WASHINGTON, DC – 19 Ocak 2023 – Corsha A.Ş.Önde gelen bir API güvenlik şirketi olan bugün, hem API güvenliğine ne kadar zaman ve dikkat ayırmaları gerektiği konusunda hüsrana uğramış hem de savunmalarının hâlâ yetersiz kaldığından endişe duyan siber güvenlik profesyonellerinin resmini çizen yeni bir araştırma yayınladı.
Corsha ekibi yakın zamanda, API sırları yönetim uygulamaları ve API saldırılarını engellemede karşılaştıkları zorluklar hakkında bilgi edinmek için 400’den fazla güvenlik ve mühendislik uzmanıyla anket yaptı. Önemli çıkarımlar arasında:
●Yanıt verenlerin %86’sı haftada 15 saate varan bir süreyi sırları tedarik etmek, yönetmek ve bunlarla ilgilenmek için harcıyor.
●Yanıt verenlerin yarısından fazlası (%53), güvenliği ihlal edilmiş API belirteçleri nedeniyle ağlarına veya uygulamalarına yetkisiz erişimle zaten bir veri ihlali yaşadı.
●Yanıt verenlerin %72’si bir sır yönetimi çözümü kullanıyor, ancak yarısından fazlası (%56) hâlâ mevcut sır yönetimi uygulamaları nedeniyle olası bir veri ihlalinden endişe ediyor.
“Güvenlik ve mühendislik ekipleri, sır yönetimine odaklanmak için dikkatlerini ileriye dönük mühendislikten uzaklaştırmak zorunda kalıyor, ancak kuruluşları, hassas verilere meşru olmayan erişim elde etmek için hem yanal saldırılar hem de sızdırılmış veya tehlikeye atılmış API sırları yoluyla saldırganlara karşı savunmasız kalıyor” dedi. Jared Elder, Corsha’da Büyümeden Sorumlu Başkan. “Veri her şeydir ve sızdırılan API sırlarıyla ilişkili veri ihlallerinden kaynaklanan potansiyel risk açıkça yüksektir ve artmaktadır. Yine de tedarik edilecek, rotasyona tabi tutulacak ve yönetilecek kimlik bilgilerinin patlamasıyla birlikte, iyi adamlar kendilerini sürekli sekiz topun arkasında buluyor.”
Hızla Değişen Tehdit Ortamı
Şirketler mikro hizmetler ve sunucusuz mimariler, hibrit bulut altyapıları, CI/CD ardışık düzenleri ve bir dizi başka uygulama ve hizmet gibi yerel teknolojileri ve API güdümlü ekosistemleri benimsemelerini genişletmeye devam ettikçe, son birkaç yılda API kullanımında patlama yaşandı. API’ler aracılığıyla hassas bilgiler gönderiyor ve alıyor. Corsha anketine göre, yanıt verenlerin %44’ü API hizmetlerini birden çok bulutta barındırıyor. Birçok kuruluş için bu, genellikle farklı ortamlarda ayrık sır yönetimi çözümleri anlamına gelir.
Sonuç olarak, Corsha anketine katılanlar API belirteçlerini yönetmek için aşırı miktarda zaman harcıyor. %78’i ağlarında en az 250 API belirteci, anahtarı veya sertifikasını yönettiklerini bildirdi. Ne yazık ki, API tabanlı iletişim için güvenlik stratejileri, bugün mümkün olan ölçek ve otomasyon düzeyine ayak uyduramıyor.
Modern Güvenlik Zorluğuna Eski Yaklaşımlar
Tüm API’lerin ortak bir noktası vardır: veri aktarımlarını kolaylaştırmak için hizmetleri birbirine bağlarlar. Sırlara dayanan API’lerin sayısı arttıkça ve iş akışları (örneğin, gizli sağlama ve paylaşma, gizli yönetim, izleme, kontrol) zorlaştıkça, bu onları bilgisayar korsanları için favori bir hedef haline getirir.
Corsha anketine göre, en önemli üç API sırrı yönetimi sorunlu noktası:
- Sertifika yetkilileriyle çalışma (%44)
- Dönen sırlar (%37)
- Tedarik sırları (%36)
Katılımcıların bu sorunlu noktaları ele almak için en yaygın olarak kullandıkları yöntemler genellikle eski, manuel, hataya açık ve kullanışsızdır.
Birçok güvenlik ekibi API anahtarlarına, belirteçlerine ve sertifikalarına belirli yetkiler atarken, anket %42’den fazlasının atamadığını ortaya çıkardı. Bu, bu kimlik bilgilerini taşıyan tüm kullanıcılara ya hep ya hiç erişimi verdikleri anlamına gelir; bu, erişim yönetiminde en az direnç gösteren yol olsa da güvenlik riskini de artırır.
Corsha’nın araştırmacıları ayrıca, yanıt verenlerin %50’sinden fazlasının, kuruluşlarının sağladığı API belirteçlerinden, anahtarlarından veya sertifikalarından yararlanan makineler, cihazlar veya hizmetler (yani istemciler) hakkında çok az veya hiç görünürlüğe sahip olmadığını da buldu. Sınırlı görünürlük, unutulan, ihmal edilen veya geride bırakılan sırlara yol açarak, onları kötü aktörlerin geleneksel güvenlik araçları ve en iyi uygulamalar tarafından tespit edilmeden yararlanmaları için birincil hedefler haline getirir.
