Wallarm Q1 2025 Tehdit Raporuna göre, tüm başvuru saldırılarının% 70’i API’leri hedefliyor. Endüstri artık API güvenliğini bir sidenot olarak ele alamaz; Bunu ana olay olarak ele alma zamanı. NIST, API’leri güvence altına almak için bir dizi öneri olan NIST SP 800-228’in ilk halka açık taslağını yayınlayarak bu görüşe sahip gibi görünüyor.
Son zamanlarda AJ Debole ile Oracle’da Field Ciso ile oturdum, API güvenliğinin neden her zamankinden daha önemli olduğu ve NIST SP 800-228’in nasıl çok önemli bir Kuzey Yıldızı olabileceği hakkında pratik, ileriye dönük bir tartışma için oturdum.
Bağlam: API’ler, otomasyon ve saldırı hızı
API’ler sadece uygulama mimarisinin bir evrimi değildir; Hizmetlerin nasıl inşa edildiği, tüketildiği ve güvence altına alınmasında temel bir değişimdir. Web uygulamalarının aksine, API’ler programlı erişim için tasarlanmıştır. Bu, onları otomasyon için gerekli hale getiren aynı özellikler – durumluk, yapı, makine okunabilirliği – onları saldırganlar için cazip hale getirir.
AJ, tartışmamızda önemli bir noktayı yükseltti: API’ler, saldırgan güvenlik çalışmaları için teknik engelleri düşürdü. Bir API’yı bulanıklaştırmak için tarayıcı trafiğini veya ana proxy araçlarını manipüle etmenize gerek yoktur; Basit bir curl komutu veya python komut dosyası yeterli olabilir. Bu erişim kolaylığı, API’leri hem otomatik tarayıcılar hem de daha sofistike aktörler için yüksek değerli bir hedef haline getirir.
API’lerin AI sistemleri (özellikle Genai ajanları) ile artan entegrasyonu sadece bu riski arttırır. Bu ajanlar API’lerle özerk bir şekilde etkileşime girer, kararlar verir ve iş akışlarını tetikler. Sonuç olarak, API trafiği, karmaşıklık ve maruz kalma riski katlanarak artmıştır.
NIST SP 800-228 Masaya Getiriyor
Tipik olduğu gibi, Nist bize gruplandırılmış en iyi uygulamaların düzenli bir listesini tam olarak vermedi. Önerilen 22 kontrol yayınladılar. Onlara kendiniz bakmanızı önerirken, bir bütün olarak sindirmek için biraz ezici olabilirler. Web semineri sırasında AJ ve ben herkese bir iyilik yapmaya karar verdik: onları yedi tematik gruba ayırdık. Bunlar resmi kategoriler değil, orada neler olduğunu ve nasıl uygulanacağını anlamak için yararlı bir lens.
API spesifikasyonu ve envanter yönetimi
Temel bilgilerle başladık: Var olduğunu bilmediğiniz şeyi koruyamazsınız. Güncel bir API envanterinin ve iyi tanımlanmış özelliklerin temel olduğuna dikkat çektim. AJ, durumu eski okul NAC’leriyle karşılaştırarak kabul etti. Fiziksel cihazları izlemek için mücadele edersek, gerçeğin hareket ettirilmesini izlerken, geçici API’ler daha da zor olacak. Yine de, Gölge API’lerinin alçak meyve haline gelmesini önlemek önemlidir.
Şema doğrulama ve giriş işleme
Orada ne olduğunu öğrendikten sonra, neler olduğunu doğrulamanız gerekir. Çalışma zamanında istek/yanıt şemalarını uygulamanın öneminden bahsettim ve AJ, bir kripto değişiminden yararlanan bir araştırmacının fiyatı değiştirerek değil, API’nin düzgün bir şekilde doğrulamadığı bir jeton türünü değiştirerek harika bir örnek paylaştı. Şema uygulamasının neden bariz girdilerin ötesinde önemli olduğunu mükemmel bir örnek.
