Yaygın API güvenlik sorunları: Açığa çıkan sırlardan yetkisiz erişime


Uygulamaları birbirine bağlama ve inovasyonu yönlendirmedeki rollerine rağmen, API’ler sıklıkla ciddi güvenlik açıklarından muzdariptir. Son araştırmalar, birçok kuruluşun saldırganların sıklıkla kötüye kullandığı parolalar ve API anahtarları gibi ifşa edilmiş sırlarla mücadele ettiğini ortaya koyuyor. Bu açıkların devam etmesi, güncelliğini yitirmiş güvenlik önlemleriyle birleşince artan bir endişeye işaret ediyor.

API güvenlik açıkları

Açığa çıkarılan API anahtarlarının %35’i hâlâ etkin durumda ve bu da önemli güvenlik riskleri oluşturuyor

Nightfall AI | Sırların Durumu Raporu | Ağustos 2024

  • Şifreler ve API anahtarları gibi sırlar en çok GitHub’da bulunuyor ve her yıl 100 çalışan başına yaklaşık 350 sır ifşa ediliyor.
  • Keşfedilen API anahtarlarının %35’i hâlâ etkin durumda ve bu durum ayrıcalık yükseltme saldırıları, veri sızıntıları, veri ihlalleri ve daha fazlası için büyük bir risk oluşturuyor.
  • Şifreler, tespit edilen sırların yarısından fazlasını (%59) oluşturarak ilk sıraya yerleşirken, API anahtarları hemen ardından (%39) geliyor.

API güvenlik açıkları

Kuruluşlar API’leri güvence altına almak için eski yaklaşımları kullanıyor

Cloudflare | Uygulama Güvenliği Durumu 2024 | Temmuz 2024

  • DDoS, Cloudflare tarafından azaltılan tüm uygulama trafiğinin %37,1’ini oluşturarak web uygulamalarını ve API’leri hedef alan en etkili tehdit olmaya devam ediyor.

Şirketler binlerce API’yi yönettikçe güvenlik zorlukları artıyor

F5 | Uygulama Stratejisi Raporu Durumu | Haziran 2024

  • Ankete katılanların %90’ı 200’den az uygulamayı yönettiklerini söyledi, bu da dijital dönüşüm ilerledikçe azalma eğiliminde. Aynı zamanda, API sayıları yalnızca artıyor. %41’den fazlası en az uygulamalar kadar API yönetiyor.
  • API’lerin yaygınlaşması, şirketlerin büyüyen ağlarını yönetmek ve güvenliğini sağlamak için yeni yöntemler benimsemesine yol açtı. Şirketlerin %95’i artık kimlik doğrulama sağlamak, istekleri doğrulamak ve trafiği sınırlamak için API ağ geçitlerini uygulamaya koydu.
  • %43’ü hem uygulamalar hem de API’ler için güvenlik altyapısını otomatikleştirdi.

API güvenlik açıkları

Şirketlerin %95’i API güvenlik sorunlarıyla karşı karşıya

Fastly | API Güvenlik Çalışması 2024 | Mart 20224

  • Ankete katılanların %84’ü gelişmiş API güvenliğinin bulunmadığını kabul etti.
  • Ankete katılanların %95’i son 12 ayda API güvenlik sorunları yaşadığını söyledi.
  • %79’u API güvenlik endişeleri nedeniyle yeni bir uygulamanın dağıtımını veya entegrasyonunu geciktirdi.

API ortamları istismar için önemli noktalar haline geliyor

Akamai | Gölgelerde Gizlenmek: Saldırı Trendleri API Tehditlerine Işık Tutuyor | Mart 2024

  • 12 aylık dönemde (Ocak-Aralık 2023) web saldırılarının %29’u API’leri hedef aldı. Bu da siber suçluların odak noktasında API’lerin yer aldığını gösteriyor.
  • API saldırılarının %44’üyle ticaret en çok saldırıya uğrayan dikey sektör olurken, bunu yaklaşık %32 ile iş hizmetleri takip ediyor.

API güvenlik açıkları

Araştırmacılar, büyük teknoloji tokenlerini etkileyen ifşa edilmiş API sırlarını keşfetti

Kaçış | API Gizli Yayılma Çalışması | Şubat 2024

  • Escape’in güvenlik araştırma ekibi 189,5 milyon URL’yi taradı ve 18.000’den fazla ifşa edilmiş API sırrı buldu. İfşa edilen sırların %41’i son derece kritikti, yani kuruluşlar için finansal risklere yol açabilirdi.

API güvenlik açıkları



Source link