API güvenliği neden veri odaklı kuruluşlar için hızla büyüyen bir tehdittir?


Vatandaş geliştiricilerin becerilerini artırarak ve ölçeklendirerek başarılı bir şekilde yenilik yapmayı ve verimliliğe nasıl ulaşılacağını öğrenmek için Low-Code/No-Code Summit’teki isteğe bağlı oturumlara göz atın. İzle şimdi.


Veri odaklı kuruluşlar, yazılım uygulama mimarilerine büyük ölçüde güvendiğinden, uygulama programlama arayüzleri (API’ler) önemli bir konuma sahiptir. API’ler, birden çok hizmet arasındaki iletişim boru hatlarına yardımcı oldukları için web uygulamalarının kullanılma biçiminde devrim yarattı. Geliştiriciler, bir müşterinin ihtiyaç duyduğu özellikleri eklemek için son derece yararlı olan API’leri kullanarak herhangi bir modern teknolojiyi mimarileriyle entegre edebilir.

API’ler doğası gereği uygulama mantığını ve kişisel olarak tanımlanabilir bilgiler (PII) gibi hassas verileri ifşa etmeye karşı savunmasızdır ve bu da onları saldırganlar için kolay bir hedef haline getirir. Genellikle genel ağlar üzerinden kullanılabilen (her yerden erişilebilen) API’ler genellikle iyi belgelenmiştir ve kötü niyetli aktörler tarafından hızlı bir şekilde tersine mühendislik uygulanabilir. Ayrıca hizmet reddi (DDoS) olaylarına karşı da hassastırlar.

En önemli veri sızıntıları, tıbbi, finansal ve kişisel verileri genel halka ifşa edebilen hatalı, savunmasız veya saldırıya uğramış API’lerden kaynaklanmaktadır. Ayrıca, bir API’nin güvenliği doğru şekilde sağlanmazsa çeşitli saldırılar meydana gelebilir ve bu da API güvenliğini bugün veri odaklı işletmeler için hayati bir unsur haline getirir.

API güvenliği neden önemlidir?

API geliştirme, dijital dönüşüm ve mobil uygulamalar ve IoT geliştirmedeki merkezi rolü ile son birkaç yılda astronomik bir şekilde arttı. Bu tür bir büyüme ve çeşitli olası saldırılar, API güvenliğini son derece önemli hale getiriyor.

Etkinlik

Akıllı Güvenlik Zirvesi

Yapay zeka ve makine öğreniminin siber güvenlikteki kritik rolünü ve sektöre özel vaka incelemelerini 8 Aralık’ta öğrenin. Ücretsiz geçişiniz için bugün kaydolun.

Şimdi üye Ol

Mikro hizmetler ve sunucusuz mimariler daha yaygın hale geldikçe, saldırılar, diğer kullanıcılar için bir uygulamanın çalışmasını bozmak veya özel bilgileri ihlal etmek için istemci tarafı uygulamayı atlamayı içerir. Ayrıca, bozuk, açığa çıkmış veya saldırıya uğramış API’ler de arka uç sisteminde ihlallere yol açabilir.

API Güvenliği ve Yönetiminde bildiri [subscription required]Gartner, 2023 yılına kadar API suistimallerinin seyrekten en sık saldırı vektörüne geçeceğini ve bunun kurumsal web uygulamaları için veri ihlallerine yol açacağını ve 2025 yılına kadar veri hırsızlığının %50’den fazlasının güvenli olmayan API’lerden kaynaklanacağını tahmin ediyor.

Gartner’ın VP analisti Mark O’Neill, VentureBeat’e “Gartner’da, API’lerinde ihlallere maruz kalan kuruluşlarla düzenli olarak konuşuyoruz” dedi. “API’ler özellikle savunmasızdır çünkü birçok güvenlik ekibi API koruması konusunda daha az beceriye sahiptir. Bu, özellikle GraphQL gibi daha yeni API türleri için geçerlidir.”

Dijital dönüşümde oynadıkları kritik rol ve sağladıkları hassas veri ve sistemlere erişim göz önüne alındığında, API’ler artık güvenlik ve uyumluluğa özel bir yaklaşım talep ediyor.