Başka bir kırmızı bayrak: Yanıtlayanların %54’ü sırlarını ayda en az bir kez değiştirse de, %25’ten fazlası sırları döndürmenin bir yıl kadar sürebileceğini kabul ediyor. Bu taşıyıcı sırların uzun ömürlü, statik doğası, tıpkı çevrimiçi hesapların parolalarının statik doğası gibi, onları düşmanlar için birincil hedef haline getirir.
API Güvenliği En İyi Uygulamaları
Corsha raporu ayrıca, kuruluşların etkili sır yönetimi süreçlerini uygulamak için neler yapabileceğini de özetlemektedir:
●Tüm sırlara ilişkin genel görünürlük elde etmek için iyi bir sır yöneticisi entegre etme
●Mümkün olduğunda ve yerde mTLS kullanmak
●Mümkün olduğunda sırlar için her zaman kısa bir son kullanma tarihi belirleyin
●Her zaman imzala ve belirteçleri doğrula
●Sırları düz metin olarak saklamayın veya iletmeyin
“Bugün, en sağlam modern sır yönetimi uygulaması bile API’lerin kötüye kullanılmasını önlemek için yeterli değil, bu da anketimize katılanların yarısından fazlasının neden mevcut sır yönetimi uygulamaları nedeniyle potansiyel bir veri ihlaline maruz kalma endişesini vurguladıklarını açıklıyor.” Corsha’nın COO’su Scott Hopkins ekledi. “Sır yönetimi etrafında iyi bir güvenlik hijyeni sağlamaya yönelik ağır idari iş yükü ve fazlasıyla manuel süreçler, hata veya gözetim için önemli fırsatlar yaratıyor. Kuruluşlar, herhangi bir ortama kolayca entegre olabilen, API kimlik doğrulama sorunlarına yönelik daha güçlü, otomatik ve yüksek düzeyde ölçeklenebilir bir yanıttan yararlanacaktır. Corsha, bir kuruluşun kritik sistemlerini ve verilerini anlayışlı ve fırsatçı kötü aktörlerden korumak için API kimlik doğrulamasına güçlü bir ek faktör sağlıyor.”
Güvenlik ve geliştirme ekiplerinin, riskin ağırlıklı olarak insandan makineye ve makineden makineye geçtiğini fark etmesi ve bu dönüşümü hesaba katmak için ne yapılması gerektiğini düşünmesi de önemlidir.
Corsha, API güvenliğini basitleştirme ve kuruluşların, geliştiricilerin ve DevSecOps ekiplerinin modernizasyonu, karmaşık dağıtımları ve hibrit ortamları güvenle benimsemesine olanak sağlamayı amaçlıyor. Dinamik, blok zinciri tabanlı bir makine kimliği kullanan Corsha, API erişiminin yalnızca güvenilir makinelere sabitlenebildiği API’ler için çok faktörlü kimlik doğrulama (MFA) sağlamak için patentli bir yol geliştirdi. Corsha ile artık her API çağrısı, bir kuruluşun API hizmetleri için sıfır güven erişimi sağlayan yeni, tek seferlik bir kullanım kimlik bilgisi gerektiriyor.
Corsha Platformu hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: https://corsha.com/the-platform/.
Bunu takip et bağlantı okumak ve indirmek için API Sırları Yönetim Raporunun Corsha Durumu.
Corsha Hakkında
Corsha, makineler arası iletişimi daha güvenli hale getirmek için API’ler için çok faktörlü kimlik doğrulamayı (MFA) tamamen otomatik hale getirir. Ürünümüz, güvenilir müşteriler için dinamik kimlikler oluşturur ve her API çağrısına otomatik, tek seferlik bir MFA kimlik bilgisi ekleyerek yalnızca güvenilir makinelerin uygulamalarınız, hizmetleriniz ve altyapınız genelinde anahtarları, belirteçleri veya sertifikaları kullanabilmesini veya bunlardan yararlanmasını sağlar. Sırları iptal etmeden veya diğer iş yüklerini etkilemeden bir makineye veya makine grubuna erişimi durdurun ve devam ettirin; Corsha kullanılarak tehlikeye atılan sırlar işe yaramaz hale gelir.
API öncelikli ekosistemler, onlara güç sağlayan makineler tarafından yönlendirilir. Bunlar ister Kubernetes bölmeleri, kapsayıcılar, sanal makineler, fiziksel sunucular, IoT cihazları veya diğer form faktörleri olsun, biz daha fazla otomatikleştirdikçe ve makineler arasındaki iletişimi güvenli hale getirdikçe risk insandan makineye değişiyor. Bugün, anahtarlar, belirteçler ve sertifikalar gibi API sırları, makineler arasında erişime aracılık etmenin bir yolu olarak kullanılıyor, ancak bu statik sırlar genellikle paylaşılıyor, nadiren döndürülüyor ve CI boru hatlarında, günlüklerde ve kod havuzlarında endişe verici bir oranda sızdırılıyor.
Corsha, MFA’nın tüm iyiliğini alıyor ve API’leri güvence altına almak için tek seferlik kullanım kimlik bilgileri gibi aynı ilkeleri kullanıyor. Bu, ekiplere API’lerinize erişen makinelerde güvenlik, görünürlük ve kontrol sağlar ve API erişimini anında iptal etme yeteneği sağlar. Daha fazla bilgi için şu adresi ziyaret edin: https://corsha.com/.