Bugün, API güvenlik şirketi Salt Security, API güvenliği hakkındaki sektör odaklı ilk raporunun bulgularını yayınladı. “Finansal Hizmetler ve Sigorta için API Güvenliğinin Durumu” başlıklı rapor, finans ve sigorta sektörlerindeki önemli API güvenlik açıkları ve saldırgan faaliyetleri hakkında derinlemesine bilgi sağlar.
Rapor, API güvenlik tehditlerinin ve güvenlik açıklarının bu sektörler üzerindeki etkisinin derinlemesine bir analizini sağlamak için Salt müşterilerinden elde edilen ampirik verileri ve iki ayrı anketten elde edilen bulguları bir araya getiriyor. Rapor, daha önceki 2023 1. Çeyrek API Güvenlik Raporu Durumu verileri, müşteri verileri ve bağımsız CISO 2023 Durumu anketinin yanı sıra Salt Labs’ın güvenlik açığı araştırması kullanılarak derlendi.
Sonuçlar, finansal hizmetleri ve sigorta API’lerini hedef alan API saldırganlarının son 18 ayda giderek daha aktif hale geldiğini ve geçen yılın ilk yarısı ile ikinci yarısı arasında tekil saldırganların sayısında %244’lük bir artış olduğunu ortaya çıkardı. Buna ek olarak, finans/sigorta katılımcılarının %92’si geçen yıl üretim API’lerinde önemli bir güvenlik sorunu yaşadıklarını ve yaklaşık beş kişiden birinin bir API güvenlik ihlali yaşadığını söylüyor. En önemli bulgular şunları içerir:
- Finansal hizmetler/sigorta katılımcılarının %69’u, API güvenlik sorunları nedeniyle kullanıma sunma gecikmeleri yaşadıklarını söylüyor – genel yanıt ortalamasından %11 daha yüksek
- Finansal hizmetlere/sigorta sektörlerine yönelik saldırıların %84’ü meşru görünen ancak aslında saldırgan olan “kimliği doğrulanmış” kullanıcılardan geldi
- Finans/sigorta katılımcılarının %71’i mevcut araçlarının API saldırılarını önlemede çok etkili olmadığını söylüyor
- Ankete katılanların %25’inden fazlası güncel bir API stratejileri olmadığını söylüyor
- Ankete katılanların %17’si API ile ilgili bir güvenlik ihlali yaşadı
Salt Security’nin CEO’su ve kurucu ortağı Roey Eliyahu şunları ekliyor: “API’ler, günümüzde finans ve sigorta kuruluşları tarafından sunulan yenilikçi dijital hizmetler için çok önemlidir. Bununla birlikte, bu API’ler hassas müşteri ve finansal bilgileri taşıdığından, siber suçlular hırsızlık veya dolandırıcılık için kullanılabilecek zengin bir veriyi paylaştıklarını da bilirler. Bulgular, bu şirketlerin saldırganlarda ve diğer güvenlik sorunlarında önemli artışlar yaşadığını ve API ile ilgili olaylara karşı savunmasızlıklarının arttığını gösteriyor.”
API güvenlik ihlalleri, işletmelere para cezalarına, müşteri güveninin kaybına ve itibarlarının zarar görmesine neden olabilir. Ayrıca, uygulama sunumlarında veya yeni uygulamaların geri alınmasında yaşanan gecikmeler de maliyetlidir. Dijital hizmetlerin bu endüstrilerde bir iş sürücüsü olarak önemi göz önüne alındığında, aşağıdaki bulgularla vurgulandığı gibi API güvenliği kritik bir konu haline geldi:
- Finansal hizmetler/sigorta katılımcılarının %56’sı API güvenliğinin artık C düzeyinde bir sorun olduğunu söylüyor (%48 olan genel yanıt ortalamasına kıyasla %8 daha yüksek)
- Finansal hizmetler/sigorta CISO’larının %79’u API güvenliğinin bugün iki yıl öncesine göre daha yüksek bir öncelik olduğunu söylüyor
- Mali hizmetler/sigorta CISO’larının %76’sı, kuruluşlarının API güvenliğini önümüzdeki iki yıl içinde planlanmış bir öncelik haline getirdiğini söylerken, %13’ü bunun kritik bir öncelik olacağını söylüyor
New American Funding Teknoloji Kıdemli Başkan Yardımcısı ve CISO’su Jeff Farinich, “Modern işletmelerin etkinleştirilmesi için API’lerin son yıllarda artan önemi göz önüne alındığında, API güvenliğinin ancak son zamanlarda ana akım hale gelmesi şaşırtıcı” dedi. “Güvenlik çerçevelerinin ve düzenlemelerinin yavaş gelişmesi kısmen suçlu, ancak ufukta umut görüyorum. Yeni bir yetki belgesi yayınlaması genellikle yıllar alan Federal Finansal Kurumlar İnceleme Konseyi (FFIEC), yalnızca bir yıl içinde API’leri açıkça ayrı bir saldırı yüzeyi olarak adlandırdı ve finansal kurumların API bağlantılarını envanterlemesini, düzeltmesini ve güvenliğini sağlamasını gerektirdi.”
Mali hizmetler/sigorta muhatapları, API’leri tehditlere karşı korumak için hazırlıklı olmadıklarını veya doğru önlemleri almadıklarını söylüyor:
- Ankete katılanların %28’i – tümü üretimde çalışan API’lere sahip – güncel bir API stratejileri olmadığını söylüyor
- Ankete katılanların yalnızca %13’ü API güvenlik programlarının gelişmiş olduğunu düşünüyor
- Ankete katılanların %25’i, mevcut API güvenlik stratejilerinin API’leri belgelemeye yeterince zaman ayırmadığını söylüyor
- Ankete katılanların yalnızca %42’si, gerçek saldırı etkinliğinin gerçekleştiği üretim/çalışma zamanı sırasında API güvenlik açıklarını tespit ediyor
- Ankete katılanların %42’si, hangi API’lerin PII’yi ifşa ettiğini anlama konusunda çok az güven duyuyor
Finansal hizmetler/sigorta katılımcıları ayrıca eski/zombi API’leri %48 ile bir numaralı API güvenlik endişesi olarak gösterdi – belirtilen ikinci en önemli API güvenlik endişesi olan hesap devralma (ATO)’dan yaklaşık %35 daha yüksek.
Raporun tamamı buradan okunabilir.