Web uygulaması programlama arabirimleri (API’ler), bulut uygulamalarını ve altyapıyı bir arada tutan yapıştırıcıdır, ancak bu uç noktalar, son 12 ayda şirketlerin yarısı API ile ilgili bir güvenlik olayını kabul ettiği için giderek daha fazla saldırı altındadır.
Google Cloud tarafından yürütülen bir ankete göre, şirketlerin API kullanımını etkileyen en sıkıntılı güvenlik sorunları, yanlış güvenlik yapılandırmaları, eski API’ler ve bileşenler ve spam veya kötüye kullanım botlarıdır. son iki konu ile.
Şirketlerin üçte ikisi (%67) test aşamasında API ile ilgili güvenlik sorunları ve güvenlik açıkları buldu, ancak çoğu şirket — %60’tan fazlası — sorunları yazılım geliştirme sürecinde, uygulama dağıtımı sırasında ve gerçek zamanlı izlemeyi kullanarak keşfetti. 500’den fazla teknoloji liderinin yaptığı ankete göre.
Google Cloud’da iş uygulama platformları için ürün başkanı Vikas Anand, bu sorunlara rağmen, dörtte üçünden fazlasının (%77) gerekli API araçlarına ve çözümlerine sahip olduklarını söyleyerek sorunları yakalayacaklarından emin olduklarını söylüyor.
Anand, “Mevcut araçlarla ilgili, kanıtlarla eşleşmeyen bir güven algısı var” diyor. “Güvenlik ortamı değişti — API hacmindeki çarpıcı büyümeyle, API’ler uygulama güvenliği için yeni savaş alanı.”
Web API’lerine olan ilgi, şirketlerin koronavirüs pandemisinin neden olduğu iş kesintilerinin ardından son iki yılda dijital dönüşümlerini hızlandırmasıyla ortaya çıkıyor. Google tarafından 770 teknoloji lideriyle yapılan ikinci bir araştırmada ankete katılan şirketlerin neredeyse tamamı (%93), iki yıl önceki %83’lük oranla, operasyonlarını “çoğunlukla buluta” dayalı olarak nitelendirdi.
Buna karşılık, operasyonlarını “çoğunlukla tesis içi” olarak nitelendiren işletme karar vericileri, aynı zaman diliminde yarı yarıya düşerek %16’dan %7’ye düştü.
Bir tahmine göre, API ile ilgili güvenlik olayları 2020’den bu yana 12 milyar ila 23 milyar dolar arası kayba neden oldu.
API’ler: Bulut Dönüşümünün Anahtarı
Google, ankete katılan kuruluşların %46’sının API kullanımlarını yalnızca kendi kuruluşları içinde saklı tutarken, yarısından fazlasının (%54) iş ortaklarının, müşterilerin ve diğer harici geliştiricilerin API’leri üçüncü taraf geliştirmeyi teşvik etmenin bir yolu olarak kullanmasına izin verdiğini buldu.
Google Cloud yaptığı açıklamada, “API’ler, uygulama modernizasyonu ve dijital dönüşüm için kritik öneme sahiptir çünkü mikro hizmetlerle birlikte müşterilere yeni deneyimlerin hızlı bir şekilde sunulmasını sağlarken geliştirme ve bakım maliyetlerini düşürürler.” “Digital Crunch Time: API’lerin ve Uygulamaların 2022 Durumu” bildiri.
Google Cloud’un ikinci raporuna göre, API’ler dijital dönüşümleri için kritik öneme sahip olduğundan, şirketler %60’ı güvenlik tehditlerini proaktif olarak belirleme becerilerini geliştirmeyi ve %57’si daha fazla güvenlik otomasyonu ve orkestrasyonunu benimseyerek API güvenlik yatırımlarına akıllıca öncelik verdi. “API Güvenliği: Son Bilgiler ve Temel Eğilimler.”
Şirketlerin yaklaşık yarısı, kusurları daha iyi keşfetmek ve saldırıları tespit etmek için API sunucularının gerçek zamanlı izlenmesini ve yapay zeka ve makine öğrenimi (AI/ML) sistemlerini kullanmayı da genişletmeyi planlıyor.
Anand, “Kuruluşlar gerici olmaktan proaktif olarak bu tehditleri ele almaya geçtikçe, AI/ML modellerinin güvenlik araçları içinde daha yaygın bir şekilde benimsendiğini göreceğiz” diyor. “Makine öğrenimine dayalı kurallar, bunun doğal evrimidir – yalnızca otomatikleşmekle kalmaz, aynı zamanda bu deneyimlerden sürekli olarak öğrenir.”
API Olgunluğu Bulut Başarısını Getiriyor
Şaşırtıcı olmayan bir şekilde, API’lerle daha fazla deneyime sahip olan şirketler, daha fazla bulut tabanlı operasyonlara geçiş yaparak daha fazla başarı elde etti.
Şirketlerin yaklaşık üçte biri (%34), API’lere olgun bir yaklaşıma sahip olduğunu, kuruluşlar genelinde API öncelikli bir stratejiyi zorladığını ve bir API yönetim platformu kullandığını belirtiyor. Bu şirketler aynı zamanda daha düşük API olgunluğuna sahip kuruluşlarla karşılaştırıldığında verimliliği, daha iyi işbirliğini ve iyileştirilmiş çevikliği artırmada daha başarılı oldu.
Google Cloud, düşük olgunluğa sahip kuruluşları, silolar halinde oluşturulmuş API’lere sahip, API’lerin merkezi yönetimi olmayan ve belki de güvenlik için bir API ağ geçidi olan kuruluşlar olarak tanımladı.
Satıcıya göre “Çalışmamız, olgun API kuruluşlarının dijital dönüşüm çabalarında düşük olgunluktaki API kuruluşlarına kıyasla önemli ölçüde önde olduğunu gösteriyor.” “Teknoloji liderleri, API’lerin getirdiği değeri zaten anlıyor.”
Google’ın raporuna göre, API tabanlı uygulama altyapısına geçiş yapan şirketler için API güvenliği, bir API programının en önemli bileşeni olarak görülüyor ve şirketlerin %66’sı bunu önemli buluyor. Diğer önemli endişeler arasında API performans analitiği ve API yönetişimi yer aldı.
Anand, “API güvenliğinin nihai olarak genel uçtan uca güvenlik stratejisinin bir parçası olması gerekiyor” diyor. “Tüm güvenlik ürünleri arasındaki kusursuz entegrasyonlar, portföyünüzdeki genel güvenlik değerini artırmayı kolaylaştırır.”