.png)
API'ler İnternet Trafiğinin Çoğunu Yönlendiriyor ve Siber Suçlular Avantaj Sağlıyor
Bir Thales şirketi olan Imperva'nın 2024'te API Güvenliğinin Durumu Raporu, 2023'te internet trafiğinin çoğunluğunun (%71) API çağrıları olduğunu ortaya koydu. Dahası, tipik bir kurumsal site 2023'te ortalama 1,5 milyar API çağrısı gördü.
API'lerden geçen geniş internet trafiği hacmi, her güvenlik uzmanı için endişe verici olmalıdır. Sola kaydırma çerçevelerini ve SDLC süreçlerini benimsemeye yönelik en iyi çabalara rağmen, API'ler genellikle kataloglanmadan, kimlik doğrulaması yapılmadan veya denetlenmeden önce üretime itilir. Ortalama olarak, kuruluşların üretimde 613 API uç noktası vardır, ancak müşterilere dijital hizmetleri daha hızlı ve verimli bir şekilde sunma baskısı arttıkça bu sayı hızla artmaktadır. Zaman içinde bu API'ler riskli, savunmasız uç noktalar haline gelebilir.
Imperva, raporunda, API'lerin hassas verilere erişmek için doğrudan bir yol oldukları için artık siber suçlular için yaygın bir saldırı vektörü olduğu sonucuna varıyor. Nitekim, Marsh McLennan Siber Risk Analitiği Merkezi'nden yapılan bir araştırma, API ile ilgili güvenlik olaylarının küresel işletmelere yılda 75 milyar dolara mal olduğunu ortaya koyuyor.
Daha Fazla API Çağrısı, Daha Fazla Sorun
Bankacılık ve çevrimiçi perakende, 2023'te diğer tüm sektörlere kıyasla en yüksek API çağrıları hacmini bildirdi. Her iki sektör de müşterilerine dijital hizmetler sunmak için büyük API ekosistemlerine güveniyor. Bu nedenle, bankacılık da dahil olmak üzere finansal hizmetlerin 2023'te API ile ilgili saldırıların önde gelen hedefi olması şaşırtıcı değil.
Siber suçlular, API uç noktalarına saldırmak için çeşitli yöntemler kullanır, ancak yaygın bir saldırı vektörü Hesabı ele geçirmedir (ATO). Bu saldırı, siber suçlular hesaplara yetkisiz erişim elde etmek için bir API'nin kimlik doğrulama süreçlerindeki güvenlik açıklarından yararlandığında gerçekleşir. 2023'te tüm ATO saldırılarının neredeyse yarısı (%45,8) API uç noktalarını hedef aldı. Bu girişimler genellikle otomasyon tarafından kötü botlar, otomatik görevleri kötü niyetle çalıştıran yazılım aracıları şeklinde gerçekleştirilir. Bu saldırılar başarılı olduğunda müşterileri hesaplarından kilitleyebilir, suçlulara hassas veriler sağlayabilir, gelir kaybına katkıda bulunabilir ve uyumsuzluk riskini artırabilir. Bankaların ve diğer finansal kuruluşların müşterileri için yönettiği verilerin değeri göz önüne alındığında, ATO endişe verici bir iş riskidir.
Yanlış Yönetilen API'ler Neden Bir Güvenlik Tehdididir?#
API güvenlik riskini azaltmak, en gelişmiş güvenlik ekiplerini bile hayal kırıklığına uğratan benzersiz bir zorluktur. Sorun, yazılım geliştirmenin hızlı temposundan ve geliştiricilerin ve güvenlik ekiplerinin daha fazla işbirliği içinde çalışmasına yardımcı olacak olgun araç ve süreçlerin eksikliğinden kaynaklanmaktadır. Sonuç olarak, neredeyse her 10 API'den biri, doğru şekilde kullanımdan kaldırılmadığı, izlenmediği veya yeterli kimlik doğrulama denetimlerine sahip olmadığı için saldırılara karşı savunmasızdır.
Imperva, raporunda, kuruluşlar için güvenlik riskleri oluşturan üç yaygın yanlış yönetilen API uç noktası türü belirledi: gölge, kullanımdan kaldırılmış ve kimliği doğrulanmamış API'ler.
