API güvenliği dünyasında, “saldırı” ve “güvenlik açığı” kelimeleri genellikle birbirinin yerine kullanılır. Ancak API tehdit ortamı patladıkça ve güvenlik ekipleri yanıt vermeye çalışırken, her ikisi için de son derece spesifik API tehdit türlerini tanımlayan ve bunlara karşı savunma yapan kesin bir kelime hazinesi geliştirmek her zamankinden daha önemli.
“API saldırılarının” gerçek anlamı birçok insanın kafasında tam olarak tanımlanamasa da, aslında çok karmaşık API kullanıcılarının bile karşılaştığı en acil risklerden biridir. Aynı zamanda, endüstrinin mevcut API güvenlik çerçeveleri ve yönergeleri tarafından büyük ölçüde ele alınmayan bir tehdit kategorisidir.
API tabanlı ticareti güvenli ve güvenilir tutmak için sektör, şirketlerin şu anda karşı karşıya olduğu çeşitli API tehditlerini ve API tehdit ortamının hızla geliştiği hızlı hızı hesaba katmak için düşüncesini, terminolojisini ve araçlarını geliştirmelidir.
Tüm API Saldırıları Güvenlik Açıklarından Yararlanmaz
Geleneksel uygulama güvenliği, aşağıdakiler gibi güvenlik açıklarıyla ilgilenir: OWASP API İlk 10. Bu durumda, güvenlik açıkları, API uygulamasındaki, dağıtımındaki veya yapılandırmasındaki, onu olası kötüye kullanıma maruz bırakan eksiklikler olarak tanımlanır. Güvenlik açıkları bulunabilir ve giderilebilir. Geliştirme yaşam döngüsü (SDLC) sırasında, API güvenlik açıklarını erken bulmak için kodu taramaya ve dinamik analiz çalıştırmaya zaten önemli bir odaklanma var.
Saldırılar, bir kazanç için bir uygulamayı aktif olarak kullanan bir saldırganın eylemidir. Bazı saldırılar güvenlik açıklarından yararlanır, ancak saldırgan meşru kimlik bilgileri kullanıyorsa mükemmel tasarlanmış API’ler bile kötüye kullanılabilir.
API’ler, temel iş mantığını ve hassas verileri tasarım gereği dışarıya sunar. Saldırganın verileri çalmak veya dolandırıcılık yapmak için doğru API’yi doğru kimlik bilgileriyle kullanması yeterlidir. Birçok başarılı saldırının tespit edilmesinin zor olmasının nedeni, yetkili trafik içinde gizlenmeleridir. Saldırganlar veya hileli üçüncü taraflar, yetkisiz faaliyetler yürütmek için bu yetkili kanalları kullanabilir.
Bu saldırılar bilinen güvenlik açıklarının çok ötesine geçer. Saldırganlar yetkili erişimi kullandıklarında “API kötüye kullanımı” gerçekleştirebilirler. Bugün, API kötüye kullanımı, hedeflere yönelik en riskli saldırıdır, çünkü verilere erişmek veya verileri değiştirmek veya sahte işlemler yapmak için geçerli kimlik bilgileri kullanılır. Kimlik bilgileri geçerli olduğundan, erişime ve manipülasyona izin verilir ve hasar verilir. API kötüye kullanımı şunları içerebilir:
- API’leri kötü niyetli nedenlerle izinsiz şekilde kullanmak. Bu durumlarda API’ler teknik olarak tasarlandıkları şekilde, ancak yanlış kişi tarafından veya yanlış nedenle kullanılır. Veri kazıma buna bir örnektir.
- Uygulama mantığındaki güvenlik açıklarından yararlanma. Bu suistimaller söz konusu işletmeye özgüdür ve çoğu durumda iyi bilinen OWASP çerçevesi aracılığıyla ele alınmaz.
API kötüye kullanımı, bir tehdit aktörünün API’yi oluşturan geliştiricilerin ve ürün yöneticilerinin amaçladıklarına uymayan bir şekilde çalışmasını sağlamak için bir API’ye nasıl saldırabileceğini düşünmenin yararlı bir yoludur.
API Suistimali Ne Kadar Büyük Bir Sorun?
Kısacası büyük bir sorun. Bazı kuruluşlar, API’lerinin güvenlik açıkları açısından değerlendirilmesi ve güvenli veya “mükemmel” görünmesi gerçeğinde yanlış bir rahatlık buluyor.
