S
SeNa
mevcut web uygulama korumalarına dahil edildiğini varsaymamalıdır."
Güvenlik firması Salt Security tarafından yapılan bir diğer araştırma , ankete katılan kuruluşların %91'inin 2020 yılında API ile ilgili bir sorun yaşadığını gösteriyor. Yarısından fazlası (%54) API'lerinde güvenlik açıkları bulduğunu bildirirken, %46'sı kimlik doğrulama sorunlarına işaret etti ve %20'si botlar ve veri toplama araçlarının neden olduğu sorunları tanımladı.
Güvenli olmayan API'lerin temel kaynakları
API'leri çevreleyen güvenlik sorunlarının çoğu, erken dönem SOAP mesajlaşma protokolü tabanlı API'lerden günümüzün REST API'lerine geçişle ilgilidir .
SOAP API'lerine genellikle VPN'ler veya iki yönlü şifrelenmiş bağlantılar üzerinden güvenli bir şekilde erişilirdi. Öte yandan REST API'leri tarayıcılar ve mobil uygulamalar üzerinden erişim için tasarlanmıştır. Örneğin, bir mobil kullanıcı telefonunda bir havayolu rezervasyonu yaptığında, bir REST API kullanıcının talimatlarını havayolunun arka uç uygulamalarına iletir ve yanıtı kullanıcıya geri iletir.
Siber suçlular, REST API'lerini istismar etmek için web uygulamalarını bozmak için aynı araçları kullanırlar. En az ayrıcalıklı veri erişimi ve sunucu tarafı veri doğrulaması gibi köklü güvenlik uygulamaları bu nedenle web uygulamaları için olduğu kadar API'ler için de kritik öneme sahiptir.
Ek olarak, güvenli olmayan REST API'leri arka uç sistemlerdeki işlem güncellemelerine ve diğer önemli verilere doğrudan erişim sağlayabilir. Bu tehdit için temel faktör, işletmelerin genellikle mobil veya web uygulamalarındaki tüm API uç noktalarını tanımlamada ve izlemede başarısız olmaları veya API çağrılarını doğrulamak ve doğrulamak için yeterli kontrolleri uygulamamalarıdır. Bu tür izlenmeyen uç noktalar, işletmeleri yetkisiz erişim ve veri ifşası riskine maruz bırakabilir.
Carielli, "API'lerin çeşitli uygulama verilerini ve işlevselliğini kuruluş dışındaki geliştiricilere sunmaya yaradığını unutmayın" diyor . "API uç noktalarına API'yi çağıran herkes dışarıdan erişebildiğinden, hassas bilgiler döndüren bir sahte uç nokta yüksek risklidir."
Üretim API'lerindeki güvenlik açıkları da yaygın bir güvenlik endişesidir. Salt Security anketine göre , kuruluşlar "sola kaydırma" prensiplerini uygulasa ve güvenlik kontrollerini uygulama geliştirme yaşam döngüsüne daha erken entegre etse de, güvenlik taktiklerini çalışma zamanı güvenliğiyle desteklemiyor.
Salt Security'nin anketi , bu tehditlere rağmen birçok kuruluşun soruna sağlam bir şekilde yaklaşmada başarısız olduğunu da gösteriyor: Dörtte birinden fazlası (%27) API güvenliğiyle başa çıkmak için hiçbir stratejilerinin olmadığını kabul etti ve %54'ü stratejilerini en iyi ihtimalle temel olarak tanımladı. %83'ü API envanterleri hakkında emin olmadıklarını kabul etti ve %82'si PII, kart sahibi verileri ve diğer hassas bilgileri ifşa eden API'ler hakkındaki bilgilerine güvenmediklerini belirtti.
Ayrıca, beşte birinden fazlası, hangi API'lerinin kişisel olarak tanımlanabilir bilgileri ifşa ettiğini bilmelerinin bir yolu olmadığını kabul etti ve birçoğu, en büyük endişelerinin ağdaki güncelliğini yitirmiş ve zombi API'lerin yaygınlığı olduğunu söyledi.
