İşletmelere yıllık 186 milyar dolara mal olan savunmasız API'ler ve bot saldırıları
Kuruluşlar, savunmasız veya güvenli olmayan API'ler (Uygulama Programlama Arayüzleri) ve botlar tarafından otomatik kötüye kullanım nedeniyle yılda 94 - 186 milyar dolar arasında kaybediyor.
Marsh McLennan Siber Risk İstihbarat Merkezi tarafından yürütülen kapsamlı bir araştırmaya dayanan rapor, 161.000'den fazla benzersiz siber güvenlik olayını analiz ediyor. Bulgular endişe verici bir eğilim gösteriyor: savunmasız veya güvenli olmayan API'lerin oluşturduğu tehditler ve botlar tarafından otomatik kötüye kullanım giderek daha fazla birbirine bağlı ve yaygın hale geliyor. Imperva, bu tehditlerle ilişkili güvenlik risklerinin ele alınmamasının önemli mali ve itibar hasarına yol açabileceği konusunda uyarıyor.
API'nin Benimsenmesi ve Genişleyen Saldırı Yüzeyi
API'ler, uygulamalar ve hizmetler arasında sorunsuz iletişim ve veri alışverişi sağlayarak modern iş operasyonları için vazgeçilmez hale geldi. Mobil uygulamalardan e-ticaret platformlarına ve açık bankacılığa kadar her şeye güç veriyorlar. Ancak, yaygın olarak benimsenmeleri önemli güvenlik sorunları yaratmıştır. Imperva Threat Research'ten alınan verilere göre, ortalama bir kuruluş geçen yıl üretimde 613 API uç noktasını yönetti ve şirketler dijital dönüşümü ve inovasyonu yönlendirmek için API'lere daha fazla güvendikçe bu sayının artması bekleniyor.
API'lere olan bu artan bağımlılık, API ile ilgili güvenlik olaylarının 2022'de %40 ve 2023'te %9 daha artmasıyla saldırı yüzeyini önemli ölçüde genişletti. Bu saldırılar özellikle tehlikelidir çünkü API'ler genellikle bir kuruluşun temel altyapısına ve hassas verilerine doğrudan yollar olarak hizmet eder. Rapor, API güvensizliğinin 2021'e göre 12 milyar dolarlık bir artışla yıllık 87 milyar dolara kadar kayıptan sorumlu olduğunu tahmin ediyor. Bu, API'lerin hızlı bir şekilde benimsenmesi, birçok API geliştiricisinin deneyimsizliği, standartlaştırılmış güvenlik uygulamalarının eksikliği ve geliştirme ve güvenlik ekipleri arasındaki sınırlı işbirliği gibi çeşitli nedenlere bağlanabilir.
Bot Saldırıları: Kalıcı ve Gelişen Bir Tehdit
API'lere yönelik saldırılardaki artışın yanı sıra, bot saldırıları yaygın ve maliyetli bir tehdit haline geldi ve yılda 116 milyar dolara kadar kayıpla sonuçlandı. Belirli görevleri gerçekleştirmek için tasarlanmış otomatik yazılım programları olan botlar, kimlik bilgisi doldurma, web kazıma, çevrimiçi dolandırıcılık ve dağıtılmış hizmet reddi (DDoS) saldırıları gibi kötü amaçlı etkinlikler için sıklıkla silah haline getirilir.
2022'de botlarla ilgili güvenlik olayları %88 arttı ve bunu 2023'te %28'lik bir artış daha izledi. Bu endişe verici büyüme, dijital işlemlerdeki artış, API'lerin çoğalması ve Rusya-Ukrayna çatışması gibi jeopolitik gerilimler gibi faktörlerin bir kombinasyonu tarafından körüklendi. Saldırı araçlarının ve üretken yapay zeka modellerinin yaygın olarak kullanılması, bottan kaçınma tekniklerini de önemli ölçüde geliştirdi ve düşük vasıflı saldırganların bile karmaşık bot saldırıları gerçekleştirmesini sağladı.