API güvenliği ve uygulama güvenliği

API güvenliği, bu uygulama katmanının güvenliğini sağlamaya ve kötü niyetli bir bilgisayar korsanının doğrudan API ile etkileşime girmesi durumunda neler olabileceğini ele almaya odaklanır. API güvenliği, güvenlik açıklarını ve güvenlik tehditlerini azaltmak için stratejiler ve prosedürler uygulamayı da içerir.

Hassas veriler API aracılığıyla aktarıldığında, korumalı bir API, mesajı uygun izinlere sahip uygulamalara, kullanıcılara ve sunuculara sunarak mesajın gizliliğini garanti edebilir. Ayrıca bilgilerin teslimattan sonra değiştirilmediğini doğrulayarak içerik bütünlüğünü sağlar.

“Dijital dönüşümü sabırsızlıkla bekleyen herhangi bir kuruluş, uygulamaları dağıtmak ve aynı anda entegre hizmetler sağlamak için API’lerden yararlanmalıdır. Bu nedenle, API güvenliği ana odak alanlarından biri olmalıdır” dedi. AppViewX.

API güvenliğinin genel uygulama güvenliğinden ne kadar farklı olduğundan bahseden Palanisamy, uygulama güvenliğinin, davetsiz misafirleri önlemek için sağlam kontroller gerektiren ana kapıyı korumaya benzer olduğunu söyledi. Aynı zamanda, API güvenliği tamamen pencerelerin ve arka bahçenin güvenliğini sağlamakla ilgilidir.

“Böyle alanlarda bir zayıf nokta uygulamayı etkileyecektir. API güvenliği, özünde, tam uygulama güvenliğinin bir alt kümesidir ve bu olmadan uygulamanın bir bütün olarak güvenliği sağlanamaz” dedi.

Resim Kaynağı: State of API Security Report by Tuz Güvenliği.

Güvenlik Araştırmalarından Sorumlu Başkan Yardımcısı Erez Yalon, onay işaretiAPI güvenliğinin geleneksel appsec’ten farklı olmadığını, ancak kuruluşların dikkat etmesi gereken alanları eklediğini söylüyor.

“API merkezli mimari, potansiyel bir saldırganın kötüye kullanmaya çalışabileceği daha fazla uç noktaya sahiptir; Biz buna ‘saldırı yüzeyinin büyümesi’ diyoruz” dedi. “Ayrıca, verilerin API’ler aracılığıyla aktarılma ve paylaşılma şekli, hassas verilerin istemeden meraklı gözlere maruz kalmasını kolaylaştırıyor.”

Yalon, API’lerin oyuna sonradan ek bir katman olarak eklenmesi yerine güvenlik ilk adımdan ve yazılan ilk kod satırından itibaren ele alındığında daha güvenli hale getirilebileceğini söyledi.

“Her API uç noktasının belgelenmesi gerekiyor ve kuruluşların eski ve kullanılmayan API’leri kullanımdan kaldırma konusunda açık yönergeleri olmalıdır. Güncellenmiş bir SBOM’dan emin olmak [software bill of materials] var olması, kolaylaştırıyor” dedi Yalon.

Kritik API güvenlik açıkları ve saldırıları

API’ler, özellikle mobil cihazlar ve nesnelerin interneti (IoT) için modern uygulamalar oluşturmanın tercih edilen yöntemi haline geldi. Ancak, sürekli değişen uygulama geliştirme yöntemleri ve inovasyon baskıları karşısında, bazı şirketlerin API’lerini halka sunmayla ilgili potansiyel riskleri tam olarak kavraması gerekiyor. Genel dağıtımdan önce, işletmeler şu yaygın güvenlik hatalarına karşı dikkatli olmalıdır:

  • Kimlik doğrulama kusurları: Birçok API, gerçek bir kullanıcıdan gelen kimlik doğrulama durumu isteklerini reddeder. Saldırgan, oturum ele geçirme ve hesap toplama dahil olmak üzere çeşitli şekillerde bu tür eksikliklerden yararlanarak API isteklerini çoğaltabilir.
  • Şifreleme eksikliği: Çoğu API, API istemcisi ile sunucusu arasında güçlü şifreleme katmanlarından yoksundur. Saldırganlar, bu tür kusurlar nedeniyle şifrelenmemiş veya yetersiz korunan API işlemlerini engelleyebilir, hassas verileri çalabilir veya işlem verilerini değiştirebilir.
  • Kusurlu uç nokta güvenliği: Çoğu IoT cihazı ve mikro hizmet aracı, sunucuyla bir API kanalı aracılığıyla iletişim kurmak üzere tasarlandığından, bilgisayar korsanları IoT uç noktaları aracılığıyla bunların kontrolünü ele geçirmeye çalışır. Bunu yapmak, genellikle API sırasını yeniden düzenleyerek veri ihlaline neden olabilir.

