Kuruluşlar, uygulamaların ve web sitelerinin birden çok kaynaktan gelen verilere erişmesine ve üçüncü taraf platformlardan yeni işlevler içermesine olanak tanıyan uygulama programlama arabirimlerine (API’ler) giderek daha fazla güveniyor. API’ler kuruluşların dijital tekliflerini genişletmelerine yardımcı olurken, kuruluşlar için önemli güvenlik riskleri de oluşturur.
Uygun güvenlik kontrolleri olmadan, saldırganlar API’leri kötüye kullanabilir ve uygulamalardan veri çekebilir. Geçen yılki yüksek profilli olaylar arasında, bir API çağrı manipülasyonu yoluyla sosyal medya sitesi Parler’den kullanıcı verilerinin kazınması ve 50 milyon LinkedIn kullanıcısının tüm iletişim bilgilerinin toplanması için yanlışlıkla açığa çıkan bir belirteç kullanılması yer alıyor. Yanlış yapılandırılmış API’ler, Peloton’un yanlışlıkla kullanıcı verilerini ifşa etmesine ve Experian’ın kredi puanlarını sızdırmasına neden oldu.
Salt Security CEO’su ve kurucu ortağı Roey Eliyahu, “Dünya, API’lerin aynı anda uygulama güvenliğindeki en zayıf halka ve kötü oyuncular için en çekici hedef olduğu gerçeğine uyandı” diyor.
Eliyahu, saldırganların Log4j’de yakın zamanda açıklanan güvenlik açığını API çağrıları yoluyla da hedefleyebileceğini söylüyor. Her API çağrısı birçok parametre içerir ve bunların çoğu doğrudan bir günlük kaydı komutunu çağırır. Kötü bir aktör, potansiyel olarak parametrelerin değerini şu şekilde değiştirebilir: günlük kitaplığı tarafından çağrılacak kod, uzaktan kod yürütülmesine neden olduğunu söylüyor.
API Güvenliğinin Gerçekliği
Gartner, 2022 yılına kadar API tabanlı saldırıların uygulamalar için en sık görülen saldırı vektörü olacağını tahmin ediyor.
Bu ortamda Noname Security, C Serisi fonda 135 milyon dolar artırdığını ve şirketin Aralık 2020’de gizlilikten çıktığından bu yana toplam tutarı 220 milyon dolara çıkardığını duyurdu. Son finansman turu, girişimi 1 milyar doların üzerinde değerlemeye itiyor. .
“API güvenlik pazarı için bu tür bir doğrulama görmekten heyecan duyuyoruz” diyen Eliyahu, Salt Security beş yıl önce piyasaya sürüldüğünde, API’leri korumaya odaklanan güvenliğe çok az dikkat edildiğini belirtiyor.
API tabanlı saldırıların farklı türleri vardır, ancak sızdıran API’ler en yaygın olanı olabilir – saldırganların verilere erişmek için API’nin kimlik doğrulama ve yetkilendirme politikalarını ihlal ettiği yerler. Başka bir saldırı yöntemi, kritik süreçleri başlatmak veya durdurmak için API çağrılarının kullanılmasını içerir. API’lerin ne kadar yaygın hale geldiği düşünüldüğünde, bir saldırganın bir şeyleri açıp kapatma yeteneğinin fiziksel dünyada ciddi sonuçları olabilir. Son olarak, API saldırıları hesapların ele geçirilmesini sağlayarak kötü aktörlerin bu hesaplarda yetkisiz finansal işlemler gerçekleştirmesine izin verebilir.
Her kuruluşun farklı iş gereksinimleri ve risk toleransı olduğundan, kuruluşlar hangi tür API güvenlik olaylarının daha ciddi kabul edileceğine göre değişiklik gösterecektir. Bazı kuruluşlar, bir API olayı ile bir veri ihlali arasında ayrım yapmaya çalışarak, veriler açığa çıksa bile, bir API olayının bir şekilde bir ihlalin kendisinden daha az ciddi olduğunu öne sürer. Ancak, saldırganlara belirli finansal işlemleri yürütmek gibi yetkisiz eylemler gerçekleştirme yeteneği veren olaylarla ilgili daha somut finansal maliyetler var, diyor Eliyahu.
Eliyahu, “Ancak kişisel verileri karanlık ağda yeni satılan tüketici için bu ayrım anlamsız” diyor. “İtibar zararı hala zarar veriyor.”
Piyasadaki AP Güvenlik Araçları
Eliyahu, güçlü güvenlik araçlarına ve gelişmiş uygulama güvenliği ekiplerine sahip olmalarına rağmen, saldırganların şirketlerin en hassas verilerine ve hizmetlerine ulaşmak için API’lerden yararlanabildiklerini söylüyor. Yeni araçlar açığı kapatmaya yardımcı olabilir.
Noname’nin API güvenlik platformu, kuruluşların API’lerle ilgili güvenlik sorunlarını proaktif olarak keşfetmesine ve düzeltmesine ve kötüye kullanımı önlemesine yardımcı olmak için yapılandırma ayarlarını, ağ trafiğini ve kodu analiz eder. Platform, bir API’nin tipik olarak nasıl davrandığına dair temel bir anlayış oluşturmak için yapay zeka (AI) kullanır. API davranışı taban çizgisinden saptığında platform harekete geçer.
Benzer şekilde, Salt Security’nin platformu, Web, hizmet olarak yazılım, mobil, mikro hizmet ve Nesnelerin İnterneti (IoT) API’lerinden gelen trafiği analiz etmek için AI ve makine öğrenimi teknolojilerini kullanarak API tabanlı saldırıları önlemeyi ve ardından bir normal davranışın temeli. Salt Security, keşif aşamasında saldırganları gösterebilecek anormallikleri belirlemek için taban çizgisini kullanır.
Eliyahu, “Eski araçlar yeterli değil ve dünya geçen yıl bu gerçeğe daha fazla uyandı” diyor.
