Kuruluşlar, savunmasız veya güvenli olmayan API’ler (Uygulama Programlama Arayüzleri) ve botların otomatik kötüye kullanımı nedeniyle yılda 94 ila 186 milyar ABD Doları arasında kaybediyor. Bu, Thales şirketi Imperva’nın API ve Bot Saldırılarının Ekonomik Etkisi raporuna göre. Rapor, bu güvenlik tehditlerinin küresel siber olayların ve kayıpların %11,8’ini oluşturduğunun altını çiziyor ve bunların dünya çapındaki işletmeler için oluşturduğu artan riskleri vurguluyor.
Marsh McLennan Siber Risk İstihbarat Merkezi tarafından yürütülen kapsamlı bir çalışmadan yararlanan rapor, 161.000’den fazla benzersiz siber güvenlik olayını analiz ediyor. Bulgular endişe verici bir eğilimi ortaya koyuyor: Savunmasız veya güvenli olmayan API’lerin oluşturduğu tehditler ve botların otomatik kötüye kullanımı giderek birbirine bağlanıyor ve yaygınlaşıyor. Imperva, bu tehditlerle ilişkili güvenlik risklerini ele almamanın önemli mali ve itibarsal zararlara yol açabileceği konusunda uyarıyor.
API Benimseme ve Genişleyen Saldırı Yüzeyi
API’ler, uygulamalar ve hizmetler arasında kesintisiz iletişim ve veri alışverişini mümkün kılarak modern iş operasyonlarının vazgeçilmezi haline geldi. Mobil uygulamalardan e-ticaret platformlarına ve açık bankacılığa kadar her şeye güç veriyorlar. Ancak bunların yaygın biçimde benimsenmesi önemli güvenlik sorunları yaratmıştır. Imperva Threat Research’ten elde edilen verilere göre, ortalama bir kuruluş geçen yıl üretimde 613 API uç noktasını yönetti ve şirketler dijital dönüşüm ve inovasyonu desteklemek için API’lere daha fazla güvendikçe bu sayının artması bekleniyor.
API’lere olan bu artan bağımlılık, API ile ilgili güvenlik olaylarının 2022’de %40, 2023’te ise ilave %9 artmasıyla birlikte saldırı yüzeyini önemli ölçüde genişletti. Bu saldırılar özellikle tehlikelidir çünkü API’ler genellikle bir kuruluşun temel altyapısına giden doğrudan yollar olarak hizmet eder ve hassas veriler. Rapor, API güvensizliğinin, 2021’e kıyasla 12 milyar dolarlık bir artışla, yıllık 87 milyar dolara kadar kayıptan sorumlu olduğunu tahmin ediyor. Bu, API’lerin hızla benimsenmesi, birçok API geliştiricisinin deneyimsizliği, standartlaştırılmış standartların bulunmaması gibi çeşitli nedenlere bağlanabilir. güvenlik uygulamaları ve geliştirme ile güvenlik ekipleri arasındaki sınırlı işbirliği.
Bot Saldırıları: Kalıcı ve Gelişen Bir Tehdit
API’lere yönelik saldırılardaki artışın yanı sıra, bot saldırıları da yaygın ve maliyetli bir tehdit haline geldi ve yılda 116 milyar dolara varan kayıplara neden oldu. Belirli görevleri yerine getirmek üzere tasarlanmış otomatik yazılım programları olan botlar, kimlik bilgisi doldurma, web kazıma, çevrimiçi dolandırıcılık ve dağıtılmış hizmet reddi (DDoS) saldırıları gibi kötü amaçlı faaliyetler için sıklıkla silah haline getirilir.
2022’de botlarla ilgili güvenlik olayları %88 oranında arttı, ardından 2023’te ilave %28’lik bir artış yaşandı. Bu endişe verici büyüme, dijital işlemlerdeki artış, API’lerin yaygınlaşması ve jeopolitik gerilimler gibi bir dizi faktörden kaynaklandı. Rusya-Ukrayna çatışması. Saldırı araçlarının ve üretken yapay zeka modellerinin yaygın olarak bulunması, botlardan kaçınma tekniklerini de önemli ölçüde geliştirdi ve düşük vasıflı saldırganların bile karmaşık bot saldırıları gerçekleştirmesine olanak sağladı.
Imperva’ya göre botlar artık API güvenliğine yönelik en kritik tehditlerden birini temsil ediyor. Geçen yıl, tüm API saldırılarının %30’u otomatik tehditlerden kaynaklandı; %17’si ise özellikle iş mantığındaki güvenlik açıklarından yararlanan botlarla bağlantılıydı. API’lere olan bağımlılığın artması ve hassas verilere doğrudan erişimleri, onları bot operatörlerinin öncelikli hedefi haline getirdi. Otomatik API kötüye kullanımı artık işletmelere yılda 17,9 milyar dolara kadar maliyet getiriyor. Botlar daha karmaşık hale geldikçe, saldırganlar bunları API iş mantığından yararlanmak, güvenlik önlemlerini atlatmak ve hassas verileri sızdırmak için giderek daha fazla kullanıyor; bu da kuruluşlar için tespit ve saldırıları azaltmayı daha zor hale getiriyor.
Büyük İşletmeler Daha Büyük Risk Altında
Büyük işletmeler, özellikle de yıllık geliri 1 milyar doları aşan şirketler, orantısız olarak daha yüksek API ve bot saldırı riskiyle karşı karşıyadır. Rapora göre bu kuruluşların, küçük veya orta ölçekli işletmelerle karşılaştırıldığında, botlar tarafından otomatik API kötüye kullanımıyla karşılaşma olasılığı 2-3 kat daha fazla. Bu artan risk, öncelikle dijital altyapılarının karmaşıklığı ve ölçeğinden kaynaklanmaktadır.
