PALO ALTO, Kaliforniya, 1 Mayıs 2023 – Data Theorem, Inc., lider bir sağlayıcıdır. modern uygulama güvenliğibugün “API Saldırı Yüzeyinin Güvenliğini Sağlama” raporu Kurumsal Strateji Grubu (ESG) ile ortaklaşa. Çalışma, kuruluşların çoğunluğunun (%75) API’lerini genellikle günlük veya haftalık olarak değiştirdiğini veya güncellediğini ve bunun da değişen API saldırı yüzeyini korumak için önemli bir zorluk oluşturduğunu ortaya çıkardı. İlgili bir bulguya göre, araştırma sonuçları, kuruluşların çoğunluğunun (%92) son 12 ayda güvenli olmayan API’lerle ilgili en az bir güvenlik olayı yaşadığını, kuruluşların çoğunluğunun (%57) ise birden fazla güvenlik olayı yaşadığını ortaya koydu. geçen yıl boyunca güvensiz API’ler.
ESG, bu rapor için veri toplamak amacıyla Kuzey Amerika’daki (ABD ve Kanada) özel ve kamu sektörü kuruluşlarından 397 katılımcıyla BT (%38), Güvenlik (%30) ve Uygulama Geliştirme (%32) genelinde sorunlar ve zorluklar hakkında anket yaptı. ve yerel bulut uygulamaları ve API güvenliği ile ilgili trendler. Yanıt verenlerin çoğunluğu (%64) 1.000 veya daha fazla çalışanı olan kuruluşlardan, %36’sı ise 100 ila 999 çalışanı olan kuruluşlardandı.
Çalışma, bu API güvenlik endişelerini gidermek için kuruluşların önümüzdeki 12-18 ay içinde harcamalarını artıracakları önde gelen yaklaşımların API güvenlik araçları (%45), Bulutta Yerel Uygulama Koruma Platformları – CNAPP’ler (%43) ve entegre uygulama güvenliği ve API güvenlik araçları (%41).Çalışma aynı zamanda kuruluşların daha hızlı CI/CD geliştirme döngüleriyle karşı karşıya kaldıkları en çok atıfta bulunulan güvenlik sorununun, geliştirme süreçlerinde güvenliğin görünürlük ve kontrolden yoksun olması (%41) olduğunu buldu. CI/CD’nin daha hızlı geliştirme döngüleriyle en çok bahsedilen ikinci güvenlik sorunu, yeni yapıların yanlış yapılandırmalar, güvenlik açıkları ve diğer güvenlik sorunları (%40) ile üretime dağıtılması, ardından geliştiricilerin güvenlik süreçlerini (%39) atlaması ve yazılımların piyasaya sürülmesidir. güvenlik kontrolleri ve/veya testler yapılmadan (%38).
Kurumsal Strateji Grubu Kıdemli Analisti Melinda Marks, “Çoğu kuruluşun API ile ilgili güvenlik olayları yaşaması şaşırtıcı değil,” dedi. “Modern geliştirme döngüleri, daha hızlı, daha sık ürün sürümleri ve güncellemeleri getiriyor ve günlük ve haftalık olarak değişen artan sayıda API, değişen saldırı yüzeyinin ele alınmasını zorunlu kılıyor. Bu hızlı değişim oranı, gölge API’ler ve zombi API’ler de yaratıyor. , kuruluşlar genellikle onlar hakkında bilgi sahibi olmadığı için bilgisayar korsanlarının istismar etmeyi en sevdiği API’ler olabilir.”
Çalışma aynı zamanda türleri bulduKuruluşları en çok endişelendiren API güvenlik açıkları, SSL veya TLS olmaması nedeniyle hassas verilerin açığa çıkması (%34), öznitelik tabanlı erişim denetimi (ABAC) güvenlik açıkları ve API iş mantığı kusurları (her ikisi de %31) ve dağıtılmış hizmet reddi saldırılarıdır. – DDoS (%30).
