Her zamankinden daha fazla bağlıyız – ama şimdi olacağımızdan çok daha az: 2023 yılına kadar dünyada yaşayan her insan için 3,6 ağ cihazıCisco Yıllık İnternet Raporuna göre, 2018’de kişi başına 2,4’ten yükseldi. Bu süre içinde ağa bağlı cihaz sayısı 18,4 milyardan 29,3 milyara çıkacak. Makineden makineye (M2M) bağlantıların sayısı 6 milyarın biraz üzerindeyken 14,7 milyara çıkacak.
Sonuç olarak, her şeyin çalışmasını sağlamak için yazılıma yalnızca daha fazla bağımlı hale geleceğiz. Uygulama programlama arabirimlerinin (API’ler) performansı, yazılımın genel etkinliğini büyük ölçüde etkiler. İster çevrimiçi bir hava durumu güncellemesi arıyor, ister bir endüstri web seminerine katılıyor, meslektaşlarımızla doküman paylaşıyor veya tıbbi laboratuvar test sonuçlarını çağırıyor olalım, API’ler iki yazılım bileşeninin hem kullanıcı istekleri yapmak hem de bunlara yanıt vermek için birbirleriyle konuşmasını sağlar.
Ancak, bu durumda, sahip olmak mümkündür fazla ofislerimizdeki dedikoducu geveze iş arkadaşları gibi izin verirsek “çok fazla bilgi” paylaşacak olan API’ler arasında çok fazla konuşma. Buna “TMI teknolojisi” diyoruz.
Tasarım gereği API’ler, uygulamalar arasındaki iletişim için geçitleri açar. Erişim kontrollerinin risk azaltma önlemleri gevşek olduğunda, API’ler çok fazla bilgi açığa çıkaracak veya daha da kötüsü, savunmasız bir uygulama arka kapısı aracılığıyla kendilerini ifşa edecektir. Çoğu zaman geliştiriciler, her program derlemesinde erişim haklarını sürekli değiştirmek zorunda kalmamak için işlevler için API’lere gereğinden fazla izin verir. Ancak, saldırganlar bunun olduğunun gayet iyi farkındadırlar, bu nedenle API’leri devralırlar ve ağları ihlal etmek için güçlü izinlerinden yararlanırlar.
Sonuç olarak, aşırı paylaşım API’leri sıklıkla hedeflenen, düşük asılı meyve olarak ortaya çıkıyor: API Güvenlik Raporunun Salt Güvenlik Durumu şunu gösteriyor: kuruluşların beşte biri güvenliği ihlal edilmiş API’ler nedeniyle bir ihlal yaşadı. Kötü niyetli trafik, tüm API trafiğinin %2,1’ini oluşturuyor ve ayda ortalama 12,22 milyon kötü amaçlı çağrıdan 26,46 milyon çağrıya çıkıyor. bu Açık Web Uygulaması Güvenlik Projesi (OWASP), bozuk erişim kontrolünü listeler kriptografik hatalar, eklemeler ve yanlış yapılandırmalar nedeniyle en büyük Web uygulaması riski olarak.
Önerilen En İyi Uygulamalar
Peki, güvenlik liderleri ve ekipleri bu sorunlardan nasıl kaçınır? Aşağıdaki en iyi uygulamaları öneririz:
- Geliştiricilere “önce güvenlik” kültürünü geliştirme becerilerini kazandırın. En başından itibaren güvenli yazılım oluşturmaya odaklanmalarına yardımcı olmak için geliştiricileri kötü bir kodlama modelini iyi bir modelden ayıran nüanslar konusunda eğitmek çok önemlidir. Güvenlik ekipleri, geliştiricilerle iletişimlerini ve ilişkilerini güçlendirdiğinde, bu geliştiriciler koruma için doğru araçları nasıl kullanacaklarını ve hatta değerlerini nasıl en üst düzeye çıkaracaklarını öğrenirler. Uygulamalı/kişiden kişiye eğitim burada çok önemlidir. Bilgisayar tabanlı eğitim, kendi başına çok fazla sınırlama getirir ve genellikle katılımcıların güvenlik becerilerini doğrulama yeteneğinden yoksundur.
- Gerçek hayat senaryolarını uygulayın. Tüm eğitim programları bunu içermelidir. Geliştiriciler, bozuk erişim kontrolünün gerçek dünya senaryolarını ve sonuçlarını deneyimleyerek en çok fayda sağlar – bu, becerileri hem doğrulamanın hem de geliştirmenin en güçlü yoludur.
- Sıfır güveni (ZT) API’lere genişletin. ZT’yi genellikle kullanıcı erişimi açısından ele alırız. Ancak aşırı izin vermeyi ortadan kaldırmak ve rol tabanlı kontrolleri uygulamak için bunu API’lere de uygulamalıyız. Bir API’nin belirli bir işlevi gerçekleştirmesi gerekiyorsa, güvenlik ekipleri izinleri yalnızca bu işlevle sınırlamak için geliştiricilerle birlikte çalışmalıdır.
- API “telefon ayrıcalıkları” içerir. ZT’yi daha fazla dahil ederken, güvenlik/geliştirici ekipleri API’lerin yapmasına izin verilen çağrıları sınırlamalıdır, bu nedenle bu çağrılar kesinlikle bağlam merkezli isteklere dayalı olarak yürütülür. Sonuç olarak, saldırganlar bunları suç amaçlı olarak değiştirmekte zorluklarla karşılaşacaktır.
Eğitim Anahtardır
İster gerçek insanlarla ister yazılımla uğraşalım, aşırı paylaşımı ciddiye almalıyız. Ne de olsa bu dedikoducu geveze iş arkadaşları ofiste çok gerçek hasara neden olabilir, bu nedenle İK’nın neyin tartışılması uygun neyin uygun olmadığını kesin bir şekilde uygulamak için onlarla oturması gerekiyor. Aynı ofiste, muhasebeden Sara’nın hukuk departmanında özgürce dolaşmasına ve istediği belgeleri indirmesine izin vermiyoruz.
Benzer şekilde, API’leri en az ayrıcalıklı ZT politikalarına tabi tutarken geliştiricileri “önce güvenlik” konusunda eğitmeliyiz. Bununla, yazılım yalnızca belirlenen görevleri gerçekleştirmek için gerekli olanı paylaşacak ve TMI teknolojisinin ortadan kaldırılması, ofisimizin “kapısını” – ve ağ ile tüm dijital varlıkları – saldırganlardan kesin bir şekilde kapatacaktır.