Traceable AI ve Ponemon Institute tarafından hazırlanan bir rapora göre, API’ler birçok operasyon için önemli ve yaygın olarak kullanılsa da önceliklendirme ve anlayış eksikliği bizi büyüyen bir API güvenlik krizine doğru sürüklüyor.
API güvenliğinin aciliyeti
Son iki yıl içinde kuruluşların %60’ı API ile ilgili en az bir ihlalle karşı karşıya kaldı. Bunların %74’ü üç veya daha fazla olaya maruz kaldı ve bu da amansız bir tehdit ortamını ortaya çıkardı; %23’ü ise altı veya daha fazla ihlale maruz kaldı.
Dolandırıcılık ve bilinen saldırıların yanı sıra DDoS (%38) birincil API ihlal yöntemi olarak öne çıkıyor. Buna ek olarak %58’i API’lerin kuruluşların saldırı yüzeyini önemli ölçüde genişlettiğine katılıyor.
%38’i API etkinliği, kullanıcı davranışları ve veri akışı arasındaki karmaşık bağlamı ayırt edebiliyor. Ayrıca katılımcıların %57’si, web uygulaması güvenlik duvarları da dahil olmak üzere geleneksel güvenlik çözümlerinin, gerçek API etkinliğini sahte API etkinliğinden etkili bir şekilde ayırt edemediğini düşünüyor.
API ile ilgili riskler
Katılımcıların %61’i önümüzdeki iki yıl içinde API ile ilgili risklerin artacağını tahmin ederken, kuruluşlar aynı zamanda API’nin yayılması (%48) ve doğru bir envanter tutmak (%39) gibi zorluklarla da boğuşuyor.
Ortalama 127 üçüncü taraf API bağlantısıyla uğraşırken, %33’ü bu dış tehditleri yönetme konusunda güven duyduğunu ifade ediyor. Bu durum, API’lerinin ilettiği veri hacmine ilişkin belirsizliklerle daha da kötüleşiyor ve bu da gelişmiş ihlal tespit çözümlerine yönelik acil çağrıyı vurguluyor.
- Katılımcıların %59’u API’lerin kuruluşlarının dijital dönüşümü için son derece önemli olduğunu kabul etti. Ancak buna rağmen katılımcıların %43’ü API güvenliğine öncelik vermediklerini itiraf etti.
- Ankete katılanların %60’ı kuruluşlarında API istismarından kaynaklanan en az bir veri ihlali yaşandığını söylüyor.
- API’lerin yalnızca %39’u güvenlik açıklarına karşı sürekli olarak test edilmektedir.
- Sonuç olarak, kuruluşlar saldırıların yalnızca ortalama %26’sını önleyebileceğinden emindir ve API saldırılarının ortalama yalnızca %20’si etkili bir şekilde tespit edilip kontrol altına alınabilmektedir.
“Dijital ekosistemlerin operasyonel yapımızla özünde iç içe olduğu bir çağda bu rapor, API ortamının altındaki gizli buzdağını gün ışığına çıkarıyor. Traceable CSO’su Richard Bird, işletmelerin çoğunluğunun bu tehlikeli sularda önemli bir kör noktayla, hazırlıksız bir şekilde ve API’lerle ilişkili gerçek tehditleri hafife alarak ilerlediğini görmek endişe verici” dedi.
“Bir güvenlik topluluğu olarak, siber savunma stratejimizin temel taşı olarak API güvenliğine öncelik vererek bu bariz kopukluğu ele almalıyız. API güvenliğinin sunucu odasından toplantı odasına yükseltilmesinin zamanı geldi. Bird, ancak bunu yaparak gelişen tehdit ortamının ilerisinde kalmayı umabiliriz, dedi.