ozztech_logo_white

API Güvenlik Sorunları Uygulama Teslimini Engelliyor

API

Yeni bir çalışma, uygulama programlama arayüzlerini (API) güvenliğinin kuruluşların çoğu için neden bu kadar kritik bir konu haline geldiğini tam olarak ortaya koyuyor.

API güvenliğiyle ilgili konularda 300 IT karar vericisi arasında yakın zamanda yapılan bir ankete göre, neredeyse tüm kuruluşlar (%97), API ortamlarının güvenliğiyle ilgili endişeler nedeniyle yeni uygulamalar ve hizmet geliştirmeleri yayınlamada gecikmeler yaşadı. Neredeyse yarısı (%44), veri sızıntısı ve özel bilgilerin ifşa edilmesini içeren önemli API güvenlik sorunları yaşadıklarını söylüyor.

Cloudentity’nin kurucu ortağı ve CSO’su Nathanael Coffing, “Raporda bulduğumuz en şaşırtıcı şey, sorunun yaygınlığı ile birlikte sorunun çözülememesidir” diyor.

API güvenliğiyle ilişkili finansal maliyet, hızlı uygulama teslim zaman çizelgeleri ve farkındalık eksikliği gibi faktörlerin, kuruluşların ortamlarında API kullanımını güvence altına alma beceresini engellediğini söylüyor.

Coffing, “Katılımcıların yalnızca %2’si, kuruluşlarının yetkisiz erişim, veri gizliliği ve uyumluluk riskleri gibi API veri güvenliği sorunlarını azaltma becerisinden son derece emin” diyor.

Sonuç olarak, %93’ü API güvenliği için bütçelerini ve kaynaklarını artırmayı planladıklarını, %64’ü ise %15’e kadar artıracaklarını söylüyor. Çalışma, artan harcama için en önemli odak noktasının sıfır güven kontrollerini uygulamayı, politikayı kod olarak çağırmayı ve gizlilik onayının daha iyi yönetilmesini içerdiğini buldu.

Uygulama modernizasyonu çabaları ve dijital dönüşüm girişimleri, son yıllarda API kullanımında patlamaya yol açmıştır. API’ler, uygulamaların ve hizmetlerin birbiriyle hem dahili ağlarda hem de harici olarak iletişim kurmasını sağlar. Geliştiriciler için API’ler, aksi takdirde farklı uygulamaların birbirleriyle konuşmasını sağlamak için gerekli olabilecek entegrasyon çalışmalarının çoğunu azaltır. Giderek artan çevrimiçin bir dünyada, neredeyse tüm kuruluşlar, dahili uygulamaları ve verileri kullanıcılar ve ortaklarla bağlanmak için API’leri kullanır. Ancak birçoğu güvenliğe yeterince dikkat etmediğinden, bu süreçte hassas verileri ve uygulama mantığını saldırganlara ifşa ederler. Şaşırtıcı olmayan bir şekilde, API’ler son zamanlarda saldırganlar için giderek daha yüksek değerli bir hedef haline geldi.

Bu yılın başlarında gerçekleştirilen bir Salt Security araştırması, müşteri tabanında API kullanımının son 12 ayda üç katına çıktığını ve Temmuz 2020’de kuruluş başına ortalama 28 den Haziran 2021’de 89’a çıktığını gösterdi. Müşteri başına ortalama API çağrı hacmi, geçen Aralık ayında 195 milyon çağrıdan Haziran 2021’de 470 milyon çağrıya yükseldi. Aynı dönemde, API’lerin düşmanca kullanımı girişimi, ayda ortalama 2,73 milyon saldırı çağrısından ayda 12,22 milyon saldırı çağrısına yükseldi.

Kuruluşların %44’ünün gizlilik ihlali, veri sızıntısı veya dahili ve harici API’ler yoluyla diğer maruziyetleri içeren önemli API yetkilendirme sorunları yaşadığını ortaya koyuyor. Coffing, günümüzde uygulamaların dahili olarak geliştirilen API’ler, ortak ve üçüncü taraf SaaS platformu API’lerinden bir araya getirildiğini ve çoğu zaman sınırlı kimlik doğrulama, yetkilendirme ve veri koruma yetenekleri sağladığını söylüyor.

Coffing, “En yaygın örneklerden biri, bozuk nesne düzeyinde yetkilendirmedir”diyor.

Bu, bir uygulamanın, bir istek gerçekleştiren kullanıcının bu isteği yapmak için gerekli ayrıcalıklara sahip olup olmadığını doğru bir şekilde doğrulmadığı bir tür güvenlik açığıdır. OWASP, API’ler içinde ne kadar yaygın olduğu nedeniyle bunu en önemli API güvenlik açıklarından biri olarak tanımladı.

Coffing, “Geçen aydaki bozuk nesne düzeyinde yetkilendirme güvenlik açıkları, on milyonlarca kullanıcı kaydını ve bunlara ilişkili kişisel olarak tanımlanabilir bilgileri açığa çıkardı” diyor. Güvenlik açığı, kuruluşların GDPR ve CCPA gibi mevcut gizlilik yasalarını ihlal etmesine neden olduğunu belirtiyor.

Karmaşık Bir Sorun

API ile ilgili risklere en çok katkıda bulunanlardan biri, bileşen odaklı uygulama geliştirmenin karmaşıklığıdır. Birçok kuruluşun veri kökeni boşlukları nedeniyle API güvenlik sorunlarını teşhis etme veya izleme konusunda sorun yaşadığı gözlemlendi. Diğer bir yaygın sorun, uygulanan tutarsız policylerdir. Kuruluşların çoğunda merkezi olmayan bir API politikası yönetimi düzeyinde sahiptir.

Coffing, “Yaygın olmaları, dağıtılmış uygulamaların ortaya çıkması ve bu API’ler için çoklu bulut, çoklu ağ geçidi ve çoklu Kubernetes kümeleri gibi çoklu uygulama platformlarının kullanılması nedeniyle API’lerin ele alınması önemli ölçüde daha zordur.”

API’ye sıfır güven, herhangi bir API güvenlik programı için nihai hedef olmalıdır.

Sıfır güven, hizmetin kimliğinin doğrulanması, istekte bulunanın kimliğinin doğrulanması, istemcinin kimliğinin doğrulanması ve ardından kablo üzerinden geçen her veri öğesinin yetkilendirilmesi ve denetlenmesi anlamına gelmektedir.

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »