Hızla gelişen dijital ortam, büyük ölçüde bulut uygulamalarının yaygınlaşması nedeniyle kuruluşlara zengin yetenekler kazandırdı. Ancak bu nimetle birlikte potansiyel bir bela da geliyor: Kuruluşların tam olarak takdir edemeyebileceği, hatta fark edemeyebileceği bilinmeyen riskler. Traceable’ın “2023 API Güvenliğinin Durumu: Küresel Bulgular” raporundaki verilere daha derinlemesine bakıldığında, bu bilinmeyen risklerin doğasına dair derin bilgiler elde ediliyor.
Bu çalışma, 100’den fazla ülke ve altı büyük sektörden 1.629 katılımcının görüşlerini topladı. Veriler endişe verici: Kuruluşların %74’ü son iki yılda API ile ilgili en az üç veri ihlaliyle karşılaştı. Bu, artan ihlallerdeki rahatsız edici eğilimi vurgulayan bir uyandırma çağrısı görevi görüyor. Eş zamanlı olarak kuruluşların %88’i 2.500’den fazla bulut uygulamasını devreye alıyor ve bu da yüksek düzeyde dijital bağımlılık ve bağlantıya işaret ediyor. Bu kadar kapsamlı bir dijital temas noktaları ağı kaçınılmaz olarak saldırı yüzeyini genişletiyor.
Bu geniş dijital manzara çok büyük bir potansiyele işaret ediyor, ancak hiç kimse onun sunduğu kapsamlı saldırı yüzeyini küçümsememeli.
Bilinmeyen Risklerin Çözümü
Araştırmanın bulgularında öne çıkan temel sorun bilinmeyen risk meselesidir. API ihlallerindeki artışa rağmen kuruluşların %40’ı sürekli olarak API’lerinin yalnızca bir kısmını güvenlik açıklarına karşı test ediyor. Bu potansiyel gözetim, saldırıların önlenmesinde yalnızca %26’lık bir güven düzeyine yol açarken, API saldırılarının yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir.
Temel zorluk, birçok kuruluşun API riskinin boyutu konusunda karanlıkta kalmasıdır. Şaşırtıcı bir şekilde, kuruluşların yalnızca %27’si her API için bir güvenlik riski profiline sahip olmaya çok yüksek öncelik veriyor ve bu da risk değerlendirmesinde olası bir gözetimin altını çiziyor. API güvenliğine öncelik verilmesini engelleyen faktörler sorulduğunda, %49’u yönetimin riski hafife aldığını belirtirken, %37’si tehdit azaltma tedbirlerini anlamakta zorluk çekti.
API’ler: Saldırı Yüzeyini Genişletme
API’lerin çoğalması, potansiyel güvenlik açıklarının ve saldırı vektörlerinin kapsamını önemli ölçüde genişletiyor. Araştırmaya göre yanıt verenlerin %58’i, API’lerin tüm teknoloji katmanlarında saldırı yüzeyini her zaman genişlettiğine ya kesinlikle katılıyor ya da katılıyor. Bu birkaç nedenden dolayı kritiktir:
-
Çok sayıda API’ler: Rakamları düşünün; kuruluşların %88’i 2.500’den fazla bulut uygulaması kullanıyor ve binlerce API’yi yönetiyor. Bu, dahili olarak geliştirilen API’lerle sınırlı değildir. Kuruluşlar, işlevleri genişletmek için rutin olarak üçüncü taraf API’leri entegre eder ve her entegrasyon, titiz inceleme gerektiren yeni bir potansiyel saldırı vektörünü temsil eder.
-
API türlerindeki çeşitlilik: Bu, iş ortaklarına açık, üçüncü taraf ve diğer API türlerinden oluşan bir yelpazeye sahip, karmaşık bir dijital dokudur. Bu API’lerin risk profilleri değişebilir. Geniş bir kitlenin erişebildiği genel API’ler çok çeşitli saldırı vektörlerine açık olabilir; genellikle güvenli olarak algılanan dahili API’ler ise içeriden gelen tehditlere karşı savunmasız olabilir. Bu karmaşıklığın altını çizen araştırmaya katılanların %58’i, API’lerin tüm teknoloji yığınındaki saldırı yüzeyini tartışmasız şekilde güçlendirdiği konusunda hemfikir.
