API Güvenlik Trendleri 2023 – Kuruluşlar Güvenlik Duruşlarını İyileştirdi mi? - Dünyadan Güncel Teknoloji Haberleri

API Güvenlik Trendleri 2023 – Kuruluşlar Güvenlik Duruşlarını İyileştirdi mi? - Dünyadan Güncel Teknoloji Haberleri
Çoğu API’nin güvenliği uygun şekilde sağlanmadığından saldırılara karşı savunmasız kalır

Ancak bu buzdağının sadece görünen kısmı; bu raporun ortaya çıkardığı çok daha fazlası var Ve bu gerçek nedeniyle %81’i API güvenliğinin 12 ay öncesine göre artık daha öncelikli olduğunu söylüyor

Bu nedenlerden dolayı, modern yazılım ekosistemlerinin birbirine bağlı yapısı nedeniyle API güvenliğinin sağlanması şarttır

Ancak çoğu kuruluş, koruma için API ağ geçitleri ve web uygulaması güvenlik duvarları (WAF’ler) gibi mevcut altyapılarına yöneliyor API’ler genellikle kullanıcı rolleri veya belirli kaynak izinleri gibi faktörlere dayalı olarak daha karmaşık kontroller gerektirir Yanıt verenlerin neredeyse dörtte üçü (%72) tam bir API envanterine sahip ancak bunların yalnızca %40’ı hassas verileri döndüren görünürlüğe sahip

Ancak API’lere olan bu artan bağımlılık, onları siber suçlular için de çekici hedefler haline getirdi Bu tür saldırılara karşı korunmak, temel iş süreçlerinin daha derinlemesine anlaşılmasını ve API kodunun kendisinde özel güvenlik önlemlerinin uygulanmasını gerektirir Amacımız API’ye özgü saldırılardan kaç kuruluşun etkilendiğini, nasıl saldırıya uğradıklarını, nasıl hazırlandıklarını veya hazırlıklı olup olmadıklarını ve sonuç olarak yanıt olarak ne yaptıklarını belirlemekti

  • Yetersiz tehdit istihbaratı: Hem API ağ geçitleri hem de WAF’ler, bilinen saldırı modellerini etkili bir şekilde tespit etmek için önceden tanımlanmış kural kümelerine veya imzalara dayanır Araştırmayı incelemek ilginizi çekiyorsa, raporun tamamını buradan indirin

    Dahası, bilgisayar korsanları özellikle API’lerdeki zayıflıkları hedef alan karmaşık teknikler geliştirdiler API ağ geçitlerinin ve WAF’lerin tek başına yetersiz kalmasının bazı nedenleri şunlardır:

    1. Ayrıntılı erişim kontrolünün eksikliği: API ağ geçitleri temel kimlik doğrulama ve yetkilendirme yetenekleri sunsa da karmaşık senaryolar için gereken ayrıntılı erişim kontrolünü sağlayamayabilirler Son yıllarda API ihlallerinin artması siber güvenlik dünyasında giderek artan bir endişe haline geldi

      Siber güvenlik profesyonellerinin %78’i geçtiğimiz yıl bir API güvenlik olayıyla karşılaştı! Sektörünüz nasıl gidiyor? Yeni teknik incelememizde şunları öğrenin: API Güvenlik Bağlantısının Kesilmesi 2023 Bu, güçlü kodlama uygulamalarına, güvenli tasarım ilkelerine ve güvenlik açıklarını erkenden tespit eden yazılım testlerine olan ihtiyacı vurgulamaktadır Müşteriler, kimlik hırsızlığına veya diğer dolandırıcılık biçimlerine yol açabilecek kişisel bilgilerinin açığa çıkması riskiyle karşı karşıyadır Geliştiricilere harici hizmetlerle etkileşimde bulunabilecekleri bir arayüz sağlayarak çeşitli işlevleri kendi uygulamalarına entegre etmelerine olanak tanır Bu karmaşık ağdaki tek bir API’nin bile güvenliği ihlal edilirse, saldırganların birbirine bağlı sistemlerdeki güvenlik açıklarından yararlanmasına kapı açılır