Güvenlik firması Salt Security tarafından yapılan bir diğer araştırma , ankete katılan kuruluşların %91'inin 2020 yılında API ile ilgili bir sorun yaşadığını gösteriyor. Yarısından fazlası (%54) API'lerinde güvenlik açıkları bulduğunu bildirirken, %46'sı kimlik doğrulama sorunlarına işaret etti ve %20'si botlar ve veri toplama araçlarının neden olduğu sorunları tanımladı.
Güvenli olmayan API'lerin temel kaynakları
API'leri çevreleyen güvenlik sorunlarının çoğu, erken dönem SOAP mesajlaşma protokolü tabanlı API'lerden günümüzün REST API'lerine geçişle ilgilidir .
SOAP API'lerine genellikle VPN'ler veya iki yönlü şifrelenmiş bağlantılar üzerinden güvenli bir şekilde erişilirdi. Öte yandan REST API'leri tarayıcılar ve mobil uygulamalar üzerinden erişim için tasarlanmıştır. Örneğin, bir mobil kullanıcı telefonunda bir havayolu rezervasyonu yaptığında, bir REST API kullanıcının talimatlarını havayolunun arka uç uygulamalarına iletir ve yanıtı kullanıcıya geri iletir.
Siber suçlular, REST API'lerini istismar etmek için web uygulamalarını bozmak için aynı araçları kullanırlar. En az ayrıcalıklı veri erişimi ve sunucu tarafı veri doğrulaması gibi köklü güvenlik uygulamaları bu nedenle web uygulamaları için olduğu kadar API'ler için de kritik öneme sahiptir.
Ek olarak, güvenli olmayan REST API'leri arka uç sistemlerdeki işlem güncellemelerine ve diğer önemli verilere doğrudan erişim sağlayabilir. Bu tehdit için temel faktör, işletmelerin genellikle mobil veya web uygulamalarındaki tüm API uç noktalarını tanımlamada ve izlemede başarısız olmaları veya API çağrılarını doğrulamak ve doğrulamak için yeterli kontrolleri uygulamamalarıdır. Bu tür izlenmeyen uç noktalar, işletmeleri yetkisiz erişim ve veri ifşası riskine maruz bırakabilir.
Carielli, "API'lerin çeşitli uygulama verilerini ve işlevselliğini kuruluş dışındaki geliştiricilere sunmaya yaradığını unutmayın" diyor . "API uç noktalarına API'yi çağıran herkes dışarıdan erişebildiğinden, hassas bilgiler döndüren bir sahte uç nokta yüksek risklidir."
Üretim API'lerindeki güvenlik açıkları da yaygın bir güvenlik endişesidir. Salt Security anketine göre , kuruluşlar "sola kaydırma" prensiplerini uygulasa ve güvenlik kontrollerini uygulama geliştirme yaşam döngüsüne daha erken entegre etse de, güvenlik taktiklerini çalışma zamanı güvenliğiyle desteklemiyor.
Salt Security'nin anketi , bu tehditlere rağmen birçok kuruluşun soruna sağlam bir şekilde yaklaşmada başarısız olduğunu da gösteriyor: Dörtte birinden fazlası (%27) API güvenliğiyle başa çıkmak için hiçbir stratejilerinin olmadığını kabul etti ve %54'ü stratejilerini en iyi ihtimalle temel olarak tanımladı. %83'ü API envanterleri hakkında emin olmadıklarını kabul etti ve %82'si PII, kart sahibi verileri ve diğer hassas bilgileri ifşa eden API'ler hakkındaki bilgilerine güvenmediklerini belirtti.
Ayrıca, beşte birinden fazlası, hangi API'lerinin kişisel olarak tanımlanabilir bilgileri ifşa ettiğini bilmelerinin bir yolu olmadığını kabul etti ve birçoğu, en büyük endişelerinin ağdaki güncelliğini yitirmiş ve zombi API'lerin yaygınlığı olduğunu söyledi.