API İstekleri Küresel Dinamik HTTP Trafiğinin %57’sini Oluşturuyor, Cloudflare Raporları
Mathew J. Schwartz (euroinfosec) •
9 Ocak 2024
İnternet üzerinden akan dinamik trafiğin çoğunluğu, uygulama programlama arayüzleri aracılığıyla birbiriyle arayüz oluşturan iki veya daha fazla yazılım bileşenini içerir. Ancak API kullanımı giderek yaygınlaştıkça birçok kuruluş, kaç API açtığı, bunların güvenli olup olmadığı veya bunlara kimin erişmesi gerektiği konusunda görünürlükten yoksun kalıyor.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Salı günü yayınlanan açılış API Güvenlik ve Yönetim Raporunda San Francisco merkezli Cloudflare’i bu konuda uyarıyor. Şirket, dünyadaki internet trafiğinin yaklaşık beşte birini yönettiğini ve saniyede ortalama 50 milyondan fazla HTTP isteğini işlediğini söylüyor.
Rapor, Cloudflare tarafından web uygulaması güvenlik duvarı, dağıtılmış hizmet reddi savunması, bot yönetimi ve API ağ geçidi hizmetleri aracılığıyla 1 Ekim 2022’den 31 Ağustos 2023’e kadar 11 aylık bir süre boyunca toplanan verilere dayanıyor.
Cloudflare, internetten geçen API trafiği miktarının artmaya devam ettiğini, API isteklerinin dinamik HTTP trafiğinin %57’sini oluşturduğunu söylüyor; bu da “ziyaret zamanı, konum ve cihaz gibi kullanıcıya özel faktörlere göre değiştiği” anlamına geliyor. hallediyor.
Geçen yıl API trafiğinde en büyük paya sahip olan (dinamik HTTP trafiğinin %70 veya daha fazlasını oluşturan) sektörler arasında IoT platformları yer aldı; demiryolu, otobüs, taksi ve araç paylaşımı hizmetleri; yasal hizmetler; multimedya ve oyunlar; artı lojistik ve tedarik zincirleri.
Güvenlik uzmanları, iyi belgelenmiş “gölge BT” zorluklarından biri, API kullanan tüm kuruluşların doğru bir envanter tutmaması veya API’lerine, ne yaptıklarına veya neden yaptıklarına ilişkin iyi bir görünürlüğe sahip olmamasıdır, diye uyarıyor güvenlik uzmanları. Bu zombi API’leri CIO veya CISO’nun gözetiminden kaçabilir.
Cloudflare’in raporu, makine öğrenimi araçlarını kullanan kendi keşif sürecinin, müşteriler tarafından kendi bildirdiğinden %31 daha fazla API uç noktasının çalıştırıldığını tespit ettiğini söylüyor.
API Kötüye Kullanımıyla Bağlantılı İhlaller
Saldırganların API’leri kötüye kullanması nedeniyle çok sayıda büyük veri ihlali meydana geldi. Avustralya’nın bugüne kadarki en kötü bilinen veri ihlallerinden biri, 2022’de bir saldırganın kimliği doğrulanmamış, kamuya açık bir API aracılığıyla telekomünikasyon devi Optus’tan 11,2 milyon müşteri kaydını çalmasıydı; bu, herhangi bir internet kullanıcısının herhangi bir kimlik bilgisi sağlamak zorunda kalmadan bu bilgilere erişebileceği anlamına geliyordu.
2019 yılında bir saldırgan, bilgileri laboratuvar testi firmasıyla çalışan faturalandırma satıcılarına yönlendirmek üzere tasarlanmış bir API’ye yetkisiz erişim sağlayarak Quest Diagnostics tarafından laboratuvar testleri yaptırılan yaklaşık 12 milyon hastaya ilişkin bilgileri çaldı. Açığa çıkan bilgiler arasında mali veriler, Sosyal Güvenlik numaraları ve tıbbi bilgiler yer alıyordu.