Imperva'ya göre, botlar artık API güvenliğine yönelik en kritik tehditlerden birini temsil ediyor. Geçen yıl, tüm API saldırılarının %30'u otomatik tehditler tarafından yönlendirildi ve %17'si özellikle iş mantığı güvenlik açıklarından yararlanan botlara bağlıydı. API'lere olan bağımlılığın artması ve hassas verilere doğrudan erişimleri, onları bot operatörleri için birincil hedef haline getirdi. Tek başına otomatik API kötüye kullanımı şu anda işletmelere yılda 17,9 milyar dolara mal oluyor. Botlar daha karmaşık hale geldikçe, saldırganlar bunları API iş mantığından yararlanmak, güvenlik önlemlerini atlamak ve hassas verileri sızdırmak için giderek daha fazla kullanıyor ve bu da kuruluşlar için algılama ve azaltmayı daha zor hale getiriyor.
Büyük İşletmeler Daha Büyük Risk Altında
Büyük işletmeler, özellikle yıllık geliri 1 milyar doları aşan işletmeler, orantısız şekilde daha yüksek API ve bot saldırıları riskiyle karşı karşıyadır. Rapora göre, bu kuruluşların küçük veya orta ölçekli işletmelere kıyasla botlar tarafından otomatik API kötüye kullanımı yaşama olasılığı 2-3 kat daha fazla. Bu artan maruz kalma, öncelikle dijital altyapılarının karmaşıklığı ve ölçeğinden kaynaklanmaktadır.
Bu şirketler genellikle birden fazla departman ve hizmette yüzlerce hatta binlerce API'yi yöneterek izlenmesi ve güvenliğini sağlaması zor olan genişleyen API ekosistemleri oluşturur. Bu tür ortamlarda gölge API'ler, kimliği doğrulanmamış API'ler ve kullanım dışı API'ler önemli güvenlik açıkları sunar. Bu yanlış yönetilen API'ler genellikle düzenli güncellemeler, kimlik doğrulama ve sürekli izleme gibi kritik güvenlik önlemlerinden yoksundur ve bu da onları istismara açık bırakır.
Benzer şekilde, büyük işletmeler, kapsamlı dijital varlıkları ve değerli varlıkları nedeniyle bot saldırılarının birincil hedefidir. Dijital ortam ne kadar karmaşıksa, oturum açma sayfalarından ödeme sistemlerine kadar botların yararlanması için o kadar fazla potansiyel giriş noktası bulunur. Uygulamaları ve API'leri aracılığıyla akan büyük miktarda hassas veri ile bu şirketler, bot operatörleri için oldukça kazançlı bir hedeftir.
Risk, API güvensizliği ve bot saldırılarının tüm güvenlik olaylarının %26'sını oluşturduğu, yıllık geliri 100 milyar doları aşan işletmeler için daha da belirgindir. Bu çarpıcı rakam, bir güvenlik olayının önemli operasyonel aksaklıklara, önemli mali kayıplara ve uzun süreli itibar hasarına yol açabileceği büyük kuruluşlarda kapsamlı API güvenliği ve bot yönetimi stratejilerine yönelik kritik ihtiyacı vurgulamaktadır.
API ve bot saldırılarına karşı koruma
Birlikte, savunmasız veya güvenli olmayan API'ler ve botlar tarafından otomatik kötüye kullanım, yıllık milyarlarca dolarlık zarara neden olur. İşletmeler dijital dönüşümü güçlendirmek için API'lere giderek daha fazla güvendikçe, güvenlik olayları riskinin artması ve kuruluşları daha fazla finansal ve itibar zararı riskine sokması bekleniyor. Aynı zamanda, genellikle üretken yapay zeka tarafından yönlendirilen botların evrimi, bu tehditlere karşı savunmanın zorluklarını artırdı.
