Zombi API’lerinin Görünmeyen Güvenlik Açıklarını Haritalama


Kullanımdan kaldırıldığını düşündünüz ama hâlâ orada ve güvenli değil. Bu bir zombi API’sidir.

Zombi API’leri, kuruluşların bugünlerde güvendiği API’lerin ve üçüncü taraf sağlayıcıların sayısının çokluğu nedeniyle giderek daha yaygın hale geliyor. Zombi API’leri DevSecOps ve DevOps’un veya farklı iş kollarının çatlaklarından kaçıyor, iletişim kurmuyor veya günlük kaydı ve erişim kontrollerinin eksikliği nedeniyle oluyor.

API platformu Postman’ın bilgi güvenliği ve BT başkanı Joshua Scott, Zombi API’lerinin ele alınması gereken teknik bir borç olduğunu ve uygulama hizmeti yönetiminin bunların kontrol edilmesine yardımcı olabileceğini söyledi. Ancak “Sorun daha da kötüleşmeye devam edecek” çünkü “hiçbir zaman temiz bir envanter olmayacak” dedi. Scott, eski teknolojinin soruna katkıda bulunduğunu ancak söküp değiştirmenin her zaman mali açıdan mümkün olmadığını söyledi. Bu nedenle işletmelerin “işletme için neyin kritik olduğunu belirlemesi ve geriye doğru haritalaması” gerekir.

Bu bölümde CyberEd.io’nun podcast serisi “Cybersecurity Insights”ta Scott ayrıca şunları tartıştı:

  • Güvenlik operasyonları merkezinde üretken yapay zeka kullanma potansiyeli, uyarı analizi gibi önemli görevlerde ona güvenmek hâlâ sorunlu olsa da;
  • Güvenlik farkındalığı eğitiminin neden daha şirkete özel olması gerekiyor?
  • Güvenliğin nerede “yaşadığı” (CISO veya CIO ile) ve neden işinizi yapmak için yetkilendirildiğiniz sorusu önemli olan tek şeydir.

Scott, çeşitli sektörlerde güvenlik ve teknoloji alanında 20 yıldan fazla deneyime sahiptir ve melek yatırımcı sendikası olarak faaliyet gösteren bir CISO grubu olan SVCI’nın üyesidir.



Source link