“ESG’ye göre, kuruluşların ezici çoğunluğu (%80) Bulutta yerel uygulamalar bugün API’leri kullanıyor ve benzer bir çoğunluk (%75) API’lerini tipik olarak en az haftada bir değiştiriyor veya güncelliyor, API ve bulutta yerel güvenlik bugün kuruluşlar için kritik bir sorun olmaya devam ediyor,” dedi Veri Teoremi COO’su Doug Dooley. “Araştırmanın gösterdiği iyi haber şu ki, iki güvenlik yaklaşımı – API güvenlik araçları ve Bulut Yerel Uygulama Koruma Platformları (CNAPP’ler) – kuruluşların saldırılara karşı güvenlik açıklarını azaltmalarına yardımcı olacak en umut verici seçenekler gibi görünüyor ve kuruluşlar bu konuda harekete geçiyor. uygulamalarını ve verilerini en iyi şekilde güvence altına almak için önümüzdeki 12-18 ay. Veri Teoremi, kuruluşlara hem API güvenliği hem de CNAPP çözümleri sağlamak için ideal bir konumdadır.”
ESG’nin ücretsiz bir kopyası için “API Saldırı Yüzeyinin Güvenliğini Sağlama“rapor, bkz. https://www.datatheorem.com/resources/reports/securing_the_api_attack_surface_esg.
Data Theorem’in geniş AppSec portföyü, kuruluşları veri ihlallerinden korur. uygulama güvenlik testi ve modern web çerçeveleri, API güdümlü mikro hizmetler ve bulut kaynakları için koruma. Çözümleri, CI/CD sürecine tamamen entegre olan ve kuruluşların sürekli, otomatikleştirilmiş güvenlik incelemesi ve iyileştirme yapmasına olanak tanıyan yeni bir tür dinamik ve çalışma zamanı analizinden yararlanan ödüllü Analyzer Engine tarafından desteklenmektedir. Data Theorem, mobil ve Web’de bulunan istemci katmanlarından, API’lerde bulunan ağ katmanlarından ve bulut hizmetlerinde bulunan altyapı katmanlarından başlayarak uygulamaların saldırı yüzeylerini birbirine bağlayan bir tam yığın uygulama güvenlik analizörü sağlayan ilk satıcılardan biridir.
Not 1 – Kaynak: TechTarget Inc. Research e-Kitabının bir bölümü olan Enterprise Strategy Group, API Saldırı Yüzeyinin Güvenliğini SağlamaMayıs 2023.
Kurumsal Strateji Grubu Hakkında
TechTarget’ın Kurumsal Strateji Grubu, küresel teknoloji topluluğuna pazar zekası, eyleme dönüştürülebilir içgörü ve pazara açılma içerik hizmetleri sağlayan entegre bir teknoloji analizi, araştırma ve strateji firmasıdır.
Veri Teoremi Hakkında
Veri Teoremi müşterilerinin AppSec veri ihlallerini önlemesine yardımcı olan lider bir modern uygulama güvenliği sağlayıcısıdır. Ürünleri API güvenliği, bulut (sunucusuz uygulamalar, CSPM, CWPP, CNAPP), mobil uygulamalar (iOS ve Android) ve web uygulamalarına (tek sayfa uygulamaları) odaklanır. Temel görevi, herhangi bir modern uygulamayı her zaman, her yerde analiz etmek ve güvenliğini sağlamaktır. Ödüllü Veri Teoremi Analiz Motoru, güvenlik açıklarını ve veri gizliliği boşluklarını aramak için API’leri, Web, Mobil ve Bulut uygulamalarını sürekli olarak analiz eder. Şirket, 5 milyardan fazla uygulama olayı tespit etti ve şu anda dünya çapındaki kurumsal müşterileri için 25.000’den fazla modern uygulamanın güvenliğini sağlıyor. Data Theorem’in merkezi Palo Alto, Kaliforniya’da olup, New York ve Paris’te ofisleri bulunmaktadır. Daha fazla bilgi için ziyaret edin www.datatheorem.com.