Google bugün, API’lerle ilgili güvenlik tehditlerini tespit etmek için tasarlanmış, Google Cloud’a yönelik yeni bir ürün olan Advanced API Security’nin bir önizlemesini duyurdu. Google’ın API yönetimi platformu Apigee’yi temel alan şirket, müşterilerin bugünden itibaren erişim talebinde bulunabileceğini söylüyor.
“Uygulama programlama arabirimi”nin kısaltması olan API’ler, bilgisayarlar veya bilgisayar programları arasındaki belgelenmiş bağlantılardır. API kullanımı artıyor anket Geliştiricilerin %61,6’sından fazlasının 2021’de 2020’ye kıyasla API’lere daha fazla güvendiğini tespit etti. Ancak, API’ler giderek artan bir şekilde saldırıların hedefi haline geliyor. 2018 yılına göre bildiri Siber güvenlik sağlayıcısı Imperva tarafından görevlendirilen kuruluşların üçte ikisi, güvenli olmayan API’leri halka ve ortaklara ifşa ediyor.
Advanced API Security iki görevde uzmanlaşmıştır: API yanlış yapılandırmalarını belirleme ve botları algılama. Hizmet, yönetilen API’leri düzenli olarak değerlendirir ve yapılandırma sorunlarını tespit ettiğinde önerilen eylemler sağlar ve API trafiğindeki kötü amaçlı botları tanımlamanın bir yolunu sağlamak için önceden yapılandırılmış kuralları kullanır. Her kural, tek bir IP adresinden farklı türde olağan dışı trafiği temsil eder; bir API trafik kalıbı kurallardan herhangi birini karşılarsa, Gelişmiş API Güvenliği bunu bir bot olarak bildirir.
“Yanlış yapılandırılmış API’ler, API güvenlik olaylarının önde gelen nedenlerinden biridir. Google Cloud ürün başkanı Vikas Ananda, duyurudan önce TechCrunch ile paylaşılan bir blog gönderisinde, API yanlış yapılandırmalarını belirlemek ve çözmek birçok kuruluş için en büyük öncelik olsa da, yapılandırma yönetimi süreci zaman alıcı ve önemli miktarda kaynak gerektiriyor” dedi. “Gelişmiş API Güvenliği, API ekiplerinin güvenlik standartlarına uymayan API proxy’lerini tanımlamasını kolaylaştırıyor. . . . Ek olarak, Advanced API Security, başarılı bir şekilde sonuçlanan botları tanımlayarak veri ihlallerini belirleme sürecini hızlandırır. HTTP 200 OK başarı durumu yanıt kodu”
Google, Advanced API Security’nin piyasaya sürülmesiyle, 2016 yılında yarım milyar doların üzerinde bir bedelle satın aldığı Apigee kapsamındaki güvenlik tekliflerini desteklemeye çalışıyor. Ancak şirket, API güvenlik segmentinde artan rekabete de yanıt veriyor. API odaklı siber güvenlik ürünleri sunan girişimler arasında Salt Security, Noname Security ve Neosek. Barracuda, Akamai, 42Crunch, Traceable, Ping Identity ve Signal Sciences dahil olmak üzere birçok yerleşik satıcı da son yıllarda tekliflerini genişletti.
Mart ayında, Cloudflare başlatılan API güvenliğini artırmayı amaçlayan yeni bir ağ geçidi. Ve Mayıs ayında, Imperva Edinilen API güvenlik şirketi CloudVector.
Jüri, bu ürünlerin karşılaştırmalı olarak ne kadar iyi performans gösterdiği konusunda kararsız olsa da, API kaynaklı saldırı tehdidi çok gerçek. Peloton gibi şirketler, Parler ve hatta LinkedIn son birkaç ay içinde API güdümlü saldırıların kurbanı oldular. Sadece onlar değil. yakın tarihli bir bilgiye göre ders çalışma Cloudentity tarafından, şirketlerin %44’ü “önemli düzeyde” deneyimler yaşadı API yetkilendirme sorunları dahili ve harici API’ler ile gizlilik, veri sızıntısı ve nesne mülkiyetine maruz kalma ile ilgili.