Fastly'ye göre, API'lerin kritik rolüne rağmen ticari karar vericilerin büyük çoğunluğu işletmeler için artan güvenlik riskini göz ardı ediyor.
Uygulama Programlama Arayüzleri (API'ler) uzun süredir dijital ekonominin temeli olarak kabul ediliyor ve son rakamlar, tüm internet trafiğinin çoğunluğunun artık API'ler aracılığıyla yönlendirildiğini gösteriyor.
API ihlallerine karşı eylem eksikliği
API'lerin her yerde bulunması, bunların siber suçluların hesap ele geçirme saldırıları için favori ağ geçitlerinden biri haline geldiği anlamına geliyor. Fastly tarafından yakın zamanda yapılan bir ankette yanıt verenlerin %84'ü gelişmiş API güvenliğine sahip olmadıklarını itiraf etti.
Karar vericilerin büyük çoğunluğunun bir sorun olduğunu bilmesine rağmen API ihlallerine karşı önlem alınmıyor. Fastly'nin anketine katılanların %95'i, son on iki ayda API güvenlik sorunları yaşadıklarını söyledi.
%79'u API güvenliği endişeleri nedeniyle yeni bir uygulamanın kullanıma sunulmasını veya entegrasyonunu geciktirdi. Ayrıca %79'u API güvenliğine 'yüksek veya çok yüksek' düzeyde önem verdiklerini iddia ediyor. Bunların neden hiçbirinin hayata geçirilmediği sorulduğunda, 'yetersiz bütçe' ve 'uzmanlık eksikliği' en sık belirtilen nedenler oldu.
“Anketimizin sonuçları, karar vericilerin API'lere olan bağımlılığın artmasının ciddi siber saldırı riski yarattığını bildiğini gösteriyor. Ancak şu ana kadar bu konuda yeterli çabayı göstermiyorlar. Fastly Kıdemli Güvenlik Mimarı Jay Coley, bir ihlalin operasyonel ve itibar maliyetinin, tek bir sağlayıcıdan birleştirilmiş bir web uygulaması ve API güvenlik çözümü dağıtmanın maliyetinden çok daha ağır bastığı göz önüne alındığında bu şaşırtıcıdır, dedi.
Şirketler API saldırılarını tespit etmekte zorlanıyor
Bir API güvenlik platformunun hangi özelliklerinin şirketleri için en önemli olduğu sorulduğunda katılımcılar, ilk olarak hangi API'lerin kişisel veya hassas verileri açığa çıkardığının belirlenmesi gerektiğini (%43) söyledi. Diğer önemli endişeler arasında belgelenmemiş olanlar (%40) ve günlüğe kaydetme ve izleme (%28) de dahil olmak üzere tüm API'lerin tanımlanması yer alıyordu.
Ancak şirketler, eski güvenlik çözümlerini kullanarak aldıkları bildirimlerin çokluğu nedeniyle API saldırılarını tanımlamakta giderek daha fazla zorlanıyor.
Fastly'nin deneyimine göre, kimlik bilgisi doldurma, iş mantığının kötüye kullanılması ve DDoS saldırıları, hesapları ele geçirmek ve kimlik hırsızlığı ve dolandırıcılık gerçekleştirmek için kullanılan kötü niyetli otomatik bot saldırılarından yalnızca birkaçıdır. Hazır komut dosyaları ve araçlar, API saldırılarını düzenlemeyi her zamankinden daha kolay hale getiriyor ve eski bot savunma teknikleri, bu potansiyel olarak yıkıcı saldırıları tespit etmekte zorlanıyor.
API ortamının karmaşıklığına bir çözüm, yeni nesil yapay zeka destekli siber güvenlik sistemleri olabilir, ancak Fastly, şu anda bu konuda pek bir ilginin olmadığını tespit etti. Ankete katılan şirketlerin yalnızca %14'ü API güvenliğinde AI teknolojilerinin kullanımını bir öncelik olarak görüyor. Bununla birlikte katılımcıların %58'i, üretken yapay zekanın yaklaşık 2-3 yıllık bir süre içinde API güvenliği üzerinde 'büyük veya çok büyük' bir etkiye sahip olacağını öngörüyor.
Şirketlerin %62'si, yeni tanımlanan API güvenlik açıklarındaki büyümede yapay zekanın yüksek ila çok yüksek derecede bir etkiye sahip olmasını bekliyor.
Üst düzey yöneticiler API güvenliğine öncelik veriyor
Anketin endişe verici yönlerinden biri de, hassas verilerle uğraşan yoğun düzenlemeye tabi sektörlerin, konu API'lerin eyleme geçmemesi olduğunda en büyük suçlular arasında yer almasıdır. Finansal hizmetlerde yanıt verenlerin yalnızca %80'i API güvenliğine yüksek veya çok yüksek düzeyde önem veriyor. Bu oran toptan, perakende ve e-ticarette %89'dur.
Bölgesel farklılıklar açısından, API güvenliğinin önemi, sınır ötesi ortalama %79'a kıyasla Birleşik Krallık'ta yüksek oranda (%86) değerlendirildi. Zombi API'leri ve veri kazıma, Birleşik Krallık firmaları tarafından öncelikler olarak gösterildi. Buna rağmen Birleşik Krallık'ta hâlâ düşünceleri eyleme dönüştürmeme eğilimi vardı.
Coley, “Birleşik Krallık'taki katılımcıların %79'u API güvenliklerinin gelişmiş olmadığını söyledi,” diyor ve ekliyor: “genelde bu oran %84'tü. Bu, giderek daha karmaşık hale gelen siber suçluların hedeflemesi gereken büyük bir hedefi temsil ediyor.”
İlginç bir içgörü, şirket hiyerarşileri içindeki tutumlardaki uçurumdur. Üst düzey yöneticilerin ve uyumluluk uzmanlarının %91'i API güvenliğine 'yüksek veya çok yüksek' düzeyde önem veriyor, ancak kurum içi güvenlik uzmanlarının yalnızca %74'ü aynı fikirde. Belki de bunun anlamı, güvenlik kohortunun tehdidin boyutunu küçümsediğidir; ya öyle ya da her gün daha geniş bir tehdit havuzuna maruz kalıyorlar.