Gün geçtikçe API saldırılarındaki hızlı ve kontrol edilemeyen artış ve buna önlem almak için yapılan Güvenlik çözümleri gündeme geldiğinde, Siber saldırganların botlarını engelleme işlemleri ve API güvenliği çözümlerinin sanki birbirleriyle ilişkisi yokmuş gibi kafa karışıklığına sebep olduğuna şahit oluyoruz. Gerçekçi açıdan değerlendirilirse , API’ler ve botların ayrılmaz bir şekilde birbiriyle ilişkili olduğu anlaşılacaktır.
Çok doğal olarak yazılım geliştiricilerin API’ler hakkında önemli avantaj gördüğü özellikler (esneklik, kullanım kolaylığı,hız, vb) bulunuyor. Unutmamak gerekir ki bu özellikler; istismar edilecek kod açıklarını bulan ya da kusursuz kodlanmış yazılımları API’lere saldırmak için bot kullanan veya her ikisini hibrit olarak kullanabilen siber saldırganlar için de aynı şekilde geçerlidir.
Gerek düzgün kodlanmış yazılımları gerekse hatalı API’lere nasıl saldırılabileceğini tam olarak anlamadığımız sürece, kusursuz API korumasından söz etmek olası değildir.
Başarı, bir riskin nasıl keşfedildiğini, saldırganların bundan yararlanmak için kullandıkları taktikleri, araçlarını ve prosedürleri ve saldırganların yapılan savunmalara nasıl tepki vereceğini iyi tahmin ederek anlamaktan ve siber güvenlik önlemlerini çoğaltmaktan geçiyor.
Hedefimiz yalnızca API’lerin öncelikle “OWASP API Security Top 10” uyumluğundan emin olmakla değil, aynı zamanda mükemmel şekilde kodlanmış bir API’nin yapabileceği birçok farklı yolu kapsayan bir kategori olan “API10+” olarak tanımlanabilecek detayları da çok iyi kavramak ve bilmek olmalıdır.
1- CQ Prime Tehdit Araştırması ekibi tarafından geliştirilen rapora göre, 2022’nin ilk yarısında gözlemlenen 20 milyardan fazla API ler günümüzde kurumları rahatsız eden en önemli Siber tehditlerin başında geliyor.
2- Gözlemlenen 16,7 milyar kötü amaçlı istem (request) içinde yaklaşık 5 milyarı (%31), (Shadow API = Gölge API’ler) olarak adlandırılan, hedeflenen bilinmeyen, yönetilmeyen ve korunmayan API’lerden oluşmaktaydı.
3- CQ Prime Tehdit Araştırması ekibince farkedilerek engellenen 3,6 milyar saldırıya dayanarak, 2022’nin ilk yarısında azaltılan ikinci en büyük API güvenlik tehdidi, siber saldırganların uygun şekilde kodlanmış ve envantere alınmış API’leri hedeflediği saldırılardı.. Engellenebilen en yaygın saldırılar, saldırganların stratejileri hakkında bize fikir veriyor…
~ Spor ayakkabıları veya lüks ürünleri hedefleyen 3 milyar alışveriş botu, ~ 290 milyon hediye kartı ( Gift Card ) yoklama saldırısı. ~ Popüler flört ve alışveriş uygulamalarında yaklaşık 237 milyon sahte hesap oluşturulmaya çalışılması,
Bunları ötesinde en ciddi tehdidin “Kimlik Bilgileri Doldurma, Gölge API’ler ve Hassas Verilere Maruz Kalma” üçlüsünün birlikte kullanılmasına dikkat çekiliyor.
100 milyon saldırıya dayalı olarak, API2 (Broken User Authentication), API3 (Excessive Data Exposure) ve API9 (Improper Assets management) birlikte kullanımı iki şeyi ifade eder: saldırganlar her bir API’nin nasıl çalıştığına ve her biri ile nasıl etkileşime girdiğine dair ayrıntılı analizler yapıyor.
Dikkat çekmek istediğimiz şey yazılım geliştiricilerin API kodlamalarında her zamankinden daha çok dikkatli ve tetikte olmaları, API’leri de ayrıca mutlaka güvenlik testinden geçirmeleri gereğidir.
Kaynaklar: https://www.darkreading.com/, https://www.cequence.ai/ , Salt Security State of API Security Report Q3 2022