Cloudflare, “Birçok API ihlali, izin veren yetkilendirme nedeniyle meydana geliyor: kullanıcılara çok fazla ayrıcalık verilmesi veya diğer kullanıcıların verilerine erişime izin verilmesi.” dedi.
Cloudflare, kuruluşların hangi API’leri kullandıklarını anlamadan yalnızca yetkisiz erişim riskini almadıklarını, aynı zamanda DDoS veya enjeksiyon saldırıları gibi diğer tehditlerle başa çıkmaya çalışırken bağlamdan da yoksun olduklarını söyledi.
Raporda, “API ortamının doğru ve gerçek zamanlı bir resmini olmadan API güvenliğini uygulayanlar, istemeden yasal trafiği engelleyebilir” uyarısında bulunuyor. Cloudflare müşterilerinin 2023’te gördüğü en önemli API hatası kategorisi olan HTTP hatası 429, diğer adıyla “çok fazla istek”i ele alalım. Raporda şunu belirtiyor: “429 kodu otomatik olarak bir saldırganın çok fazla istekte bulunduğu anlamına gelmez.”
Bunun yerine hata, meşru kullanımda beklenmedik bir artışla veya meşru kullanım ile bir DDoS saldırısının birleşimiyle tetiklenebilir. Geçtiğimiz yıl müşterileri için kullandığı bir numaralı API savunmasının DDoS saldırılarını engellediğini belirten Cloudflare, “Aşırı geniş, yanlış hız limitleri uygulamak hâlâ yasal kullanıcıları engelleyebilir” dedi.
Tekrarlanan bir başka zorluk, API’lerin, kullanıcıları salt okunur erişimle kısıtlamak yerine, saldırganlar tarafından daha kolay kötüye kullanılabilecek aşırı derecede izin veren “yazma” erişimi sağlamasıdır. Cloudflare’in raporu, müşterilerinin %59’unun API’lerinin en az yarısına yazma erişimine izin verdiğini söylüyor.
Yönetişim Çağrıları
Forrester Research, kendi API’lerini oluşturan ve bakımını yapan veya üçüncü taraf API’leri kullanan tüm kuruluşların, bu teknolojiyi yöneten resmi bir API güvenlik programı yürütmesini önerir. Etkili olabilmesi için böyle bir programın keşif ve testten koruma, tespit ve müdahaleye kadar her şeyi kapsaması gerekir (bkz: API Güvenlik Trendleri: Liderler için İşbirliği Stratejileri).
Düzenlemeler aynı zamanda API güvenlik değişikliklerini de yönlendiriyor. 31 Mart’ta yürürlüğe girecek olan Ödeme Kartı Endüstrisi Veri Güvenliği Standardının 4.0 Versiyonu, ilk kez belirli API güvenlik kontrollerini zorunlu kılıyor. Özellikle, PCI DSS sürüm 4, “API’lerin manipülasyonu yoluyla uygulama özelliklerini ve işlevlerini kötüye kullanma veya atlama girişimleri dahil” iş mantığı saldırılarına karşı koruma sağlamak üzere tasarlanmış kod incelemeleri ve testleri gerektirir.
PCI DSS’nin en son sürümü ayrıca kuruluşların, bilinen güvenlik açıklarından haberdar olduklarından ve bunların bir yamayla yamalandığından emin olmak için API’ler de dahil olmak üzere üçüncü taraf bileşenleri içeren “tüm ödeme yazılımı bileşenleri ve bağımlılıklarının” bir envanterini tutmasını önerir. tam vaktinde. Bu şu anda gönüllü bir “en iyi uygulama” olarak kalsa da, 31 Mart 2025’ten sonra bir gereklilik haline gelecek ve denetçilerin değerlendirmelerinin bir parçası olacak.
İhlal edenler para cezaları ve diğer cezalarla karşı karşıya kalabilir.