Kimlik Doğrulama ve Yetkilendirme
İkimiz de kabul ettik: Authn SSO ve OAuth sayesinde gelişmiş olsa da, Authz bir karmaşa olmaya devam ediyor. AJ bunu açıkça ortaya koydu: Birçok API hala kullanıcıların gerçek bir kontrol olmadan “sadece bir yönetici olduklarını söylemelerine” izin veriyor. Bu tür başarısızlıkların genellikle tespit edilmediğini ekledim; Sistemleri çökertmezler veya dosyaları şifrelemezler, sessizce verileri sızdırırlar. Bu yüzden NIST, sadece temel uç nokta kısıtlamaları değil, alan ve yöntem düzeyinde erişim kontrolleri çağrısında bulunuyor.
Hassas veri tanımlama ve koruma
Hassas veriler sadece PII değil. AJ, siber sigorta poliçesini yanlışlıkla çevrimiçi olarak ortaya çıkaran bir şirket hakkında bir hikaye anlattı – bu da fidye yazılımı ödeme sınırını da içeriyordu. Sadece doğru miktarda fidye istemek için gereken saldırganlar buydu. API’lerden akan verileri tespit etmenin ve sınıflandırmanın, daha sonra etrafındaki politikayı uygulamanın basit kalıpların veya anahtar kelimelerin ötesine geçmesi gerektiğini vurguladım.
Erişim Kontrol Hijyeni ve Talep Akışı
Burada, özellikle tehlikeye atılan jetonlar veya anormal kullanım durumunda, API davranışının sertleşmesine odaklandık. Talep üzerine belirli anahtarları veya kullanıcıları engellemek için öneriyi vurguladım ve AJ, bu kulağa doğrudan gelse de, birçok kuruluşun bunu yeterince hızlı yapacak araçlara veya süreçlere sahip olmadığına dikkat çekti. NIST, endüstriyi daha olgun, gerçek zamanlı müdahale yeteneklerine doğru itiyor.
Oran sınırlama ve kötüye kullanımı önleme
API’ler sadece kullanılabilirlik riskleri sunmaz, aynı zamanda cüzdanınıza da vurabilirler. AJ, bulut ortamlarındaki saldırganların hesaplama kaynağını döndürerek büyük faturaları nasıl kullandığını belirtti ve bunun LLM’ler veya diğer ölçülü API’lerle aynı olduğunu belirttim. NIST, sadece uç nokta başına değil, aynı zamanda yöntem, kullanıcı veya alanla – istismarın meydana gelebileceği her yerde taneli oran sınırları önerir.
Günlük ve Gözlemlenebilirlik
Sonunda gözlemlenebilirlik hakkında konuştuk. AJ güçlü bir noktaya değindi: kütüklere sahip olmak bir şeydir, ancak cevap verebilmek önemlidir. “Tokenin ne istismar edildiğini biliyor musun? Aslında kapatabilir misin?” diye sordu. Kabul ettim-operasyonel kas ve takımlar arası koordinasyon olmadan kütükler sadece gürültü. NIST haklı olarak görünürlük içerir, ancak gerçek güç bu görünürlüğü harekete geçirdiğinizde gelir.
Wallarm’ın uyduğu yer
Wallarm, NIST SP 800-228 ile hizalanır, ancak doğrudan API güvenlik kontrolleri (keşif, şema uygulama) sağlar, API uyumluluğunu doğrular (uyumlu olmayan istekleri algılama) ve diğer güvenlik kontrollerini destekler (kırık kimlik doğrulamasını tanımlamak, hassas verileri sınıflandırmak).
Platformumuz Otomatik Keşifler ve Envanter API’larımız, sürüklenme ve gölge uç noktalarını tanımlamak için canlı trafikten OpenAPI özellikleri üretir ve şema doğrulamasını uygular. Ayrıca, politika uygulama ve redaksiyon için hassas verileri ortaya çıkarırken kırık kimlik doğrulama, maruz kalan sırlar ve BOLA gibi kritik riskleri tespit ediyoruz. Buna ek olarak, Wallarm ayrıntılı oran sınırlaması sunar ve tam bir saldırı anlatısı için tam trafik bağlamı sağlar.
NIST SP 800-228 ve Wallarm’ın uymanıza nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek istiyorum? Ben ve AJ ile tam web seminerine göz atın.