API güvenliğindeki mevcut zorluklar

IBM güvenliği X-Force Red’in penetrasyon testi başkanı Yannick Bedard’a göre, API güvenliğindeki mevcut zorluklardan biri, amaçlanan mantık akışlarının açıkça tanımlanmadığı takdirde anlaşılması ve test edilmesi zor olabileceğinden, bunların güvenlik açısından test edilmesidir.

Bedard, VentureBeat’e şunları söyledi: “Bir web uygulamasında, bu mantıksal akışlar web kullanıcı arayüzünün kullanımı yoluyla sezgiseldir, ancak bir API’de bu iş akışlarını detaylandırmak daha zor olabilir.” “Bu, güvenlik testlerinde eksik olan güvenlik açıklarının saldırganlar tarafından kötüye kullanılmasına neden olabilir.”

Bedard, API’lerin ardışık düzeni giderek daha karmaşık hale geldikçe, genellikle hangi hizmetin güvenliğin hangi yönünden sorumlu olduğu ve verilerin hangi noktada “temiz” kabul edildiğine dair soruların ortaya çıktığını söyledi.

“Hizmetlerin, diğer API’lerden gelen verilere doğası gereği temiz olarak güvenmeleri, ancak düzgün bir şekilde sterilize edilmediği ortaya çıkması yaygın bir durumdur” dedi.

Bernard, bunun bir örneğinin, çoğu şirketin öncelikle doğrudan internete bakan şeylere odaklandığı Log4J güvenlik açığının ilk keşfi olduğunu söylüyor.

“Kötü amaçlı veriler sonunda, bazen diğer birçok hizmetin arkasında olmak üzere arka uç API’lerine akacaktır. Bu API’ler, sırayla, savunmasız olacak ve saldırganın kuruluşa ilk girişini sağlayabilir” dedi.

Görüntü Kaynağı: Salt Security tarafından hazırlanan State of API Security Report.

Forrester’ın baş analisti Sandy Carielli, “Birçok güvenlik ekibi kaç API’ye sahip olduklarından emin olmadığı için en büyük zorluk keşiftir” dedi.

Carielli, birçok ekibin bilmeden hileli API’ler dağıttığını veya bakımı yapılmamış ve hâlâ herkesin erişimine açık olan API’ler olabileceğini ve bunun da çeşitli güvenlik tehlikelerine yol açabileceğini söyledi.

“API spesifikasyonları eski olabilir ve sahip olduğunuzu bilmediğiniz bir şeyi koruyamazsınız” dedi. “API’leri güvence altına almak için ortamınızda halihazırda hangi kontrollere sahip olduğunuzu anlayarak başlayın ve ardından boşlukları belirleyip giderin. Kritik olarak, API keşfi ve envanterini ele aldığınızdan emin olun.”

API güvenliğini artırmak için en iyi uygulamalar

API güvenliğinin gücü tamamen kişinin veri mimarisinin kimlik doğrulama ve yetkilendirme politikalarını nasıl uyguladığına bağlıdır. Bulut hizmetleri gibi teknolojik gelişmeler sayesinde, API ağ geçitleri ve entegrasyon platformları artık API sağlayıcılarının API’lerini benzersiz yöntemlerle güvence altına almasına olanak tanıyor. API’lerinizi oluşturmayı seçtiğiniz teknoloji yığını, onları nasıl güvenceye alacağınızı etkiler.