Bu riskleri etkili bir şekilde azaltmak için Imperva, kuruluşların aşağıdaki proaktif adımları atmasını önerir:
- Fonksiyonlar arası iş birliğini teşvik edin: Güvenlik ve geliştirme ekipleri arasındaki işbirliği, güvenliği API yaşam döngüsünün her aşamasına dahil etmek için çok önemlidir. Bu ortaklık, güvenlik önlemlerinin tasarımdan dağıtıma kadar entegre edilmesini sağlayarak, güvenlik açıklarının istismar edilmeden önce proaktif olarak tanımlanmasını ve azaltılmasını sağlar. Bot yönetimi söz konusu olduğunda, bu işbirliği daha da genişletilmelidir. Botlar, işletmenin birçok alanını etkileyen işlevler arası bir zorluktur. Bunlarla etkili bir şekilde mücadele etmek için pazarlama, e-ticaret, müşteri deneyimi, BT, İş Kolu ve güvenlik ekipleri birlikte çalışmalıdır. Bu daha geniş işbirliği, bot saldırılarına karşı özellikle hassas olan oturum açma sayfaları, ödeme süreçleri ve formlar gibi savunmasız özelliklerin belirlenmesine yardımcı olur.
- Kapsamlı API keşfi ve izleme: Kuruluşların, hiçbirinin gözden kaçırılmadığından emin olmak için gölge, kullanım dışı bırakılmış ve kimliği doğrulanmamış API'ler de dahil olmak üzere tüm API'leri üzerinde tam görünürlüğe sahip olması gerekir. Sürekli izleme ve denetim, potansiyel güvenlik açıklarını istismar edilmeden önce belirlemek için çok önemlidir.
- API güvenliğini ve bot yönetimini entegre edin: API kitaplıklarına yönelik otomatik saldırıları başarıyla azaltmak için bot yönetimi ve API güvenliği birlikte kullanılmalıdır. Bu birleşik yaklaşım, güvenlik açığı bulunan API'lerin belirlenmesine yardımcı olur, otomatik saldırıları sürekli olarak izler ve hızlı algılama ve yanıt için eyleme dönüştürülebilir içgörüler sağlar. İşletmeler, bot yönetimi ve API güvenliğini entegre ederek karmaşık otomatik tehditlere karşı daha iyi koruma sağlarken, riskleri bir güvenlik olayına neden olmadan önce tespit etmek ve azaltmak için görünürlük kazanabilir.
API ekosistemleri genişlemeye devam ettikçe ve botlar daha karmaşık hale geldikçe, eylemsizliğin maliyeti yalnızca artacaktır. Kuruluşlar, hassas verileri korumak, mali kayıpları azaltmak ve marka itibarlarını korumak için API'ler ve botlarla ilişkili güvenlik risklerini ele almalıdır.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Pwn2Own Ireland 2024'te 1 Milyon Doların Üzerinde Ödeme Yapıldı
Araştırmacılar Wi-Fi Alliance'ın Test Paketinde Komut Enjeksiyon Kusurunu Keşfetti
AWS Cloud Development Kit Güvenlik Açığı, Kullanıcıları Potansiyel Hesap Ele Geçirme Risklerine Maruz Bırakır
Cisco, Aktif Saldırı Altında ASA ve FTD Yazılım Güvenlik Açığı için Acil Düzeltme Yayınladı
Fortinet, Aktif Sömürü Altında FortiManager'daki Kritik Güvenlik Açığı Konusunda Uyardı
CISA, Microsoft SharePoint Güvenlik Açığından Aktif Olarak Yararlanıldığına Karşı Uyardı (CVE-2024-38094)
SRBMiner Kripto Madenciliği Saldırıları için Docker API Sunucularından Yararlanan Siber Suçlular
VMware, Kritik RCE Güvenlik Açığını Düzeltmek için vCenter Server Güncellemesini Yayınladı