      Raporda dikkat çeken veri noktalarından bazıları arasında siber güvenlik ekiplerinin %78’inin son 12 ay içinde API ile ilgili bir güvenlik olayı yaşadıklarını söylemesi yer alıyor

    2. API’ye özgü tehditlere ilişkin görünürlük eksikliği: API ağ geçitleri ve WAF’ler, belirli API davranışlarını veya kötüye kullanım modellerini hedef alan saldırılara ilişkin ayrıntılı bilgiler sağlayamayabilir API ihlallerinin artmasının ana nedenlerinden biri, geliştiriciler ve kuruluşlar tarafından uygulanan yetersiz güvenlik önlemleridir Birçok kuruluş, birden fazla API’nin birbiriyle sorunsuz bir şekilde etkileşime girdiği üçüncü taraf entegrasyonlarına ve mikro hizmet mimarisine güveniyor
    3. Veri düzeyinde şifreleme sınırlamaları: SSL/TLS şifrelemesi, API’ler aracılığıyla istemciler ve sunucular arasında veri aktarımı sırasında çok önemli olsa da, arka uç sistemlerin kendisinde bekleyen verileri her zaman korumaz ve tüm veri akışı hattı boyunca uçtan uca şifrelemeyi garanti etmez
    Kuruluşlar API güvenliğini nasıl ele alıyor?

    API’lerin sunduğu benzersiz güvenlik teklifini kaç kuruluşun gerçekten anladığı hakkında bir fikir edinmek amacıyla ikinci yıllık anketimizi gerçekleştirdik Ne yazık ki, yalnızca bu teknolojilere güvenmek bir kuruluşun API’lerinin genel güvenlik duruşunda boşluklar bırakabilir Ancak ortaya çıkan tehditler veya sıfır gün güvenlik açıkları, yeni kurallar satıcılar tarafından güncellenene veya geliştiriciler/yöneticiler tarafından manuel olarak uygulanana kadar önceden yapılandırılmış bu savunmaları atlayabilir Tek bir istemciden gelen dakika başına aşırı istekler veya beklenmeyen veri erişim girişimleri gibi anormalliklerin tespit edilmesi, API’ye özgü tehditleri kapsamlı bir şekilde izlemek için özel olarak tasarlanmış araçlar ve teknikler gerektirir

  • Koruyucu katmanlara ulaşmadan önce güvenlik açığından yararlanma: Saldırganlar, trafik API ağ geçidine veya WAF’a ulaşmadan önce API’lerde bir güvenlik açığı bulurlarsa, bu güvenlik önlemleri tarafından tespit edilmeden doğrudan bu güvenlik açığından yararlanabilirler API Güvenlik Trendleri 2023 Rapor, altı sektördeki ABD ve İngiltere’den 600’ün üzerinde CIO, CISO, CTO ve üst düzey güvenlik uzmanından alınan anket verilerini içeriyor Örneğin, yetkisiz erişim elde etmek veya kullanıcılar hakkındaki hassas bilgileri çıkarmak için isteklere kötü amaçlı kod enjeksiyonundan yararlanabilir veya bir API uç noktasından gelen yanıtları manipüle edebilirler Kuruluşlar, müşteri verilerinin sızdırılması veya hizmetlerin aksaması nedeniyle oluşan yasal yükümlülükler ve itibar kaybı nedeniyle mali kayıplarla karşı karşıya kalabilmektedir

    API ihlallerinin yükselişi

    Bir API ihlalinin sonuçları hem işletmeler hem de tüketiciler için ciddi olabilir


    03 Eki 2023Hacker HaberleriAPI Güvenliği / Veri Güvenliği

    Uygulama programlama arayüzleri olarak da bilinen API’ler, modern yazılım uygulamalarının omurgasını görevi görerek farklı sistem ve platformlar arasında kesintisiz iletişim ve veri alışverişine olanak tanır

  • İş mantığı saldırılarına karşı yetersiz koruma: Geleneksel WAF’ler temel olarak enjeksiyon saldırıları veya siteler arası komut dosyası çalıştırma (XSS) gibi yaygın güvenlik açıklarına karşı korumaya odaklanır






    siber-2

    Ancak bir kuruluşun benzersiz uygulama iş akışına özgü iş mantığı kusurlarıyla ilişkili potansiyel riskleri gözden kaçırabilirler