-
API riskiyle ilgili çeşitli algılar: Endüstrinin API ile ilgili risk algısı büyük ölçüde farklılık göstermektedir. Her API için bir güvenlik riski profiline sahip olmanın önemi sorulduğunda yanıtlar geniş bir yelpazeye yayılıyor. Yanıt verenlerin %52’si buna öncelik verilmesinin gerekliliğini kabul ederken, neredeyse buna eşdeğer olan %47’lik bir kesim bunun düşük ila orta derecede önemli olduğunu düşünüyor. En endişe verici olanı ise bunu ihmal edilebilir olarak gören yüzde sekizlik kesim. Bu dağınık duruş, endüstrinin API riskini tutarsız bir şekilde anladığını ve kabul ettiğini vurguluyor ve birçok kuruluşun dijital zırhında potansiyel bir çatlağın sinyalini veriyor.
-
Bilinmeyen risk ve genişleyen saldırı yüzeyi: Bilinmeyen risk kavramı, doğası gereği genişleyen API ortamına bağlıdır. Kuruluşların %40’ı API’lerini güvenlik açıklarına karşı yalnızca aralıklı olarak test ettiğinden, pek çok potansiyel tehdit radarın altında kalıyor. Veriler durumun ciddiyetini vurguluyor: API ile ilgili saldırıların yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir; bu da saldırganların çoğunluğunun bilinmeyen riskten yararlandığını gösteriyor. Katılımcıların %27’si API güvenlik profili oluşturmaya en yüksek önceliği verirken, önemli bir kısmı potansiyel olarak dijital çerçevelerinde gizlenen gizli tehditlerden habersiz kalıyor.
Bilinmeyeni Yorumlamak
Bilinmeyen risk sorununun özü, yalnızca API’lerin karşılaşabileceği somut tehditlerle ilgili değil, aynı zamanda kuruluşların bu tehditleri etkili bir şekilde tanımasını ve ele almasını engelleyen somut olmayan engellerle de ilgilidir. Bu iki yönlü bir zorluktur: Birincisi, kuruluşları potansiyel riskler konusunda bilinçlendirmek, ikincisi ise onları bu riskleri azaltacak araçlar, bilgi ve kaynaklarla donatmak.
API’lerin kurumsal altyapılardaki rolü büyümeye devam ettikçe, ilişkili bilinmeyen riskler görünmez bir tehdit haline geliyor. Risk değerlendirmesinin hacmi, çeşitliliği ve sıklığı arasındaki bu bağlantı, birçok kuruluşun en büyük güvenlik açıklarını bulabileceği yerdir. Bu yalnızca daha fazla API’yi yönetmekle ilgili değil; kör noktaların nerede olduğunu anlamak ve bunlara proaktif bir şekilde değinmekle ilgilidir.
yazar hakkında
Richard Bird, Traceable’da Baş Güvenlik Görevlisi olarak görev yapıyor. Hem kurumsal hem de start-up alanlarında C düzeyinde bir yönetici olarak geniş deneyime sahip olan Richard, siber güvenlik, veri gizliliği, kimlik ve sıfır güven konularındaki uzmanlığıyla dünya çapında tanınmaktadır. Üretken bir açılış konuşmacısı olarak siber güvenlik gerçeklerini iş zorunluluklarıyla uyumlu hale getirme konusunda uzmandır. CyberTheory Zero Trust Enstitüsü Kıdemli Üyesi ve Forbes Teknoloji Konseyi üyesi olan Richard’ın görüşleri genellikle Wall Street Journal, CNBC ve CNN gibi önde gelen medya kuruluşlarında yer alıyor.