir. Katılımcıların% 47’si AI tarafından üretilen kodun güvence altına alınmasıyla ilgili endişelerini ifade ederken,% 40’ı bu tür kodla ortaya çıkan potansiyel güvenlik açıklarına atıfta bulunmuştur. Özellikle, katılımcıların sadece% 11’i, kuruluşlarında artan bir güvenlik kaygısı olarak GENAI başvurularını reddetmiştir.
Salt Labs’ın müşteri API trafiği analizi, API saldırılarının% 95’inin kimlik doğrulamalı kaynaklardan kaynaklandığını ve geleneksel kimlik doğrulama merkezli güvenlik önlemlerinin artık yeterli olmadığını gösterdi. Buna ek olarak, saldırı girişimlerinin% 98’i dışsal API’leri hedef aldı ve kamuya açık API’lerin kötü niyetli aktörler için birincil hedef olarak kaldığını doğruladı.
Rapor, bir kuruluşun API ekosisteminde tutarlı güvenlik standartlarının oluşturulmasını ve dağıtılmasını içeren API duruş yönetişim stratejilerinin önemini vurgulamaktadır. Ancak, kuruluşların sadece% 10’unun böyle bir stratejisi var. Teşvik edici bir şekilde,% 43’ü önümüzdeki 12 ay içinde bir tane uygulamayı planlıyor ve proaktif güvenlik önlemlerine duyulan ihtiyaç konusunda artan bir farkındalığı yansıtıyor.
Kuruluşların% 69’u API güvenlik bütçelerini% 5’in üzerinde artırmasına rağmen, API güvenlik stratejilerinin genel vadesi düşüktür. Ankete katılanların% 59’u hala planlama veya temel aşamalardadır ve sadece% 6’sı ileri programları bildirmektedir. Bütçe kısıtlamaları, kaynak sınırlamaları ve yetersiz takımlar, ilerlemenin temel engelleri olarak belirtilmiştir.
Saldırı tekniklerinin analizi, saldırı girişimlerinin% 80’inin OWASP API Güvenlik Top 10 Listesi ile uyumlu olduğunu ortaya koydu. Özellikle, güvenlik yanlış yapılandırmaları (API8) saldırıların% 54’ünü oluştururken, kırık nesne düzeyinde yetkilendirme (API1)% 27’yi temsil ediyordu.
Raporda ayrıca API benimsemesindeki hızlı büyümeyi vurguladı, kuruluşların% 30’u geçen yıl boyunca yönettikleri API sayısında% 51-100 artış ve% 25’i% 100’ü aşan büyüme yaşıyor. Kuruluşların% 43’ü şu anda 100 API’ye kadar,% 34’ü günde 101 ila 500 API arasında denetleniyor.
Genai risklerini azaltmak için kuruluşlar, geliştirici eğitimi (%56), uzmanlaşmış AI güvenlik araçları (%37) ve kod incelemeleri ve güvenlik testi (%40) dahil olmak üzere çeşitli stratejiler uygulamaktadır.
API güvenliğinin yatırım getirisinin (YG) ölçülmesi, güvenlik girişimlerini organizasyonel hedeflerle hizalamak için çok önemlidir. Kuruluşların% 37’si uyum duruşundaki iyileştirmeleri,% 25’i ihlalleri önlemekten kaynaklanan maliyet tasarrufunu ve API ile ilgili güvenlik olaylarındaki% 16’sı azaltmayı değerlendirmektedir.
Son olarak, rapor API izleme ve envanter yönetiminde önemli boşluklar ortaya koydu. Ankete katılanların sadece% 15’i API envanterlerinin doğruluğuna güçlü bir güveni ifade ederken,% 34’ü API’lar aracılığıyla hassas veri maruziyetine görünürlük eksikliğini kabul etti. Endişelenerek, sadece% 20’sinde sürekli API izleme için önlemler vardır.
Neredeyse tüm kuruluşlar geçen yıl API güvenlik sorunları yaşadı.