Ancak bu buzdağının sadece görünen kısmı; bu raporun ortaya çıkardığı çok daha fazlası var Ve bu gerçek nedeniyle %81’i API güvenliğinin 12 ay öncesine göre artık daha öncelikli olduğunu söylüyor
Bu nedenlerden dolayı, modern yazılım ekosistemlerinin birbirine bağlı yapısı nedeniyle API güvenliğinin sağlanması şarttır
Ancak çoğu kuruluş, koruma için API ağ geçitleri ve web uygulaması güvenlik duvarları (WAF’ler) gibi mevcut altyapılarına yöneliyor API’ler genellikle kullanıcı rolleri veya belirli kaynak izinleri gibi faktörlere dayalı olarak daha karmaşık kontroller gerektirir Yanıt verenlerin neredeyse dörtte üçü (%72) tam bir API envanterine sahip ancak bunların yalnızca %40’ı hassas verileri döndüren görünürlüğe sahip
Ancak API’lere olan bu artan bağımlılık, onları siber suçlular için de çekici hedefler haline getirdi Bu tür saldırılara karşı korunmak, temel iş süreçlerinin daha derinlemesine anlaşılmasını ve API kodunun kendisinde özel güvenlik önlemlerinin uygulanmasını gerektirir Amacımız API’ye özgü saldırılardan kaç kuruluşun etkilendiğini, nasıl saldırıya uğradıklarını, nasıl hazırlandıklarını veya hazırlıklı olup olmadıklarını ve sonuç olarak yanıt olarak ne yaptıklarını belirlemekti
Dahası, bilgisayar korsanları özellikle API’lerdeki zayıflıkları hedef alan karmaşık teknikler geliştirdiler API ağ geçitlerinin ve WAF’lerin tek başına yetersiz kalmasının bazı nedenleri şunlardır:
- Ayrıntılı erişim kontrolünün eksikliği: API ağ geçitleri temel kimlik doğrulama ve yetkilendirme yetenekleri sunsa da karmaşık senaryolar için gereken ayrıntılı erişim kontrolünü sağlayamayabilirler Son yıllarda API ihlallerinin artması siber güvenlik dünyasında giderek artan bir endişe haline geldi
Siber güvenlik profesyonellerinin %78’i geçtiğimiz yıl bir API güvenlik olayıyla karşılaştı! Sektörünüz nasıl gidiyor? Yeni teknik incelememizde şunları öğrenin: API Güvenlik Bağlantısının Kesilmesi 2023 Bu, güçlü kodlama uygulamalarına, güvenli tasarım ilkelerine ve güvenlik açıklarını erkenden tespit eden yazılım testlerine olan ihtiyacı vurgulamaktadır Müşteriler, kimlik hırsızlığına veya diğer dolandırıcılık biçimlerine yol açabilecek kişisel bilgilerinin açığa çıkması riskiyle karşı karşıyadır Geliştiricilere harici hizmetlerle etkileşimde bulunabilecekleri bir arayüz sağlayarak çeşitli işlevleri kendi uygulamalarına entegre etmelerine olanak tanır Bu karmaşık ağdaki tek bir API’nin bile güvenliği ihlal edilirse, saldırganların birbirine bağlı sistemlerdeki güvenlik açıklarından yararlanmasına kapı açılır
Raporda dikkat çeken veri noktalarından bazıları arasında siber güvenlik ekiplerinin %78’inin son 12 ay içinde API ile ilgili bir güvenlik olayı yaşadıklarını söylemesi yer alıyor
- API’ye özgü tehditlere ilişkin görünürlük eksikliği: API ağ geçitleri ve WAF’ler, belirli API davranışlarını veya kötüye kullanım modellerini hedef alan saldırılara ilişkin ayrıntılı bilgiler sağlayamayabilir API ihlallerinin artmasının ana nedenlerinden biri, geliştiriciler ve kuruluşlar tarafından uygulanan yetersiz güvenlik önlemleridir Birçok kuruluş, birden fazla API’nin birbiriyle sorunsuz bir şekilde etkileşime girdiği üçüncü taraf entegrasyonlarına ve mikro hizmet mimarisine güveniyor
- Veri düzeyinde şifreleme sınırlamaları: SSL/TLS şifrelemesi, API’ler aracılığıyla istemciler ve sunucular arasında veri aktarımı sırasında çok önemli olsa da, arka uç sistemlerin kendisinde bekleyen verileri her zaman korumaz ve tüm veri akışı hattı boyunca uçtan uca şifrelemeyi garanti etmez
API’lerin sunduğu benzersiz güvenlik teklifini kaç kuruluşun gerçekten anladığı hakkında bir fikir edinmek amacıyla ikinci yıllık anketimizi gerçekleştirdik Ne yazık ki, yalnızca bu teknolojilere güvenmek bir kuruluşun API’lerinin genel güvenlik duruşunda boşluklar bırakabilir Ancak ortaya çıkan tehditler veya sıfır gün güvenlik açıkları, yeni kurallar satıcılar tarafından güncellenene veya geliştiriciler/yöneticiler tarafından manuel olarak uygulanana kadar önceden yapılandırılmış bu savunmaları atlayabilir Tek bir istemciden gelen dakika başına aşırı istekler veya beklenmeyen veri erişim girişimleri gibi anormalliklerin tespit edilmesi, API’ye özgü tehditleri kapsamlı bir şekilde izlemek için özel olarak tasarlanmış araçlar ve teknikler gerektirir
Bir API ihlalinin sonuçları hem işletmeler hem de tüketiciler için ciddi olabilir
03 Eki 2023Hacker HaberleriAPI Güvenliği / Veri Güvenliği
Uygulama programlama arayüzleri olarak da bilinen API’ler, modern yazılım uygulamalarının omurgasını görevi görerek farklı sistem ve platformlar arasında kesintisiz iletişim ve veri alışverişine olanak tanır
siber-2