Uygulama güvenliğine proaktif bir şekilde odaklanan kuruluşlar bile, web ve mobil uygulamalar için oluşturulan API’lerin korunmasına daha fazla önem verme eğilimindedir. Bu durumlarda, birçok kuruluş genellikle yanlış bir şekilde, web uygulaması güvenlik duvarlarının (WAF’ler) bu tür API kullanımını güvence altına alma yükünün çoğunu üstleneceğini varsayar.
Ancak, karmaşık kuruluşlarda bile amaçlanan en büyük API koruma açığı, iş ortaklarına açık API’lerin korunmasıdır. Bu API’ler kötüye kullanım için olgunlaşmıştır. Mükemmel yazılmış olsalar ve güvenlik açıkları olmasalar bile, bunları paylaşan kuruluşların temel iş işlevlerini ve verilerini ortaya çıkarmak için beklenmedik şekillerde kötüye kullanılabilirler.
Bunun belki de en iyi örneği, Cambridge Analytica (CA) skandalı Bu, 2018’de Facebook’u sarstı. Kısa bir hatırlatma olarak CA, en az 87 milyon kullanıcı hakkında kapsamlı veri toplamak için Facebook’un açık API’sinden yararlandı. Bu, üçüncü taraf uygulamaların, tüm arkadaşlarının ilgi alanları, konum verileri ve daha fazlası hakkında bilgi toplamasına izin veren izin veren bir ayardan yararlanan bir Facebook bilgi yarışması uygulaması kullanılarak gerçekleştirildi.
Bu bilgi – ve ondan türetilen demografik ve psikografik profiller – daha sonra çeşitli siyasi kampanyalara ve hareketlere satıldı. Bunun tam etkisi asla bilinemeyebilir, ancak 2016 ABD başkanlık seçimleri ve İngiltere’nin “Brexit” referandumu üzerinde maddi bir etkisi olduğu genel olarak kabul edilmektedir. Ayrıca Facebook için 100 milyar doları aşan bir piyasa değerine, milyarlarca daha fazla para cezasına ve yıllar sonra hükümet düzenleyicilerinin hedeflerinde devam eden bir noktaya yol açtı.
Bunların hiçbiri, Facebook’un API altyapısındaki bir altyapı güvenlik açığından yararlanmayı içermiyordu. CA, Facebook’un herkese açık API’sini, oluşturulduğunda amaçlanmayan veya beklenmeyen şekillerde kullandı. Facebook, sonunda kötüye kullanılan bir temel iş API’sini ortaya çıkardı.
Bu 2022’de İşletmeler İçin Ne İfade Ediyor?
Açıkçası, Facebook örneği aşırı. Yine de, işletmeler dijital taç mücevherlerini API’ler aracılığıyla ticaret ortaklarına ve hatta halka giderek daha fazla sunarken, geniş ölçekli API kötüye kullanımı her gün meydana geliyor.
Artık çoğumuzun her gün kullandığı çevrimiçi bankacılık, bütçeleme ve finansal planlama uygulamalarını ve hizmetlerini düşünün. API’ler, bu tür kolaylıkların işe yaramasının anahtarıdır. Ancak, artık fintech API’leri aracılığıyla erişilebilen verilerin değerini ve mevcut kötüye kullanım potansiyelini göz önünde bulundurun. Geliştirilen her API, işletmenize açılan bir penceredir ve bu nedenle kötüye kullanılabilir.
Kullanıcı gizliliğiyle ilgili bariz endişelerin ötesinde, bu API’lerin kötüye kullanılması, finans firmalarının kendileri üzerinde yıkıcı bir etkiye sahip olabilir. Örneğin, vicdansız bir ipotek firması olsaydınız, çok sayıda banka kullanıcısının mevcut ipotek ödemesini görmek ve belki de en iyi yeniden finansman adaylarını belirlemek için Zillow’dan alınan ev değeri bilgileriyle çapraz referans vermek ilginç olmaz mıydı?
Günlük işletmeler arası ve işletmeler arası ticaretimizin çoğu API’ler aracılığıyla çevrimiçi olarak yürütüldüğü için, neredeyse tüm büyük sektörlerde benzer riskler mevcuttur.
API Suistimaline Sistematik Olarak Yaklaşmak
Endüstri açıkçası API güvenliği ile ilk adımdan başlamıyor. OWASP API Top 10 gibi mevcut en iyi uygulamalar ve kaynaklar, güvenlik uzmanlarına bir başlangıç yol haritası sunar. Ancak kuruluşların API altyapısı güvenlik açıklarının ortadan kaldırılmasını bir oyun sonu değil bir başlangıç noktası olarak görmeleri gerekir. Gerçek API güvenlik savaşı, API kötüye kullanımını durdurmak için stratejiler geliştirerek kazanılacaktır. Kötüye kullanım davranışını ele almada başarılı olmak için endüstrinin üç önemli şekilde gelişmesi gerekiyor.
