Wallarm’a göre API’lar, API’lerin geçen yıl boyunca baskın saldırı yüzeyi olarak ortaya çıktı, AI, API güvenlik risklerinin en büyük itici gücü oldu.
Wallarm CEO’su Ivan Novikov, “Bulgularımıza dayanarak, API güvenliğinin artık sadece teknik bir zorluk değil – şimdi bir iş zorunluluğu” dedi.
“API’larla ilgili güvenlik kusurları, AI modelleri ve güçlendirdikleri uygulamalar arasındaki kritik arayüz olduğundan AI’nın benimsenmesi ile körüklenmektedir. Bununla birlikte, bu hızlı büyüme önemli güvenlik açıkları ortaya koymuştur. Örneğin, AI ile çalışan API’lerin% 57’sinin harici olarak erişilebilir olduğunu ve% 89’unun güvensiz kimlik doğrulama mekanizmalarına dayandığını bulduk. Özellikle endişe verici olan, sadece% 11’inin sağlam güvenlik önlemleri olması ve çoğu uç noktanın savunmasız kalmasıdır. Günümüz ortamında, kuruluşlar API’lerini güvence altına alamıyorlar. Bunun yapılmaması, kendilerini maliyetli teknik güvenlik açıklarına ve itibar ve operasyonel krizlere neden olabilecek ciddi risklere maruz bıraktıkları anlamına geliyor ”diye ekledi Novikov.
Araştırmacılar, önceki yıla göre% 1.025’lik bir artış olan 439 AI ile ilgili CVE’yi izledi. % 99’u, AI’nın yüksek performanslı ikili API’lere güvenmesinden kaynaklanan enjeksiyon kusurları, yanlış yapılandırmalar ve yeni hafıza yolsuzluğu güvenlik açıkları dahil olmak üzere doğrudan API’lere bağlanmıştır.
Buna ek olarak, kaydedilen tüm CISA sömürülen güvenlik açıklarının% 50’si, bir önceki yıla göre% 30’luk bir artış olan API ile ilgilidir ve bu, modern tehdit ortamlarında API güvenliğinin artan yaygınlığını ve kritikliğini vurgulamaktadır. API güvenlik açıkları, çekirdek, tarayıcı ve tedarik zinciri güvenlik açıkları gibi geleneksel istismar kategorilerini aşarak siber saldırılardaki merkezi rollerinin altını çiziyor.
Yeni güvenlik açıkları için bir katalizör olarak AI
AI ve API Security ile ilgili 200 ABD merkezli işletme liderinin anketinde,% 53’ü birden fazla AI dağıtımına girdiğini bildirdi. Bu dağıtımlar öncelikle API teknolojisi tarafından etkinleştirilir ve API’leri kurumsal AI benimsemesinin temeli olarak güçlendirir. Bununla birlikte, AI entegrasyonu endüstriler arasında hızlı API benimsemesini sağlarken, aynı zamanda benzersiz riskler getirir.
Örneğin, Tehdit İstihbaratı, işletme AI dağıtımlarını destekleyen PaddlePaddle ve Mlflow gibi AI araçlarında önemli güvenlik açıklarını işaretledi. Bu araçlar API uç noktalarından yararlandı, eğitim verilerini tehlikeye attı, fikri mülkiyeti sifonlama veya makine öğrenimi boru hatlarına kötü niyetli yükler enjekte edildi.
AI modelleri ve uygulamalar arasında gerçek zamanlı veri alışverişlerini kolaylaştıran API’lar genellikle yeterli güvenlik önlemlerinden yoksundur, bu da onları enjeksiyon, istismar ve bellekle ilgili istismarlara duyarlı hale getirir.
Digi Yatra ve Optus olaylarında kullanılanlar gibi eski API’ler eski tasarımlar nedeniyle savunmasız kalırken, modern dinlendirici API’ler karmaşık entegrasyon zorlukları ve uygunsuz konfigürasyonlar nedeniyle eşit derecede risk altındadır. API’ler artık CISA KEV’deki en büyük sömürülen güvenlik açıkları kategorisini temsil ediyor ve modern API’ler%33’ün üzerinde.
İstismarlar, Ivanti ve Palo Alto Networks de dahil olmak üzere tespit edilen saldırılara sahip kurumsal sınıf platformlarını hedefleyen yanlış kimlik doğrulama, enjeksiyon saldırıları ve API uç noktası yanlış yapılandırmalarını içerir. Web uygulamalarındaki eski API’ler, sömürülen güvenlik açıklarının% 18’inden fazlasını temsil etmektedir. Bu güvenlik açıkları, genellikle Ajax arka uçları, URL parametreleri veya .php dosyalarına doğrudan çağrılar için web uygulamalarında kullanılan eski API’lerde ortaya çıkar.
Genellikle kameralar veya IoT sistemleri gibi cihazlara entegre edilmiş olan bu API’ler, URL tabanlı enjeksiyon, CSRF saldırıları ve eski oturum taşıma mekanizmaları gibi önemli istismar türleriyle modern meslektaşlarının sağlam güvenlik önlemlerinden yoksundur.
Kimlik doğrulama ve erişim kontrolünün artan kullanımı
Asya ihlallerindeki Twilio ve Tech, saldırganların yetkisiz erişim elde etmek için zayıf kimlik doğrulamasını ve erişim kontrol mekanizmalarını nasıl kullandıklarını gösterdi. Bu konular, API ile ilgili ihlaller frekans ve şiddette arttığından, büyük kuruluşlarda API yönetiminin merkezi olmayan doğası ile daha da kötüleşir.
Geçen yılın 2023 verilerine dayanan Wallarm raporunda, API ile ilgili ihlaller önemli ancak seyrekti, her üç ayda bir sadece birkaç olay bildirildi. 2024’te bu resim, ortalama üç aylık olayla – ve zaman zaman her ay beş ila yedi ihlalle dramatik bir şekilde değişti.
Sağlık, ulaşım, teknoloji ve finansal hizmetler gibi sektörlerde API güdümlü sistemlerin yükselişi, API’leri siber güvenlik manzarasının merkezine koyarak güvenlik açıklarında bir artışa yol açmıştır.
API’ler, özellikle AI özellikli sistemlerde inovasyona neden olduğu için kuruluşlar, iş operasyonlarını, müşteri güvenini ve uzun vadeli başarılarını korumak için gerçek zamanlı API kontrollerine ihtiyaç duyarlar. 2025 yılına baktığımızda, kuruluşlar sistemlerini korumak ve iş dönüşümünün kilit itici gücü olarak API’lerin tam potansiyelini açmak için API güvenliğine öncelik vermelidir.