OzzTech - API Güvenlik Sorunları Uygulama Teslimini Engelliyor

API Güvenlik Sorunları Uygulama Teslimini Engelliyor

API

Yeni bir çalışma, uygulama programlama arayüzlerini (API) güvenliğinin kuruluşların çoğu için neden bu kadar kritik bir konu haline geldiğini tam olarak ortaya koyuyor.

API güvenliğiyle ilgili konularda 300 IT karar vericisi arasında yakın zamanda yapılan bir ankete göre, neredeyse tüm kuruluşlar (%97), API ortamlarının güvenliğiyle ilgili endişeler nedeniyle yeni uygulamalar ve hizmet geliştirmeleri yayınlamada gecikmeler yaşadı. Neredeyse yarısı (%44), veri sızıntısı ve özel bilgilerin ifşa edilmesini içeren önemli API güvenlik sorunları yaşadıklarını söylüyor.

Cloudentity’nin kurucu ortağı ve CSO’su Nathanael Coffing, “Raporda bulduğumuz en şaşırtıcı şey, sorunun yaygınlığı ile birlikte sorunun çözülememesidir” diyor.

API güvenliğiyle ilişkili finansal maliyet, hızlı uygulama teslim zaman çizelgeleri ve farkındalık eksikliği gibi faktörlerin, kuruluşların ortamlarında API kullanımını güvence altına alma beceresini engellediğini söylüyor.

Coffing, “Katılımcıların yalnızca %2’si, kuruluşlarının yetkisiz erişim, veri gizliliği ve uyumluluk riskleri gibi API veri güvenliği sorunlarını azaltma becerisinden son derece emin” diyor.

Sonuç olarak, %93’ü API güvenliği için bütçelerini ve kaynaklarını artırmayı planladıklarını, %64’ü ise %15’e kadar artıracaklarını söylüyor. Çalışma, artan harcama için en önemli odak noktasının sıfır güven kontrollerini uygulamayı, politikayı kod olarak çağırmayı ve gizlilik onayının daha iyi yönetilmesini içerdiğini buldu.

Uygulama modernizasyonu çabaları ve dijital dönüşüm girişimleri, son yıllarda API kullanımında patlamaya yol açmıştır. API’ler, uygulamaların ve hizmetlerin birbiriyle hem dahili ağlarda hem de harici olarak iletişim kurmasını sağlar. Geliştiriciler için API’ler, aksi takdirde farklı uygulamaların birbirleriyle konuşmasını sağlamak için gerekli olabilecek entegrasyon çalışmalarının çoğunu azaltır. Giderek artan çevrimiçin bir dünyada, neredeyse tüm kuruluşlar, dahili uygulamaları ve verileri kullanıcılar ve ortaklarla bağlanmak için API’leri kullanır. Ancak birçoğu güvenliğe yeterince dikkat etmediğinden, bu süreçte hassas verileri ve uygulama mantığını saldırganlara ifşa ederler. Şaşırtıcı olmayan bir şekilde, API’ler son zamanlarda saldırganlar için giderek daha yüksek değerli bir hedef haline geldi.

Bu yılın başlarında gerçekleştirilen bir Salt Security araştırması, müşteri tabanında API kullanımının son 12 ayda üç katına çıktığını ve Temmuz 2020’de kuruluş başına ortalama 28 den Haziran 2021’de 89’a çıktığını gösterdi. Müşteri başına ortalama API çağrı hacmi, geçen Aralık ayında 195 milyon çağrıdan Haziran 2021’de 470 milyon çağrıya yükseldi. Aynı dönemde, API’lerin düşmanca kullanımı girişimi, ayda ortalama 2,73 milyon saldırı çağrısından ayda 12,22 milyon saldırı çağrısına yükseldi.

Kuruluşların %44’ünün gizlilik ihlali, veri sızıntısı veya dahili ve harici API’ler yoluyla diğer maruziyetleri içeren önemli API yetkilendirme sorunları yaşadığını ortaya koyuyor. Coffing, günümüzde uygulamaların dahili olarak geliştirilen API’ler, ortak ve üçüncü taraf SaaS platformu API’lerinden bir araya getirildiğini ve çoğu zaman sınırlı kimlik doğrulama, yetkilendirme ve veri koruma yetenekleri sağladığını söylüyor.

Coffing, “En yaygın örneklerden biri, bozuk nesne düzeyinde yetkilendirmedir”diyor.

Bu, bir uygulamanın, bir istek gerçekleştiren kullanıcının bu isteği yapmak için gerekli ayrıcalıklara sahip olup olmadığını doğru bir şekilde doğrulmadığı bir tür güvenlik açığıdır. OWASP, API’ler içinde ne kadar yaygın olduğu nedeniyle bunu en önemli API güvenlik açıklarından biri olarak tanımladı.

Coffing, “Geçen aydaki bozuk nesne düzeyinde yetkilendirme güvenlik açıkları, on milyonlarca kullanıcı kaydını ve bunlara ilişkili kişisel olarak tanımlanabilir bilgileri açığa çıkardı” diyor. Güvenlik açığı, kuruluşların GDPR ve CCPA gibi mevcut gizlilik yasalarını ihlal etmesine neden olduğunu belirtiyor.

Karmaşık Bir Sorun

API ile ilgili risklere en çok katkıda bulunanlardan biri, bileşen odaklı uygulama geliştirmenin karmaşıklığıdır. Birçok kuruluşun veri kökeni boşlukları nedeniyle API güvenlik sorunlarını teşhis etme veya izleme konusunda sorun yaşadığı gözlemlendi. Diğer bir yaygın sorun, uygulanan tutarsız policylerdir. Kuruluşların çoğunda merkezi olmayan bir API politikası yönetimi düzeyinde sahiptir.

Coffing, “Yaygın olmaları, dağıtılmış uygulamaların ortaya çıkması ve bu API’ler için çoklu bulut, çoklu ağ geçidi ve çoklu Kubernetes kümeleri gibi çoklu uygulama platformlarının kullanılması nedeniyle API’lerin ele alınması önemli ölçüde daha zordur.”

API’ye sıfır güven, herhangi bir API güvenlik programı için nihai hedef olmalıdır.

Sıfır güven, hizmetin kimliğinin doğrulanması, istekte bulunanın kimliğinin doğrulanması, istemcinin kimliğinin doğrulanması ve ardından kablo üzerinden geçen her veri öğesinin yetkilendirilmesi ve denetlenmesi anlamına gelmektedir.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.