Search
Close this search box.
Facebook Linkedin Github

API Güvenliğinin Doğru Şekilde Yapılandırılması

API Güvenliğinin Doğru Şekilde Yapılandırılması

Neden API güvenliğini konuşuyoruz?

Sektörün %92’si geçen yıl güvenli olmayan API’lerle ilgili en az bir güvenlik olayı yaşadı

– ESG

API ihlallerinin 2023 sonuna kadar ikiye katlanacağı tahmin ediliyor

– Gartner

“Bilgisayar korsanları web siteleri dışındaki ikinci odak noktalarının API’ler olduğunu belirtiyor

-HackerOne

Ana Konsept: API Güvenliği Geleneksel Web Uygulaması Güvenliğinden Farklıdır

Farklı Mimari

API’ler tasarım gereği uygulama mantığını doğrudan ortaya çıkarır ve sıklıkla hızla değişir.

Farklı Ataklar

API saldırıları çoğunlukla beklenmeyen isteklerde bulunulması ve kaynaklara yönelik yetkilendirmenin kapsamına ilişkin başarısızlıklarla ilgilidir.

Farklı Savunma

WAF’lar gibi geleneksel kural tabanlı savunmalar, mantık tabanlı saldırıları ne tespit edebilir ne de bunlara karşı savunma yapabilir.

“WAF’ler web uygulamalarınızı korumak için oluşturulmuştur ancak mantık tabanlı saldırılara karşı koruma sağlamaz..”

-OWASP

2025’e Yaklaşırken En Büyük 5 API Güvenliği Sorunu

Mülkiyetin Belirlenmesi

Program, Ürün ve API Düzeyi; Kimin sorumluluğunda?

Görünürlük Sağlanması

Saldırı yüzeyi 101: Göremediğiniz şeyi koruyamazsınız.

Mantık Tabanlı Araçların Kullanımı

Geleneksel araçlar modern API saldırıları için tasarlanmamıştır

API Geliştirme Hızı

API kullanımının hızlı bir şekilde benimsenmesi ve uygulamaya alınması, güvenlik önlemlerinin önüne geçmemeli.

Uyumluluk

API güvenliği için gerekli özenin gösterilmesi.

Kendimize Sormamız Gerekli Olan Kritik Sorular

  1. Şirketimizin API güvenliği kimin elinde?
  2. API’lerimize atanmış sorumlular var mı?
  3. Gelirimizin ne kadarı API’lerden geliyor?
  4. Kaç tane API’miz var?
  5. Bunlardan kaçı aktif olarak kullanılıyor, kaçı atıl durumda?
  6. Bunlardan kaçı en yaygın 10 API sorununa karşı savunmasız?
  7. Sızma testlerimiz API güvenlik açıklarını ve üretimdeki iş mantığına yönelik saldırıları yeterince kapsıyor mu?
  8. Hangi API’lerimiz yasal veya mevzuat uyumluluğuna tabidir?
  9. Kötü niyetli bir trafik görüyor muyuz? Hangi API’lerde?
  10. Genel API güvenlik riskimiz nedir? Geçen yılın bu zamanlarına göre iyileşme mi yoksa kötüleşme mi var?
  11. Diğerlerine göre daha fazla API sorunu üreten geliştirme ekipleri var mı? API güvenliği sorunları konusunda nasıl eğitiliyorlar ve geri bildirim alıyorlar?
  12. Üretime geçmeden önce kod ve API değişiklikleri için bir inceleme süreci var mı?
  13. API’lerimizde tespit edilen güvenlik olaylarına ilişkin uyarıları kim alıyor?
  14. Üretim API’lerimizden birine BOLA vb. saldırılar tespit edildiğinde dakika cinsinden ortalama yanıt süresi nedir?

Nereden Başlamalıyım?

1. Envanter ve Saldırı Yüzeyi Haritalaması

Saldırı yüzeyinizi takip etmeyerek savunmanızı imkansız hale getiriyorsunuz.

Başlangıç:

  • Manuel yöntemler ve temel belgeler kullanılarak tüm API’lerin envanterinin çıkarılması. Bilinen API’ler ve belgeler açısından bugün elimizde ne var?
  • Sonuç: Kuruluşu bu bilgiler doğrultusunda saldırı yüzeyine ve genel riske hazırlamak için görünürlük sağlamak..

Asgari:

API’leri ve ilgili riskleri bulmak için otomasyon yardımı ile düzenli olarak manuel denetlemek.

Hedef:

  • Sürekli, gerçek zamanlı API keşfi ve güvenlik açıklarının, risklerin, değişikliklerin ve iş sonuçlarının analizi.
  • Uygun API’lerin ve uç noktaların periyodik penetrasyon testlerine dahil edilmesi.