Bu şirketler genellikle birden fazla departman ve hizmette yüzlerce hatta binlerce API’yi yöneterek izlenmesi ve güvenliğinin sağlanması zor, genişleyen API ekosistemleri oluşturur. Bu tür ortamlarda gölge API’ler, kimliği doğrulanmamış API’ler ve kullanımdan kaldırılmış API’ler önemli güvenlik açıkları sunar. Yanlış yönetilen bu API’ler genellikle düzenli güncellemeler, kimlik doğrulama ve sürekli izleme gibi kritik güvenlik önlemlerinden yoksundur ve bu da onları kötüye kullanıma açık hale getirir.
Benzer şekilde, büyük işletmeler de kapsamlı dijital varlıkları ve değerli varlıkları nedeniyle bot saldırılarının ana hedefidir. Dijital ortam ne kadar karmaşıksa, oturum açma sayfalarından ödeme sistemlerine kadar botların kullanabileceği potansiyel giriş noktaları da o kadar fazla olur. Uygulamaları ve API’leri üzerinden akan büyük miktarda hassas veri nedeniyle bu şirketler, bot operatörleri için oldukça kazançlı bir hedeftir.
Yıllık geliri 100 milyar doları aşan, API güvensizliği ve bot saldırılarının tüm güvenlik olaylarının %26’sını oluşturduğu kuruluşlar için risk daha da belirgindir. Bu net rakam, bir güvenlik olayının önemli operasyonel kesintilere, önemli mali kayıplara ve uzun süreli itibar hasarına yol açabileceği büyük kuruluşlarda kapsamlı API güvenliği ve bot yönetimi stratejilerine olan kritik ihtiyacı vurgulamaktadır.
API ve Bot Saldırılarına Karşı Koruma
Savunmasız veya güvenli olmayan API’ler ve botların otomatik kötüye kullanımı, birlikte milyarlarca dolarlık yıllık kayba neden oluyor. İşletmeler dijital dönüşümü güçlendirmek için API’lere giderek daha fazla güvendikçe, güvenlik olayları riskinin artması ve kuruluşların daha büyük mali ve itibar kaybı riskiyle karşı karşıya kalması bekleniyor. Eş zamanlı olarak, çoğunlukla üretken yapay zekanın yönlendirdiği botların evrimi, bu tehditlere karşı savunma zorluklarını artırdı.
Bu riskleri etkili bir şekilde azaltmak için Imperva, kuruluşların aşağıdaki proaktif adımları atmasını tavsiye ediyor:
- İşlevler arası işbirliğini teşvik edin: Güvenlik ve geliştirme ekipleri arasındaki işbirliği, güvenliği API yaşam döngüsünün her aşamasına dahil etmek için çok önemlidir. Bu ortaklık, güvenlik önlemlerinin tasarımdan dağıtıma kadar entegre edilmesini sağlayarak, güvenlik açıklarının kötüye kullanılmadan önce proaktif olarak tanımlanmasını ve azaltılmasını sağlar. Bot yönetimi söz konusu olduğunda bu işbirliğinin daha da genişletilmesi gerekiyor. Botlar, işin birçok alanını etkileyen işlevler arası bir zorluktur. Bunlarla etkili bir şekilde mücadele etmek için pazarlama, e-ticaret, müşteri deneyimi, BT, İş Kolu ve güvenlik alanlarındaki ekiplerin birlikte yakın bir şekilde çalışması gerekir. Bu daha geniş işbirliği, özellikle bot saldırılarına açık olan oturum açma sayfaları, ödeme işlemleri ve formlar gibi savunmasız özelliklerin belirlenmesine yardımcı olur.
- Kapsamlı API keşfi ve izleme: Hiçbirinin gözden kaçırılmamasını sağlamak için kuruluşların gölge, kullanımdan kaldırılmış ve kimliği doğrulanmamış API’ler de dahil olmak üzere tüm API’lerine yönelik tam görünürlüğe sahip olması gerekir. Potansiyel güvenlik açıklarının kötüye kullanılmadan önce tespit edilmesi için sürekli izleme ve denetim çok önemlidir.
- API güvenliğini ve bot yönetimini entegre edin: API kitaplıklarına yönelik otomatik saldırıları başarılı bir şekilde azaltmak için bot yönetimi ve API güvenliği birlikte kullanılmalıdır. Bu birleşik yaklaşım, savunmasız API’lerin belirlenmesine yardımcı olur, otomatik saldırıları sürekli olarak izler ve hızlı tespit ve yanıt için eyleme geçirilebilir bilgiler sağlar. İşletmeler, bot yönetimi ile API güvenliğini entegre ederek karmaşık otomatikleştirilmiş tehditlere karşı daha iyi koruma sağlayabilir ve aynı zamanda riskleri bir güvenlik olayına neden olmadan önce tespit edip azaltabilecek görünürlük elde edebilir.
API ekosistemleri genişlemeye devam ettikçe ve botlar daha karmaşık hale geldikçe, eylemsizliğin maliyeti daha da artacaktır. Kuruluşların hassas verileri korumak, mali kayıpları azaltmak ve marka itibarlarını korumak için API’ler ve botlarla ilişkili güvenlik risklerini ele alması gerekiyor.