1. API Saldırılarının Doğası Hakkında Daha Fazla Düşünün
Diğer güvenlik alanlarında, iki farklı çerçeve türü vardır:
- Güvenlik açıklarını keşfetmek, belgelemek ve düzeltmek için sistematik yaklaşımlar (MITRE CVE’yi düşünün).
- Bilinen saldırı tekniklerinden oluşan canlı bir bilgi tabanı oluşturmak (MITRE ATT&CK’yi düşünün).
API güvenlik alanında, OWASP API Top 10, ilk olarak başlamak için bir yer sağlar. Listedeki her bir geniş güvenlik açığı türünü, API ekiplerinin odaklanması gereken ayrı alt alanlara ayırmak için yapılacak daha çok iş olsa da, API altyapısı güvenlik açıklarından proaktif bir şekilde kaçınmak için hala mükemmel bir plandır.
Ancak API’lerin kötüye kullanılabileceğinin birçok yolunu gerçekten anlamak ve belgelemek için bugüne kadar çok az şey yapıldı. Saldırganlar gereksiz avantajlara sahip olmadan önce alanın proaktif olarak ele alınması gerekir.
2. Analiz için API Verisi Miktarını Önemli Şekilde Genişletin
İlk API güvenlik çabalarının çoğu, bireysel API çağrılarını veya en iyi ihtimalle kısa vadeli oturum etkinliğini izlemeye odaklanmıştır. Bu yeterli değil. Tekil isteklerin veya oturumların değerlendirilmesi, normal veya istismara yönelik davranış bağlamının anlaşılmasını sağlayamaz. Birçok meşru iş süreci, dakikalar, saatler ve günlerden oluşan bir zaman ufku boyunca gerçekleşir. Birçok saldırı da yapar. Bu nedenle, API izleme ve analiz yaklaşımları, bu uzun zaman dilimlerini kapsayan veri kümelerini analiz etmek için gelişmelidir.
Kör noktalar, birçok API güvenlik programının bir başka Aşil topuğudur. API izleme ve analizi, güvenlik ekibinin açıkça sensörler kurduğu uygulamalarla sınırlandırılamaz. Aksi takdirde unutulan eski API’ler asla keşfedilmeyecek ve yeni ortaya çıkan gölge API’ler kaçırılacaktır.
Bulutu benimsemek, bu boşlukların her ikisini de kapatmanın anahtarıdır. API ağ geçitleri, ağ cihazları, mikro hizmet düzenleme çözümleri ve bulut sağlayıcıları dahil olmak üzere mümkün olan en geniş kaynak dizisinden ayrıntılı veri toplamak için gereken ekonomik ve ölçeklenebilir depolamayı sağlar. Ayrıca, bu veri kümeleri üzerinde modern davranışsal analitiği ve yapay zekayı (AI) gerçekleştirmek için gerekli hesaplama gücünü sağlar.
3. Saldırgan Gibi Düşünen Güvenlik Araçları Oluşturmak için Yapay Zekayı Kullanın
Bir tehdit aktörü gibi düşünmek zordur. API saldırıları ve kötüye kullanım da dahil olmak üzere her türlü güvenlik tehdidine şaşırtıcı miktarda insan zekası ve otomasyonu atılıyor. Kuruluşların başarılı olmasının tek yolu, API keşfi, tehdit algılama ve hafifletmeye daha fazla kaynak ve yaratıcılık getirmektir.
Davranışsal AI bunun anahtarıdır. Güvenlik uzmanları geleceği asla tahmin edemezler. Uzmanlar bile, bir tehdit aktörünün bir API’yi kötüye kullanmaya çalışacağı her yaratıcı yolu asla tahmin edemez.
Ancak kuruluşlar, API kullanımı ve etkinliği için normal bir temel oluşturabilir. Ardından, API’leri kullanan varlıkları ve bunu istendiği gibi yapıp yapmadıklarını daha iyi anlamak için AI kullanılabilir. Geleneksel uygulama güvenliği yöntemleri, iş kötüye kullanımı bağlamına bakmak için oluşturulmamıştır. API güvenliğinin farklı düşünmesi ve yeniden keşfedilmesi gerekiyor.