Wallarm’a göre, 337 farklı satıcıdan 650 API’ye özgü güvenlik açığı bulmak için 350.000 raporu taradıktan ve bu güvenlik açıklarını etkileyen yayınlanmış 115 açıkları takip ettikten sonra, sonuçlar API tehdit ortamının daha tehlikeli hale geldiğini açıkça gösteriyor.
2022 için API saldırı analizi
Araştırmacılar, 2022 verilerine, özellikle şu üç eğilime dayanarak bu sonuca vardı:
Saldırı büyümesi
2022’de, Wallarm’ın müşterilerinin API’lerine yönelik saldırılarda, H1’den H2’ye %197’nin üzerinde artış gösteren büyük bir artış oldu. API ile ilgili ihlaller bugünün manşetlerini etkilediğinden, bu eğilimin Wallarm müşterilerinin ötesine geçtiği ve 2023’te büyümeye devam edeceği açıktır.
CVE büyümesi
2022’de API ile ilgili CVE’lerde önemli bir artış oldu ve H1’den H2’ye +%78 arttı. Büyüme son iki çeyrekte istikrar kazanmış olsa da, araştırma ekibi 2023’te bir artış bekliyor.
Kullanım süresinin kötüleşmesi
Araştırma ekibi, bu ölçümü 2022’nin 2. Çeyreğinde takip ettiğinden beri, bir CVE’nin yayınlanması ile ilgili istismar POC’sinin yayınlanması arasındaki ortalama sürenin 58 günden (2. Çeyrek) dört (4) güne (3. Çeyrek) düştüğünü gördü. negatif üç (-3) güne (Q4).
Ek olarak, 4. çeyrekte bulunan ortalama sıfır gün istismarı, CVE’nin yayınlanmasından iki aydan uzun bir süre önce yayınlandı.
Wallarm CEO’su Ivan Novikov, “Optus ve T-Mobile gibi API’leri içeren mega ihlallerle ilgili son haberlerden açıkça görülüyor ki, API tehdit ortamı daha tehlikeli hale geliyor” dedi.
“Bu raporda, araştırma ekibimiz, API güvenlik uygulayıcılarına ve yöneticilerine 2023’te API güvenlik duruşlarını nasıl iyileştirebileceklerine dair veriye dayalı içgörüler sağlıyor. Kısaca, API tehditlerinin 2022’de üç katına çıktığını ve güvenlik açığından haberimiz bile olmadan açıklardan yararlanmanın mümkün olduğunu gördük. Mevcut OWASP API Güvenlik İlk 10 listesi, Enjeksiyonların birincil saldırı vektörü olduğu gerçeği doğru bir şekilde yansıtmamaktadır ve açık kaynaklı yazılım, özellikle yeni şirketler ve teknolojiler oluşturmak için kullanılan DevOps ve buluta özgü araçlar büyüyen bir hedeftir. Genel olarak, API’lerinizi korumaya yönelik geleneksel yaklaşımların bu yeni gerçeklere uyum sağlaması gerekiyor,” diyerek sözlerini tamamladı Novikov.
Araştırmaya dayanarak araştırma ekibi, kuruluşlar hem geliştirme döngüsü hem de üretim sırasında API güvenliğini iyileştirmek için mücadele ederken, API portföylerinin 2023’te daha büyük risk altında olacağı sonucuna vardı.