API’ler, dijital iş dönüşümünün motorudur. Onlara veri alışverişinde çeviklik ve esneklik kazandırdı ve yeni pazarların ortaya çıkmasını sağladı. Bu yazılım hizmetlerinin rolü merkezidir ve herhangi bir saldırının önemli sonuçları olabilir.
Dijitalleşme, şirketleri API’ler aracılığıyla internette giderek daha fazla kaynağı açığa çıkarmaya ve tüketmeye itti. Bu dijitalleşme, şirketler arasındaki veri alışverişinin genelleştirilmesini içerir. Bu devrim, şimdi API ekonomisi olarak bilinen şeyin ortaya çıkmasına neden oldu. Ancak, esas olarak bilgi sistemi içinde kullanılan API’ler, artık şirketin ortaklarına ve müşterilerine çok geniş bir şekilde açıktır. Bu gerçek API devrimi, yeni iş modellerinin ortaya çıkmasını sağladı ve şirketler arasındaki alışverişi hızlandırdı, ancak bu açıklığın siber güvenlik açısından güçlü etkileri var. API, işi durma noktasına getirmenin bir yolunu engellemekle kalmaz, aynı zamanda saldırganlar tarafından hassas verilere erişmek ve belirli süreçleri ele geçirmek için API’lerden yararlanabilir.
Gartner’a göre API’ler 2022’de bir numaralı saldırı vektörü olacak
Birçok şirket, API’lerinin önüne yerleştirilen güvenlik duvarları, web uygulaması güvenlik duvarları ve API Ağ Geçitleri sayesinde saldırganlardan güvende olduklarına inanarak API’lerine yönelik saldırı riskini uzun süredir hafife almıştır. Bu güvenlik sadece bir yanılsamadır. Experian’a yönelik saldırılar ve 2021’de 700 milyon LinkedIn profilinden veri çalınması ya da çok yakın zamanda Avustralyalı operatör Optus’a yönelik saldırı, tehdidin gerçekliğini açıkça gösterdi ve saldırganlar faaliyetlerini hızlandırıyor. Salt Security’nin “API Güvenliğinin Durumu” raporunun üçüncü çeyrek 2022 baskısı, son 12 ayda API saldırılarında +%117’lik bir büyüme olduğunu gösteriyor. Ankete katılan şirketlerin %54’ü, API güvenlik sorunları nedeniyle yeni bir uygulamanın kullanıma sunulmasını ertelemek zorunda kaldı ve %82’si, geleneksel çözümlerin API saldırılarına karşı etkili olmadığına inanıyor. Basit bir PenTest (sızma testi), herkesin klasik yaklaşımın eksikliklerini görmesini sağlar. Bu güvenlik tuğlalarını WAAP (Web Uygulaması ve API Koruması) kısaltması altında gruplandıran Gartner, koruma API’lerinin özelliklerini hesaba katmak için son olarak özel bir kategori – “API Güvenliği” (API Keşfi ve Koruması) ekledi.
Aslında, saldırganlar artık API’lere yalnızca teknik saldırılar gerçekleştirmekle yetinmiyor, bunun yerine kullanımını yönlendirmek için uygulama mantığına saldırmayı tercih ediyor. Bazı saldırganlar, yalnızca API çağrısındaki hesap numarasını değiştirerek bir banka hesabından diğerine geçmeyi başardı. Ayrıca bir siparişin teslimat adresini değiştirebilir veya hatta bir banka havalesinin gönderen hesabını değiştirebilirsiniz… Bu saldırılar genellikle meşru API çağrıları yığınında boğulur ve geleneksel araçlar tarafından tespit edilemez. OWASP (Açık Web Uygulaması Güvenlik Projesi), API’lere yönelik en sık yapılan saldırıların ilk 10’unu düzenli olarak güncelleyerek, saldırganların koruma çözümlerinin radarından kaçma konusundaki hünerlerini gösterir. Birkaç yıl önce API’lere yönelik saldırıları marjinal olarak gören Gartner, bunların 2022’de en önemli saldırı vektörü olacağını tahmin ediyordu.
API portföyünüzü korumanın üç adımı
API’lerin güvenliğini sağlamak her şeyden önce bir keşif aşamasından geçer. Genellikle CISO’ların kendileri, şirketleri tarafından tüketilen veya kullanıma sunulan API’lerin kesin kapsamını bilmezler. Yalnızca bildiklerimizi doğru bir şekilde güvence altına alabiliriz ve bu aşama, tüm API’lere, hangi teknolojiye dayalı olduklarına veya hassas verileri aktarıp aktarmadıklarına atıfta bulunmayı mümkün kılacaktır. Bu denetim gerçekleştirildikten sonra, özellikle API’lerin yukarı akış tasarımı ve geliştirme aşamalarından gelen güvenlik entegre edilerek API’nin tüm yaşam döngüsü güvence altına alınmalıdır. API’lerin geliştirilmesini Design By Secure kavramına dahil etmeli ve geliştiricilerin API’lerin uygulama saldırılarına direnmesine olanak tanıyan özellikleri uygulamasını sağlamalıyız. API’lerin korunmasına yönelik bir çözüm, güvenlik yöneticisine, API ağ geçitleri ve WAF’ler tarafından gerçekleştirilen kontrollerin ötesine geçen koruyucu önlemler alma olanağı sağlayacaktır. AI modelleri ve davranış analizi, iş mantığına yönelik saldırıları tespit etmenin ve bir çevrimiçi bankacılık sitesi kullanıcısının kendisine ait olmayan hesap numaralarına erişmeye çalıştığını tespit etmenin bir yoludur.
Durumun değerlendirilmesi ve ilk düzeltici önlemlerin alınması için API’lerin “tek seferlik” bir denetiminin gerçekleştirilmesi mümkünse, her şeyden önce, API’lerin zarar görmemesini sağlamak için bu kontrol ve koruma önlemlerini sürekli olarak uygulamak gerekir. bilgi sistemi güvenliğinin asla zayıf noktası değildir.