Çevik geliştirmenin popülaritesi tarafından yönlendirilen Web uygulaması programlama arayüzlerinin (API’ler) kullanımı önemli ölçüde arttı ve yazılım odaklı şirketleri tehdit aktörleri tarafından kullanılabilecek daha büyük ve daha savunmasız saldırı yüzeylerine bıraktı.
Son iki rapora göre, genel olarak, API kullanımı geçtiğimiz yıl üç katına çıkarak şirket başına yaklaşık 15.600 API’ye ulaştı ve trafik dört katına çıkarak ortalama bir firma için yılda 820 milyon isteğe ulaştı. Ve uygulama geliştiricilerin gittiği her yerde saldırganlar takip ediyor: Bir API güvenlik firması olan Salt Security tarafından Mart ayında yayınlanan “API Güvenliği Durumu” raporuna göre, kötü niyetli API trafiği geçtiğimiz yıl neredeyse yedi kat arttı.
Salt Security’nin baş ürün sorumlusu Elad Koren, geliştirmedeki değişiklikler ve API’ler aracılığıyla kullanılabilecek üçüncü taraf yazılım bileşenlerinin maruz kaldığı artan güvenlik açıkları arasında, saldırganların kullanımı kolay arayüzleri giderek daha fazla hedef almaya devam edeceğini söylüyor.
“Saldırılar artıyor çünkü saldırı yüzeyi büyüyor” diyor. “Ama sadece bu değil. Ayrıca Spring4Shell ve Log4j gibi sorunlar – tüm bu yeni güvenlik açıkları bu yeni saldırı yüzeyinin bir parçası – ve bunlar [threat actors] tüm bu savunmasız yüzeyleri hedef alıyor.”
Trendler, uygulama güvenliği için en son zorluktur. Geliştirme ekipleri, genellikle bulutta veya ağ üzerinden farklı uygulama bileşenlerini bağlamak için oluşturulan API’leri tam olarak belgelemeden hızlı hareket etmeye devam eder. Forrester Research’ün baş analisti Sandy Carielli, bunun sonucunda şirketlerin API envanterlerinin kapsamını ve bu uygulama arayüzlerinin güvenli olup olmadığını bilmediklerini söylüyor.
Öyleyse, API güvenliğinin iş analisti firması için ilk beş brifing konusu haline gelmesine şaşmamalı, diyor.
“Büyüyen [malicious traffic] kesinlikle beni şaşırtmıyor” diyor. “Daha fazla kuruluş API’leri kullanmaya geçtikçe, uygulama trafiğinin daha yüksek bir yüzdesi API’lerden geliyor, bu nedenle doğal olarak bu kanaldan daha fazla kötü niyetli trafiğin geçtiğini göreceksiniz.”
API Saldırı Yüzeyini Evcilleştirme
Artan API envanteri ve trafiğinin arkasındaki itici gücün çoğu, bulutta yerel ve çevik geliştirme metodolojilerine geçiştir. Bir API güvenlik firması olan Noname Security’nin CEO’su ve kurucu ortağı Oz Golan, uygulama geliştirme sprintleri için tipik bir sprintin iki ila üç hafta olduğunu, bu nedenle bir geliştirme ekibinin API yanlış yapılandırmalarını ve güvenlik açıklarını bir hizmete veya uygulamaya sokmak için düzinelerce fırsatı olduğunu söylüyor. .
“Kuruluşlar dijital dönüşüm süreçlerini daha hızlı ve daha zor hale getirdikçe, daha fazla API güvenlik açığı ortaya çıkacak ve bunlardan yararlanılacaktır” diyor. “İş operasyonlarını yavaşlatmazlar ve kapsamlı testler yapmazlarsa, operasyonlarını serbest bırakacaklar ve risklere maruz bırakacaklar.”
Ortalama bir şirketin yaklaşık 15.600 API’si var ve son 12 ayda %41’lik bir API güvenlik olayı oranı gördü “2022 API Güvenlik Eğilimleri Raporu,” S&P Global Market Intelligence tarafından yayınlanan ve Noname Security sponsorluğundadır. Ancak, API güvenlik sağlayıcılarının verilerini toplamak için kullandıkları farklı ölçütler nedeniyle bu bulgular karmaşıktır. ortalama bir müşterinin 135 API’ye ve %95 API güvenlik olayı oranına sahip olduğunu Mart ayında yayınlanan “API Güvenliği Durumu” raporu.
Rakamlar – bazen önemli ölçüde – farklılık gösterse de, her ikisi de müşterileri arasında göreceli API kullanımında önemli bir büyüme ve kötü niyetli API trafiğinde göreceli büyüme bildirdi.
API Güvenlik Mücadelesini Hacklemek
Bu nedenle, şirketlerin API kaynağı, hedefi, türü, veri duyarlılığı, sahibi ve API erişiminin yetkilendirme gerektirip gerektirmediği dahil olmak üzere kendi API’lerini ve çalışanlarının API kullanımlarını tam olarak hesaba katmaları gerekir. Forrester Research’ten Carielli, şimdiye kadar şirketlerin API envanterlerini takip etme konusunda iyi bir iş çıkarmadıklarını söylüyor.
“İdeal bir dünyada, geliştirme ekibinizin her API için belirtim dosyaları oluşturmasını ve bunları güncel tutmasını sağlarsınız” diyor. “İdeal bir dünyada yaşamıyoruz. Keşif araçlarının çoğu, doğru kontrollere sahip olduğunuzdan ve bunların iyi yönetildiğinden emin olmak için trafiği analiz etmeli ve API’ler üzerinde yayın öncesi testler yapmalıdır.”
API’lerin güvenliğini sağlamaya yönelik adımlar, genel olarak uygulama güvenliği ile yakından takip edilir. Güvenli tasarım ve tehdit modellemeye odaklanmak, güvenlik açıklarını önemli ve düzeltilmesi pahalı sorunlara dönüşmeden önce ortadan kaldırmak anlamına gelir. Salt Security’den Koren, dağıtımdan sonra API kullanımının test edilmesi ve izlenmesinin, saldırganlar hakkında veri toplamak ve geliştirme sırasında keşfedilmeyen sorunlara karşı koruma sağlamak kadar önemli olduğunu söylüyor.
Tasarım aşamasında API güvenliğini göz önünde bulundurarak güvenlik sorunlarının mümkün olduğunca çoğunu düzeltmek önemlidir, ancak çalışma zamanı güvenliği de bir o kadar gereklidir, çünkü uygulama sahiplerine gönül rahatlığı ve saldırganların taktiklerini görebilirlik sağlar, diyor.
Koren, “Bugün, sol taraf – geliştirme tarafı – için bu boru hattı güvenliğine sahip olmak çok önemlidir, ancak bu, çalışma zamanı güvenliği ile değiştirilemez” diyor. “Araçlarınız ne kadar iyi olursa olsun, geliştirme aşamasında sahip olduğunuz tüm sorunları asla yakalayamayacaksınız. Çalışma zamanına sahip olmalısınız, çünkü bunlar birbirinin yerine geçemez.”