ABD şirketleri, ihlal verilerinin bir analizine göre, bulut hizmetlerinin ve DevOps tarzı geliştirme metodolojilerinin benimsenmesinin artmasıyla çoğalan Web uygulaması programlama arayüzleriyle (API’ler) bağlantılı uzlaşmalardan dolayı 2022’de toplam 12 milyar ila 23 milyar dolar arasında bir kayıpla karşı karşıya. .
Son on yılda, API güvenliği önemli bir siber güvenlik sorunu haline geldi. Bunu kabul eden Açık Web Güvenliği Uygulama Projesi (OWASP), 2019’da API güvenlik sorunlarının en iyi 10 listesini yayınladı ve nesneler için bozuk yetkilendirme, zayıf kullanıcı kimlik doğrulaması ve aşırı veriye maruz kalma gibi önemli API zayıflıklarını aşağıdakiler için kritik sorunlar olarak işaretledi. bulut hizmetlerine güvenen yazılım üreticileri ve şirketler.
Uygulama güvenliği firması Imperva ve risk stratejisi firması Marsh McLennan tarafından geçen hafta yayınlanan API Güvensizliği Maliyetinin Ölçülmesi raporuna göre, API’ler bulut ve mobil altyapı için ortak bir model olmaya devam ettikçe güvenlik sorunları muhtemelen büyüyecek. .
Imperva API güvenliği başkan yardımcısı Lebin Cheng, “API’lerle ilişkili artan güvenlik riskleri, API’lerin yaygınlaşmasıyla bağlantılıdır” diyor. “İşletmeler tarafından kullanılan API’lerin hacmi hızla artıyor – tüm işletmelerin neredeyse yarısı, dahili veya genel olarak 50 ila 500 arasında dağıtılmış, bazılarının ise binden fazla aktif API’si var.”
Analiz, ilginç bir şekilde, iş kayıplarının API’ye özgü sorunlarla daha az ilgisi olduğunu buldu. Aksine, siber kayıpların çoğunluğu ihlal kurtarma ve operasyonların kesintiye uğramasından kaynaklanmaktadır. Rapora göre, herhangi bir ülkede yalnızca küçük bir şirket alt kümesi, doğrudan API güvenlik açıklarıyla bağlantılı kayıplara maruz kaldı.
API Kayıpları İş Segmentine Göre Değişir
bu Marsh McLennan verileri tüm işletmelerin bir alt kümesini temsil eden rapor edilen ihlallerden gelir. Verileri derinlemesine incelerken, etki arasındaki önemli farklılıkların ortaya çıkarılabileceğini buldu.
Örneğin, belirli türdeki şirketler (örneğin, BT ve profesyonel hizmetlerdeki daha büyük firmalar) API ile ilgili güvenlik olaylarıyla diğerlerine (örneğin finans sektöründeki daha küçük şirketler) göre çok daha fazla karşı karşıyadır.
Bir Marsh McLennan sözcüsü, “12 milyar dolar milyonlarca şirkete dağıtılmıyor” dedi. “Özellikle API güvensizliği nedeniyle ihlal edilen şirketlerin sayısı oldukça düşük.”
Küçük firmalar, en yüksek mutlak sayıda API güvenlik olayıyla karşı karşıyadır ve çoğu olay 50 milyon dolardan az gelire sahip şirketleri etkiler. Ancak API ile ilgili olaylar, toplam güvenlik olayı sayısının yalnızca %5’ini oluşturuyordu. Buna karşılık, 50 milyar dolardan fazla geliri olan büyük şirketler, güvenlik olaylarının en az %20’sinin API’leri içerdiğinden, API’lerle ilgili ihlal riski çok daha yüksektir.
Imperva’dan Cheng, büyük şirketler için artan riskin, API’lerin neden olduğu saldırı yüzeyi alanındaki büyümeden kaynaklandığını ancak daha büyük şirketlerin de daha çekici hedefler olduğunu söylüyor.
“API’lerin çoğalması, bu ekosistemlerde görünürlük eksikliğiyle birleştiğinde, büyük ve maliyetli veri sızıntısı fırsatları yaratıyor” diyor. “Bunlar, bir kuruluşun boyutuna göre ölçeklenen sorunlardır. Daha büyük kuruluşların üretimde daha fazla API’si vardır ve sınırlı görünürlük, daha fazla sayıda API’yi savunmasız bırakır. Bu, işletmeleri çekici bir hedef haline getirir.”
Benzer şekilde, Asya’daki firmalar 100’den biraz fazla birleşik API güvenlik etkinliğine sahipti ve ABD şirketleri 600’den fazla API güvenlik etkinliğine sahipti. Amerika Birleşik Devletleri’nde genel olarak rapor edilen güvenlik olaylarının çokluğu, API olaylarının pastanın çok daha düşük bir payını oluşturmasına neden oldu – Asya için %15’ten fazla olana kıyasla yaklaşık %5.
API Güvenlik Endişeleriyle Nasıl Başa Çıkılır?
Diğer uygulama güvenlik açıklarından farklı olarak, API güvenlik zayıflıkları genellikle yetkilendirme, kimlik doğrulama veya iş mantığı sorunlarından yararlanır. Cheng, API’lerin kötüye kullanılmasının genellikle verilere erişim veya bir yetkilendirme kontrolünü atlama yeteneği ile sonuçlandığını söylüyor.
Bunu önlemek için şirketlerin API’leri nasıl kullandıklarına dair görünürlük kazanmaları ve ağlarındaki API trafiğinin eksiksiz bir envanterini oluşturmaları gerektiğini söylüyor.
Cheng, “API ile ilgili güvenlik olayları, veri katmanına erişmek için iş mantığındaki bir güvenlik açığından yararlanmak için geçerli bir API belirteci kullanan karmaşık saldırılardır” diyor. “API şemasına doğru görünürlük veya şemada yapılan değişiklikler olmadan, kuruluşlar genellikle bir API’nin güvenliğinin ihlal edilip edilmediğinin veya güvenliği ihlal edilmiş API aracılığıyla hangi verilerin sızdırıldığının farkında olmazlar.”
Cheng, API saldırıları genellikle daha büyük bir kampanya için ilk erişim vektörünü oluşturur, bu nedenle ilk izinsiz giriş kritik olmasa da, nihai sonuç yaygın bir uzlaşma olabilir, diyor Cheng.
“API kötüye kullanımı, genellikle hesap ele geçirme veya otomatik kazıma gibi çevrimiçi dolandırıcılığı içeren daha büyük bir kampanyanın parçasıdır” diyor. “Kuruluşlar, bir suçlunun API’yi kötüye kullanmak ve temel verilere ulaşmak için kullanabileceği çeşitli saldırılara karşı korunmaya ihtiyaç duyar. Kuruluş yalnızca API uç noktasını korumaya odaklanmışsa, uygulamaya ve/veya iş mantığına yönelik saldırıları gözden kaçırıyorlar demektir. “