Güvenlik analistleri, geçen yıl API saldırılarında keskin bir artış olduğu konusunda uyarıyor ve çoğu şirket hala sorunu çözmek için yetersiz uygulamalar izliyor.
Daha spesifik olarak, Salt Security, 2021’de API saldırı trafiğinde %681’lik bir büyüme bildirirken, genel API trafiğinde %321’lik bir artış rapor edilmiştir.
Bu istatistikler, endüstriler API çözümlerini benimsedikçe bunlara yönelik saldırıların orantısız bir şekilde arttığının altını çiziyor.
Sunulan tüm veriler Salt Security’nin raporu çeşitli büyüklükteki şirketlerde çalışan 250 çalışandan oluşan çeşitli demografik bir anketten alınmıştır.
API saldırıları
API (Uygulama Programlama Arayüzü), veri alışverişi için bağlantılara dayanan çevrimiçi hizmetleri destekleyen bir yazılım arayüzüdür.
Bu bağlantıların, kimliği doğrulanmamış erişime karşı güvence altına alınması gerekir; aksi takdirde, kullanıcılar ve programlar arasındaki etkileşimlerin içeriğini herkes yakalayabilirdi.
Bir API saldırısı, gerçekleştirmek için API özelliklerini kötüye kullanır veri ihlalleriDDoS, SQL enjeksiyonu, ortadaki adam saldırıları, kötü amaçlı yazılım yaymakveya herhangi birinin kullanıcı olarak kimlik doğrulaması.
Bu saldırıların riskleri büyük ölçekli ve korkunç, bu nedenle Salt Security anketine katılanların %62’si API güvenlik endişeleri nedeniyle uygulamaların dağıtımını erteledi.
Yanlış yaklaşım
Salt Security, sorunun, üretim öncesi API güvenliğine aşırı güven ve geliştirme aşamasında güvenlik sorunlarını belirlemeye odaklanma olduğunu saptadı.
Gerçeklik, çoğu API saldırısının, yalnızca uygulamalar çalışma zamanı aşamasına girdiğinde ortaya çıkan mantık kusurlarından yararlandığını göstermiştir. Ancak, şirketlerin sadece dörtte biri hala bu son noktada güvenlik ekipleri istihdam ediyor.
Ek olarak, şirketlerin %34’ü herhangi bir API güvenlik stratejisinden yoksundur, bu nedenle yalnızca API çözümünün satıcısına güvenirler.
Son olarak, veriler, yalnızca tehdit aktörleri gerekli keşifleri tamamladıktan ve kullanılabilir güvenlik açıklarını belirledikten sonra gerçekleştirildiğinden, API ağ geçitlerini veya WAF’leri dağıtmanın XSS, SQL ve JSON enjeksiyon saldırılarını tespit etmek ve durdurmak için yeterli olmadığını göstermektedir.
Artan komplikasyon
Çoğu kuruluş, ilk istihdamdan sonra API güncellemelerine ve belirli bir özellik zenginleştirmesine ihtiyaç duyar ve bu da yönetilmesi giderek zorlaşan bir proje oluşturur.
Salt Security, ankete katılanların %83’ünün envanter ve belgelerinin mevcut tüm API işlevlerini yansıttığından emin olmadığını bildiriyor.
Başka bir %43’lük de, uygulamalarında artık aktif olarak kullanılmayan, ancak potansiyel olarak tehdit aktörleri tarafından kötüye kullanılmaya açık olan eski API işlevleriyle ilgili endişelerini bildiriyor.
Güvenlik önerileri
Salt Security, endüstrinin API güvenliğini nasıl algıladığı ve ele aldığı konusunda bir değişimin işaretleri görüyor, ancak henüz orada olmadığımız konusunda uyarıyor.
Raporda verilen başlıca güvenlik önerileri şunlardır:
- API’lerin tüm yaşam döngüsü için sağlam bir API güvenlik stratejisi tanımlayın.
- Mevcut API tasarımlarını ve mevcut kontrolleri doğrulayın ve mevcut risk seviyesini değerlendirin.
- Şirket içi, bulut, kapsayıcılar, eski vb. dahil olmak üzere tüm uygulama ortamlarında sorunsuz API güvenliği sağlayın.
- Kötü amaçlı keşif eylemlerinin modellerini belirlemek ve bir adım önde olmak için bulut verilerini kullanın.
- “Sola kaydırma” kod inceleme taktiklerine olan güveninizi azaltın ve çalışma zamanı güvenliğine daha fazla yatırım yapın.