Sisteminizi API saldırganlarına karşı etkili bir şekilde savunmak için çeşitli yaklaşımlar kullanılabilir:

  • API ağ geçidi: Bir API ağ geçidi, API’leri geliştirmeyi, sürdürmeyi, izlemeyi ve güvenli hale getirmeyi basitleştirdiği için bir API güvenlik çerçevesinin temelidir. API ağ geçidi, çeşitli tehditlere karşı savunma yapabilir ve API izleme, günlük kaydı ve hız sınırlaması sağlayabilir. Ayrıca, IP adreslerine ve diğer verilere dayalı olarak güvenlik belirteci doğrulamasını ve trafik kısıtlamasını otomatikleştirebilir.
  • Web uygulaması güvenlik duvarları: Bir web uygulaması güvenlik duvarı veya WAF, genel trafik ile API ağ geçidi veya uygulaması arasında bir orta katman görevi görür. WAF’ler, kötü amaçlı bot tespiti, saldırı imzalarını belirleme yeteneği ve ek IP istihbaratı sağlayarak botlar gibi tehdit aktörlerine karşı ek koruma sağlayabilir. WAF’ler, kötü trafiği ağ geçidinize ulaşmadan engellemek için faydalı olabilir.
  • Güvenlik uygulamaları: Gerçek zamanlı koruma, statik kod ve güvenlik açığı taraması, yerleşik zamanlı kontrol ve güvenlik bulanıklığı gibi özellikleri destekleyen bağımsız güvenlik ürünleri de güvenlik mimarisine dahil edilebilir.
  • Kodda güvenlik: Güvenlik kodu, API veya uygulamalara dahili olarak uygulanan bir koruma biçimidir. Ancak, tüm güvenlik önlemlerinin API kodunuzda doğru şekilde uygulandığından emin olmak için gereken kaynakların tüm API portföylerinize tutarlı bir şekilde uygulanması zor olabilir.

API güvenliğinin geleceği

Roy Liebermann, müşteri başarısı başkanı Sörf Güvenliğisıfır güvenin iç ve dış tehditlere karşı savunmak için başka bir alternatif olabileceğine inanıyor.

“API’ler söz konusu olduğunda, hem istemciler hem de sunucular için sıfır güven önemlidir” dedi. “API güdümlü bir uygulama çok sayıda mikro hizmete sahip olabilir ve bu da güvenlik liderlerinin geliştirmelerini ve güvenlik etkilerini takip etmelerini zorlaştırır. Sıfır güven ilkelerini benimsemek, her mikro hizmetin en az ayrıcalıkla iletişim kurmasını sağlayarak açık bağlantı noktalarının kullanılmasını önler ve her bir API genelinde kimlik doğrulama ve yetkilendirme sağlar.”

Liebermann, bilgisayar korsanlarının veri çalmak için API iletişiminden yararlanma riskini azaltmak için CISO’ların API’lere sıfır güven vermesini önerir.

Aynı şekilde Palanisamy, sıfır güven güvenliği ve sıfır güven mimarileri ivme kazandıkça, özellikle günümüzde kullanılan SaaS ve diğer bulut hizmetleriyle API güvenliğinin ana odak alanlarından biri olacağını söylüyor.

“Önemli olan, buna kurumsal çapta bir yaklaşımla bakmak. API güvenliği sadece birkaç uygulamaya odaklanılarak çözülemez” dedi.

“Önümüzdeki beş yıl içinde REST ve SOAP güvenliğinin özelliklerini birleştiren farklı bir yazılım paradigmasında büyük olasılıkla değişiklik göreceğiz. Her yöntemin özelliklerinin birleştirilmiş üstün bir yöntem oluşturmak için kullanıldığı bir yazılım geliştirme paradigması olacağına inanıyorum” dedi. NetSPI, VentureBeat’e söyledi. “Bu kombinasyon, güvenliği geliştiricilerin elinden alacak ve ‘tasarım yoluyla güvenlik’in daha iyi benimsenmesine olanak tanıyacak.”

Hannan, kimlik ve kimlik doğrulama kavramının değiştiğini ve insanların hata yapmamasına dayanan kullanıcı adları ve parolalardan ve iki faktörlü kimlik doğrulamadan uzaklaşmamız gerektiğini söyledi.

“Kimlik doğrulama iş akışı, Apple gibi şirketlerin iOS16 anahtar zinciri gibi yeniliklerle kimlik yönetimi konusunda yaptıklarına göre değişecek. Bu, yakın gelecekte API’ler aracılığıyla geliştirilecek” dedi.

VentureBeat’in misyonu teknik karar vericilerin dönüştürücü kurumsal teknoloji ve işlemler hakkında bilgi edinmeleri için dijital bir kent meydanı olmaktır. Brifinglerimizi keşfedin.


Kaynak : https://venturebeat.com/security/why-api-security-is-a-fast-growing-threat-to-data-driven-enterprises/

Yorum yapın

SMM Panel PDF Kitap indir