- Gölge API'leri: Belgelenmemiş veya keşfedilmemiş API'ler olarak da bilinen bu API'ler, denetlenmeyen, unutulan ve/veya güvenlik ekibinin görünürlüğünün dışında olan API'lerdir. Imperva, gölge API'lerin her kuruluşun etkin API koleksiyonunun %4,7'sini oluşturduğunu tahmin ediyor. Bu uç noktalar, yazılım testi amacından üçüncü taraf bir hizmete bağlayıcı olarak kullanmak üzere çeşitli nedenlerle kullanıma sunulur. Bu API uç noktaları düzgün bir şekilde kataloglanmadığında veya yönetilmediğinde sorunlar ortaya çıkar. İşletmeler gölge API'ler konusunda endişelenmelidir çünkü genellikle hassas bilgilere erişimleri vardır, ancak kimse nerede olduklarını veya neye bağlı olduklarını bilmez. Tek bir gölge API, uyumluluk ihlaline ve düzenleyici para cezasına yol açabilir veya daha da kötüsü, motive olmuş bir siber suçlu, bir kuruluşun hassas verilerine erişmek için onu kötüye kullanır.
- Kullanımdan kaldırılan API'ler: Bir API uç noktasının kullanımdan kaldırılması, yazılım yaşam döngüsünde doğal bir ilerlemedir. Sonuç olarak, yazılım hızlı ve sürekli bir hızda güncellendiğinden, kullanımdan kaldırılan API'lerin varlığı nadir değildir. Aslında Imperva, kullanımdan kaldırılan API'lerin ortalama olarak bir kuruluşun aktif API koleksiyonunun %2,6'sını oluşturduğunu tahmin ediyor. Uç nokta kullanım dışı bırakıldığında, bu uç noktaları destekleyen hizmetler güncelleştirilir ve kullanım dışı bırakılan uç noktaya yönelik bir istek başarısız olur. Ancak, hizmetler güncelleştirilmezse ve API kaldırılmazsa, uç nokta gerekli düzeltme eki uygulama ve yazılım güncelleştirmesine sahip olmadığından güvenlik açığı haline gelir.
- Kimliği doğrulanmamış API'ler: Kimliği doğrulanmamış API'ler genellikle yanlış yapılandırma, aceleye getirilmiş bir yayın sürecinden kaynaklanan gözetim veya yazılımın eski sürümlerine uyum sağlamak için katı bir kimlik doğrulama işleminin gevşetilmesi sonucunda ortaya çıkar. Bu API'ler, bir kuruluşun etkin API koleksiyonunun ortalama %3,4'ünü oluşturur. Kimliği doğrulanmamış API'lerin varlığı, hassas verileri veya işlevleri yetkisiz kullanıcılara ifşa edebileceği ve veri ihlallerine veya sistem manipülasyonuna yol açabileceği için kuruluşlar için önemli bir risk oluşturur.
Yanlış yönetilen API'lerin neden olduğu çeşitli güvenlik risklerini azaltmak için, izlenmeyen veya kimliği doğrulanmayan API uç noktalarını belirlemek için düzenli denetimler yapılması önerilir. Sürekli izleme, bu uç noktalarla ilişkili güvenlik açıklarından yararlanma girişimlerini algılamaya yardımcı olabilir. Ayrıca geliştiriciler, kullanımdan kaldırılan uç noktaların daha güvenli alternatiflerle değiştirilmesini sağlamak için API'leri düzenli olarak güncellemeli ve yükseltmelidir.
API'lerinizi Nasıl Korursunuz?
Imperva, kuruluşların API Güvenliği duruşlarını geliştirmelerine yardımcı olmak için çeşitli öneriler sunar:
- Tüm API'leri, uç noktaları, parametreleri ve yükleri keşfedin, sınıflandırın ve envanterini çıkarın. Her zaman güncel bir API envanteri tutmak ve hassas verilerin açığa çıkarılmasını açıklamak için sürekli keşfi kullanın.
- Hassas ve yüksek riskli API'leri tanımlayın ve koruyun. Özellikle Bozuk Yetkilendirme ve Kimlik Doğrulamanın yanı sıra Aşırı Veri Açığa Çıkmaya karşı savunmasız API uç noktalarını hedefleyen risk değerlendirmeleri gerçekleştirin.
- Şüpheli davranışları ve erişim modellerini aktif olarak tespit etmek ve analiz etmek için API uç noktaları için sağlam bir izleme sistemi oluşturun.
- Web Uygulaması Güvenlik Duvarı (WAF), API Koruması, Dağıtılmış Hizmet Reddi (DDoS) önleme ve Bot Koruması'nı entegre eden bir API Güvenliği yaklaşımı benimseyin. Kapsamlı bir risk azaltma seçenekleri yelpazesi, her API'ye özgü oldukları için savunması özellikle zor olan iş mantığı saldırıları gibi giderek daha karmaşık hale gelen API tehditlerine karşı esneklik ve gelişmiş koruma sağlar.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı