PALO ALTO, Kaliforniya.–2 Mart 2022–Tuz Güvenliğilider API güvenlik şirketi, bugün Tuz LaboratuvarlarıAPI Güvenlik Raporunun Durumu, Q1 2022. İki yılda bir yayınlanan raporun en son sürümünde, ankete katılan kuruluşların %95’inin son 12 ay içinde bir API güvenlik olayı yaşadığı tespit edildi. Saldırı ve olaylardaki çarpıcı artışa rağmen, tümü üretim API’leri çalıştıran bu kuruluşlar API saldırılarına hazırlıksız kalıyor ve yanıt verenlerin %34’ü herhangi bir API güvenlik stratejisinden yoksun. Bu savunma eksikliği, işletmeler için iş inovasyonunun yavaşlaması, tüketici güveninin zedelenmesi ve modernizasyon çabalarının kesintiye uğraması şeklinde önemli ticari riskler sunar.
API Güvenlik Durumu Raporu, Salt SaaS bulut platformundan anket yanıtları ve deneysel verilerin bir kombinasyonundan yararlanır. Platformumuz tarafından engellenen Salt müşterilerine yönelik saldırı girişimleri hızla arttı – kötü amaçlı API trafiği, genel API trafiğindeki %321’lik artışa kıyasla %681 arttı. Anlaşılır bir şekilde, ankete katılanların %62’si, API güvenlik endişeleri nedeniyle yeni bir uygulamanın kullanıma sunulmasını yavaşlattığını kabul etti.
“Günümüzde gelişmek için her şirketin bir yazılım şirketi olması gerekir ve API’ler uygulama yeniliklerinin merkezinde yer alır. Salt Security’nin kurucu ortağı ve CEO’su Roey Eliyahu, dijital işletmeler modern ekonomimizin liderleri olarak ortaya çıktı ve aynı zamanda kötü aktörlerin önde gelen hedefleri haline geldi” dedi. “API saldırılarının yıldan yıla önemli ölçüde hızlandığını görüyoruz. Daha da önemlisi, API kullanımındaki ve saldırılardaki büyüme hızı, kurumsal hazırlık ve savunmayı geride bırakmaya devam ediyor. Kuruluşlar, API saldırı ortamını ve en hayati varlıklarını korumak için gereken kritik yetenekleri anlamak için zamana ve çabaya yatırım yapmalıdır.”
Neredeyse her anket katılımcısı (%95) üretim API’lerinde bir API güvenlik olayı tespit ettiğinden, sağlam bir API güvenlik stratejisi geliştirme ihtiyacı acildir. Salt müşterileri de saldırı sıklığında artış yaşadı ve %12’si her ay ortalama 500’den fazla saldırıya maruz kaldı.
Salt Security Teknik Evangelist Michael Isbitski, “Kuruluşların API’leri üretime geçirmeden önce doğrulamak için en iyi çabalarına rağmen, API’ler çekici bir saldırı vektörü sunuyor” dedi. “Geleneksel güvenlik ve API yönetim platformlarının, API’lerin benzersiz iş mantığını hedefleyen karmaşık saldırılara karşı koruma sağlayamaması göz önüne alındığında, saldırganların başarılı olmaya devam etmesi ve işletmeleri risk altında tutması şaşırtıcı değil.”
API stratejileriyle ilgili endişelerin başında %40 ile güvenlik endişeleri geliyor
Ankete katılanların, şirketlerinin API programları hakkında çeşitli endişeleri var ve bunların %40’ı güvenlik endişelerinin başında geliyor. Üretim öncesi güvenliğe yapılan yetersiz yatırım %22 ile en üst sırada yer alıyor ve ankete katılanların %18’i programın çalışma zamanı veya üretim güvenliğini yeterince ele almadığından endişe duyuyor. Gereksinimlerin ve belgelerin ayrıntılı bir şekilde ortaya konması için yetersiz yatırım, ankete katılanların %19’unun en büyük endişesidir.
Çoğu kuruluş bir API saldırısına hazırlıklı değil
Kamuya açık güvenlik olayları ve güvenlik uzmanlarının API güvenlik korumalarını uygulamaya yönelik ricaları, kuruluşların çoğunu etkili API güvenlik stratejileri benimsemeye yönlendirmek için yeterli olmadı. Ankete katılanların %34’ünün herhangi bir stratejisi yok ve dörtte birinden biraz fazlası (%27) yalnızca temel bir stratejiye sahip. Yalnızca %11’i, özel API testi ve korumasını içeren gelişmiş bir stratejiye sahiptir.
Bulgular ayrıca bütçe ve beceri boşluklarının bu hazırlık eksikliğinde rol oynadığı fikrini desteklemektedir. Uzmanlık veya kaynak eksikliği (%35) ve bütçe kısıtlamaları (%20), optimal bir API güvenlik stratejisinin uygulanmasının önündeki en büyük engellerdir.
“Sola kaydırma” uygulamalarına aşırı güven, işletmeyi başarısızlığa uğratmaya devam ediyor
Etkin API koruması için çalışma zamanı korumasının temel olması ve yanıt verenlerin %95’inin geçen yıl içinde bir API güvenlik olayı yaşamasıyla, API güvenliği için “sola kaydırma” taktikleri yetersiz kalıyor. BT ekipleri API güvenliğinin “sahipliği” konusunda bölünmeye devam ettikçe bu sorun daha da büyüyor. Ankete katılanların yarısından fazlası, birincil sorumluluğun geliştiricilere, DevOps’a veya DevSecOps’a ait olduğunu söylüyor. Ankete katılanların yalnızca %31’i API güvenliğinin sorumluluğunu AppSec veya InfoSec ekiplerine veriyor.
