Uygulama güvenliği söz konusu olduğunda (yazılım geliştirme yaşam döngüsünün sonunda gönderilen kodda sorun yaratan güvenlik açıkları), geçen yıl güneşte kalan iki kritik alan API güvenlik açıkları ve tedarik zinciri başarısızlıklarıdır.
API güvenlik açıkları
Kuruluşlar müşteriye yönelik operasyonlarını dönüştürmeye çalıştıkça, verilerini ve arka uç süreçlerini genel API’ler aracılığıyla web ve telefon uygulamalarına sunmaya daha fazla ihtiyaç duyuyorlar. Bu API’ler aracılığıyla ne kadar çok yetenek açığa çıkarsa, bir saldırganın API’nin davranışını yöneten kontrollerin ötesine geçme riski de o kadar büyük olur.
Bilgisayar korsanlığı kurbanının saldırganın kullandığı vektörü tanımlaması nadir görülen bir durum olsa da, son 12 ayda API saldırıları, Avustralya’da Optus ve Medibank ve ABD’de T-Mobile ve Twitter gibi birçok yüksek profilli veri ihlaline yol açtı.
Gartner’ın DevOps Başkan Yardımcısı analisti ve yazılım mühendisliği ekibi Manjunath Bhat’a göre bir kuruluş, API’lerin güvenliğini sağlamaya yönelik önlemleri uygulamaya başlamadan önce, orada ne olduğunu bilmesi gerekiyor.
Bhat, “CIO’lar ve CISO’lar, uygun bir risk değerlendirmesi sağlamak ve API sahipleri ve dağıtım ekipleriyle etkileşimi mümkün kılmak için hem iç hem de dış API’leri kataloglamalı ve sınıflandırmalıdır” dedi.
Bu risk değerlendirmesi veri hassasiyetini, iş kritikliğini ve müşteri etkisini kapsamalıdır.
Bhat’a göre API güvenliği, güvenlik ve yazılım mühendisliği ekiplerinin birlikte çalışmasıyla birlikte yazılım geliştirme yaşam döngüsüne entegre edilmelidir: “…self servis API spesifikasyon doğrulamasını, API güvenlik testini ve katalog kaydını (API kullanımlarını kaydetmek için) etkinleştirmek için.”
“CIO’lar ve CISO’lar ayrıca ekiplerini, farkındalık oluşturmak ve API yaşam döngüsü boyunca güvenlik için ortak sorumluluk ve hesap verebilirlik oluşturmaya yardımcı olacak bir uygulama topluluğu oluşturmaya teşvik edebilir. Katılımcılar mimari, yazılım mühendisliği, kimlik, otomasyon ve iş ekiplerinden paydaşları içermelidir.”
– Manjunath Bhat, Başkan Yardımcısı analisti, Gartner
Yazılım tedarik zinciri güvenliği
Yıllar süren yüksek profilli yazılım tedarik zinciri saldırılarının ardından dünya, sorunun çözümü için ortak bir çabanın uygulandığını görüyor.
2021 yılında ABD’nin Siber ve Altyapı Güvenliği Ajansı (CISA) ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) en yaygın tedarik zinciri saldırı türlerini korsanlık güncellemeleri olarak tanımladı; kod imzalamayı baltalamak; ve açık kaynak kodunu tehlikeye atıyor.
CISA, “Birçok üçüncü taraf yazılım ürünü ayrıcalıklı erişim gerektirir” ve “birçok üçüncü taraf yazılım ürünü, bir satıcının ağı ile satıcının müşteri ağlarında bulunan yazılım ürünü arasında sık iletişim gerektirir” dedi.
Gartner’dan Bhat, tedarik zincirinin güvenliğini sağlamaya yardımcı olan iki temel araç setinin yazılım malzeme listesi (SBOM) olduğunu söyledi; ve tedarik ettikleri yazılım için tamamlayıcı güvenlik açığından yararlanılabilirlik değişimi (VEX) meta verileri.
“SBOM’lara olan ihtiyacı artıran birçok faktör var; üçüncü taraf bağımlılıklarının ve açık kaynaklı yazılımların kullanımının artması, yazılım tedarik zinciri saldırılarının görülme sıklığının artması ve mevzuata uygunluk zorunlulukları… bunların hepsi, oluşturmak için kullanılan bileşenlere yönelik görünürlük ve şeffaflık ihtiyacına işaret ediyor” yazılım,” dedi Bhat.
“Şirketler aynı zamanda çalışma zamanı/dinamik SBOM’lara da bakmalıdır çünkü bunlar, dinamik olarak yüklenen bileşenler ve harici API çağrıları da dahil olmak üzere sistem çalışırken bileşen kullanımına ilişkin görünürlük sağlar.
“Fuzz testi ve yazılım kompozisyon analizi, tedarik zinciri risklerini azaltmak için önerilen uygulamalardır.”
CISO’nun görüşü
Infosec emektarı, Turşu Açık Artırmaları‘ CISO Peter Sandilands, yazılım tedarik zinciri risklerini azaltmanın temelinin yazılım envanteri olduğunu öne sürdü.
Prudential Standardı CPS 234 Bilgi Güvenliği kapsamındaki Avustralya Prudential Düzenleme Otoritesi’ne bağlı kuruluşlar, tedarikçilerinden yazılımlarına ilişkin bir güvenlik değerlendirmesini tamamlamalarını talep edebilir veya kuruluş, yazılımı dağıtılmadan önce değerlendirebilir.
Yazılım testleri geçtikten sonra işletmelerin disiplin uygulaması gerekir. “Deponuza konulan her şey, içeri girmeden önce güvenlik açısından uygun şekilde değerlendirilir ve bundan sonra kullandığınız tek sürümün bu olduğundan emin olursunuz” dedi.
Sandilands, endüstrinin API risklerini yönetme biçiminin henüz olgunlaşmamış olması nedeniyle API güvenliğinin belki de daha zor olduğunu düşünüyor.
“DevOps’un geldiği yerde hızlı değişim yapabilme yeteneği değerlidir ve platformların hızlı bir şekilde oluşturulmasına ve bunların müşteri talebine yanıt vermesini sağlamaya yardımcı olur, ancak neyin konuşlandırıldığı, nerede dağıtıldığı vb. ile ilgili disiplinden kaçabilir” dedi. .
Sandilands’e göre bir API kataloğu yardımcı oluyor; eğer kuruluş olumluysa katalog kapsamlıdır.
Sonuçta, API güvenliğinin bir insan sorunu olduğunu söyledi: CISO, geliştirme ekiplerini, geliştirme döngüsü sırasında müşteri verilerini ve kurumsal sistemleri koruyan disiplinleri benimsemeye ikna edebilmelidir.
Sandilands, araçlara bakarken uygulamaları ve API’leri Açık Web Uygulama Güvenliği Projesi (OWASP) İlk 10’a ve Avustralya Sinyaller Direktörlüğü’nün Bilgi Güvenliği Kılavuzunun tavsiyelerine göre kontrol etmeyi unutmayın.