2. Kimlik Doğrulama ve Yetkilendirme

Kimlik doğrulama ve yetkilendirme için tutarlı gereksinimlerin belirlenmesi;  API’leriniz için ilk saldırı ve savunma hattı.

Başlangıç: 

  • Mevcut kimlik doğrulama ve yetkilendirme yöntemlerinizi ve kontrollerinizi anlayın
  • API Anahtarları, JWT’ler, Oauth 2.0, OIDC vb. kullanıyor musunuz? Geliştiriciler için standartlarınız ve rehberliğiniz var mı?

Asgari:

Uygun olduğu durumlarda OAuth 2.0, OIDC ve RBAC dahil olmak üzere risk ve kritikliğe dayalı olarak API’lere hedef kimlik doğrulama ve yetkilendirme yöntemlerinin uygulanması.

Hedef:

  • Beklenen kimlik doğrulama (authn & authz) uygulamalarındaki değişiklikler için API’lerin ve uç noktaların sürekli olarak izlenmesi. Beklenen durumdan sapmalar konusunda uyarı verilmesi. 
  • Gerçek zamanlı korumalar uygulanması ve sapmalar ve saldırılar konusunda uyarı verilmesi.

3.Veri İşleme, Suistimale Karşı İzleme ve Önlemler

Loglama, kaynak koruması ve uyarı mekanizmaları için kör noktaların tespit edilmesi. OWASP API Top 10 başlangıç için iyi bir referanstır ancak her şeyi kapsamaz.

Başlangıç:

  • Temel hız sınırlamayı, giriş doğrulamayı ve loglamayı uygulayın.
  • Manuel envanterinizle; varlıklarınızı, aktörlerinizi, arayüzlerinizi ve eylemlerinizi tespit edin.
  • API saldırıları için hangi kontrollerin mevcut olması gerektiğini anlamak adına temel tehdit modelleme gerçekleştirin.

Asgari:

  • Kapsamlı sunucu tarafı doğrulama ve sanitizasyon,
  • Davranışa dayalı hız sınırlama, anormallik tespiti ve sayfalandırma,
  • Merkezi ve yapılandırılmış loglama ve uyarı.

Hedef: 

  • CI/CD süreçlerinin bir parçası olarak API değişikliklerinin sürekli takibi ve dinamik testi, 
  • uyarı ve otomatik yanıt için WAF, SIEM, SOAR ile entegre gelişmiş API izleme.

4. Uyumluluk: Durum Tespiti ve Gerekli Dikkatin Gösterilmesi

2024, API uyumluluğu açısından çılgınca bir tempoda olacak; 2024’ün ikinci yarısına kadar bekleyen şirketler, sektör genelindeki son teslim tarihlerini karşılamak için acele eden herkesin arkasında kalabilir!

Başlangıç:

Uyumluluk gereksinimlerinizi ve şirketinizin uyumluluk talimatlarınızla ilgili verilerle veya iş süreçleriyle nasıl etkileşimde bulunduğunu anlayın.

Asgari:

Hassas veri hareketi ve kontrolü için aylık, üç aylık veya yıllık bazda (söz konusu kontrole bağlı olarak) manuel, düzenli doğrulama süreçleri.

Hedef:

  • API’lere yönelik veri akışları ve uyumluluk riskleri hakkında gerçek zamanlı görünürlük,
  • PCI, HIPAA, GDPR vb. geçerli uyumluluk çerçevelerine dayalı otomasyon dahilinde testleri

Daha Fazlası: Gartner Tavsiyeleri

  • API’lerinizi keşfedip kategorilere ayırarak başlayın. Risklerinizi azaltmak için gereken belirli güvenlik mekanizmalarını belirlemek amacıyla tehdit modellemesi gerçekleştirin.
  • Mevcut WAAP veya API ağ geçidiniz tarafından sağlanan API korumasını değerlendirin. Risk azaltma işleminiz ek API koruması gerektiriyorsa ek koruma katmanı sağlayabilecek API güvenlik uzmanlarını araştırın.
  • Dahili güvenlik operasyonları (SOC) veya yönetilen bir hizmet kullanılarak davranışsal anormallik tespitinin oluşturabileceği güvenlik analizi iş yüküzü değerlendirin.
  • Aksi takdirde gizli kalabilecek iş mantığı sorunlarını ortaya çıkarmak için uygulama güvenlik testi (AST) veya sızma testi egzersizi gerçekleştirin.

 

Mehmet Türker
Technical Account Manager & Cyber Security Engineer
Endpoint Bilgi Teknolojileri Güvenliği ArGe A.Ş – 2024
LinkedIn