WAF’ler ve API Ağ Geçitleri, API saldırılarını kaçırmaya devam ediyor
Web uygulaması güvenlik duvarları (WAF’ler) ve API ağ geçitleri gibi geleneksel güvenlik ve API yönetim araçlarına güvenmek, birçok kuruluşu yanlış bir güvenlik duygusuyla karşı karşıya bıraktı. Ankete katılanların %95’inin geçen yıl bir API güvenlik olayı yaşamasıyla, %55’inin ağ geçitlerinden gelen uyarılara güvenmesi ve %37’sinin saldırganları belirlemek için WAF’leri kullanması, yeteneklerdeki boşluğu gösteriyor. API güvenliği için günlük dosyası analizine güvenmek (%45) benzer şekilde etkisizdir – günlük dosyaları ayrıştırıldığında, saldırganlar aradıkları değerli veri ve yükleri çoktan kaybetmişlerdir.
API saldırılarını durdurmak, bir API güvenlik platformu için en önemli kriter olmaya devam ediyor
Üst üste üçüncü kez, daha fazla katılımcı (%42), API güvenlik platformunda aradıkları en önemli yetenek olarak API saldırılarını durdurmayı belirtti. Hangi API’lerin kişisel tanımlanabilir bilgileri (PII) ve hassas verileri açığa çıkardığını belirlemek, hemen ardından (%41). API’leri zaman içinde sertleştirme yeteneği üçüncü sırada (%38) geldi ve uyumluluk veya düzenleyici gereksinimleri karşılama dördüncü sırada (%36) geldi.
API Güvenlik Durumu Raporundan elde edilen ek bulgular:
- “Zombi” veya güncel olmayan API’lerin riski, API güvenlik endişeleri listesinin başında gelir ve katılımcıların %43’ü bunu en büyük endişeleri olarak belirtir. Hesap devralma ikinci sırada geldi ve %22’si en büyük endişeleri olarak bu riske odaklandı.
- API değişiklikleri artıyor – Katılımcıların %9’u API’lerini her gün güncelliyor, %31’i haftalık olarak güncelliyor ve %24’ü her aydan daha az güncelleme yapıyor.
- Salt müşteri tabanındaki istismarların %94’ü, kimliği doğrulanmış API’lere karşı gerçekleşir.
- Ankete katılanların %86’sı, hangi API’lerin hassas verileri açığa çıkardığını bildiklerinden emin değil.
- Ankete katılanların %85’i, mevcut araçlarının API saldırılarını durdurmada etkisiz olduğunu belirtti.
- Katılımcıların %83’ü API envanterlerine tam olarak güvenmiyor.
API güvenliği, güvenlik ekiplerinin çalışma şeklini iyileştiriyor
Kuruluşların, API güvenliğinden kimin sorumlu olması gerektiğine ilişkin bakış açıları oldukça farklı olsa da, Güvenlik ve DevOps ekipleri arasındaki işbirliği ve paylaşılan girdiler artıyor. Ankete katılanların üçte birinden fazlası (%34), API güvenliğini ele almanın bir sonucu olarak güvenlik ekiplerinin DevOps ile daha fazla işbirliği yaptığını söylüyor ve diğer %30’luk bir kısım DevOps’un API yönergelerini şekillendirmek için güvenlik ekiplerinden girdi aradığını belirtiyor. Kuruluşların diğer %25’i, bu zorluğa yanıt olarak güvenlik mühendislerini DevOps ekiplerine yerleştiriyor. Anket ayrıca daha fazla güvenlik ekibinin aşağıdakileri vurguladığını ortaya çıkardı. OWASP API İlk 10 tehdit listesi – altı ay önceki %50’ye kıyasla bu raporda %61, bir kuruluş genelinde API güvenlik uygulamalarını iyileştirmek için olumlu bir değişiklik.
bu API Güvenlik Raporunun Durumu, Q1 2022 araştırmacılar tarafından derlenmiştir.
Tuz LaboratuvarlarıSalt Security’nin araştırma bölümü, 250’den fazla güvenlik, uygulama ve DevOps yöneticisi ve uzmanından alınan anket verilerini ve ayrıca Salt Security müşterilerinden elde edilen anonimleştirilmiş ve toplu deneysel verileri kullanır. Tuz Güvenliği API Koruma Platformu.
Eğitime olan bağlılığının bir parçası olarak, Salt Security, endüstrinin ilkine ev sahipliği yapacak. API Güvenlik Zirvesi 3 Mart 2022’de topluluğu artan API güvenlik sorunlarına daha iyi yanıt verecek şekilde donatmak için. Kayıt olmak, buraya tıklayın. Tuz Güvenliği hakkında daha fazla bilgi edinmek veya demo talebinde bulunmak için lütfen adresini ziyaret edin. https://content.salt.security/.
Tuz Güvenliği Hakkında
Salt Security, her modern uygulamanın özünü oluşturan API’leri korur. API Koruma Platformu, API’leri otomatik ve sürekli olarak tanımlamak ve korumak için makine öğrenimi ve yapay zeka kullanarak yeni nesil API saldırılarını önleyen endüstrinin ilk patentli çözümüdür. Dakikalar içinde devreye alınan Salt Security platformu, bir şirketin API’lerinin ayrıntılı davranışını öğrenir ve API saldırganlarını saptamak ve engellemek için herhangi bir yapılandırma veya özelleştirme gerektirmez. Salt Security, 2016 yılında İsrail Savunma Kuvvetleri (IDF) mezunları ve siber güvenlik alanındaki seri girişimci yöneticiler tarafından kuruldu ve Silikon Vadisi ve İsrail merkezlidir. Daha fazla bilgi için lütfen ziyaret edin
https://salt.security.