Günler ilerledikçe 2023 yılının sonuna yaklaşırken, Uygulama Programlama Arayüzleri (API) konusunda güvenliği sağlamanın kritik önemini ve bu alanın siber saldırılar karşısında ne kadar hassas bir nokta olduğunu hassasiyetle vurgulamanın gerekliliği daha da belirginleşmektedir.
Artan siber tehditler doğrultusunda, API güvenliği şimdiye kadar varsayılandan çok daha büyük bir öncelik kazanmış durumdadır. İşletmeler, bu duruma çok hızlı bir tepki vermek zorundalar, bu yüzden Bilgi Güvenliği Yöneticileri ve yazılım geliştirme ekipleri, sağlam bir bilgi teknolojisi altyapısının temellerini derhal atmalı ve bunun için özel ve özgün bir güvenlik stratejisi geliştirmelidir.
Bildiğimiz üzere “Dijital dönüşümün başarısı”, veri akışının kesintisizliği de dahil olmak üzere pek çok faktöre bağlıdır. Akıcı bilgi transferi, şirketlerin iş süreçlerini ve servislerini iyileştirmelerine, yenilikçi iş modelleri oluşturmalarına ve dolayısıyla değer yaratma potansiyellerini maksimize etmelerine olanak tanır. Bu noktada API’ler devreye girer, firmaları müşteriler, tedarikçiler ve çalışanlarla etkileşime sokar. Sosyal medya, haritalama veya veri işleme servisleri olsun, hedef her zaman bilgi alışverişini güvenliğin sürdürülebilirliği ile, kesintisiz kılmaktır.
Bulut teknolojilerindeki özgün gelişmeler sayesinde, API’lerin gelişimi ve yaygınlaşması hız kazanmış ve artmaktadır. Veriler, özel olarak tasarlanmış bulut depolama ve veri ambarlarında saklanmakta, analiz edilmekte ve yorumlanmaktadır. Bugün, verilerin özellikle kişisel bilgilerin ortaya çıkarılmasına imkân tanıdığı ve dolayısıyla değerli hale geldiği iyi bilinmektedir. Bu durum, API’lere yönelik siber saldırıların sayısının sürekli artmasına yol açmıştır. Saldırıların karmaşıklığı ve sıklığı da çoğalmaktadır. 2021’de API saldırılarında % 681’lik bir artış gözlemlenmiş ve yapılan anketlere katılan şirketlerin %95’i kendilerine bu tür saldırıların yapıldığını belirtmişlerdir.
Web API’leri, özellikle güncellemeler sırasında güvenlik açıkları için oldukça savunmasız kabul edilir. Güvenlik taramaları olası açıkları bulmak için yapılır ancak bu taramaların yavaş çalışma eğilimi tüm güvenlik risklerini zamanında yakalamasını engeller. Yazılım geliştirme ekipleri genellikle bu tür güvenlik denetimlerini kendileri yapacak kaynaklara sahip olamazlar, ve onlardan kodlamaya odaklanmaları beklenir. Ayrıca, API arayüzleri, özellikle bulut tabanlı güncellemeler sırasında sınırlı dahili erişime sahipken dış tehditlere karşı son derece savunmasızdır. Özellikle hizmet reddi saldırıları (DDoS), kısa sürede yüksek sayıda istekle sunucuları çökertmeyi hedefler.
API’lerin korunması, 2021’de ciddi bir sorun olarak ortaya çıktı ve son iki yıl içinde de durum değişmedi. Saldırı sayısı yüksek kalmaya devam ediyor ve şirketler bu zafiyetin farkındalar. 2022’de Axway tarafından yapılan bir araştırmaya göre, şirketlerin %68’i, önümüzdeki yıllarda API’lerin kontrolsüz bir şekilde artmasından ve bu durumun çok daha büyük bir siber saldırı riskine yol açmasından endişe duyuyor.
API güvenliğinin artık en önemli önceliklerden biri olduğu açıktır. Bu nedenle Siber Güvenlik ekipleri yazılım geliştirme ekipleriyle yakın iş birliği yaparak güvenli bir BT altyapısının temellerini atmaya ve bir güvenlik stratejisi geliştirmeye çağrılıyor.
Bu bağlamda aşağıda sıraladığımız dört konu öncelik kazanıyor.
1. Saldırı yüzeyi yönetimi aracılığıyla tüm API’lerin envanterini çıkarmak.
2. Yazılım Geliştirme Yaşam Döngüsünde (SDLC) güvenlik önlemlerine uymak.
3. API kullanımını izlemek ve önlemleri uygulamak.
4. AppSec Orkestrasyonu Düzenleme ve Duruş Yönetimi platformu kullanmak
Şirketler, dijital dönüşüm başarılarının neden olduğu çatışmaların farkında olmalarına rağmen aksiyon almada yavaş davranmaktalar. Bir yandan artan veri alışverişi ve değer yaratma potansiyeli, diğer yandan artan veri hacimleri ve güvenlik boşlukları…
Güvenlik ekiplerinin, tüm güvenlik verilerini tek bir merkezden birleştirerek, orkestrasyon, otomasyon ve güvenlik açığı yönetimi yetenekleriyle güvenlik açıklarının daha hızlı önceliklendirilmesine ve iyileştirilmesine olanak tanıyarak genel güvenlik duruşuna ilişkin anında görünürlük elde etmesine yardımcı olan modern bir AppSec Düzenleme ve Duruş Yönetimi platformu gerekiyor.
Güvenlik açığı yönetiminde yer alan birden fazla paydaşı içeren kapsayıcı yaklaşımlar güvenlik açıklarının daha hızlı iyileştirilmesi için güvenlik ve yazılım geliştirme ekipleri arasındaki iş birliğini de geliştiriyor. Güvenlik ekipleri, yazılım geliştiricilerini önceliklendirme ve iyileştirme sürecine dahil ederken, tüm süreci kolaylıkla denetleyebilir ve gerekli aksiyonların zamanında alındığından emin olabilirler.
Cüneyt Kalpakoğlu
Founder & Chairman
Endpoint Bilgi Teknolojileri Güvenliği ArGe A.Ş – 2023
Kaynakça :
– API GÜVENLİĞİNDE RİSKLER VE ÖTESİ Cüneyt KALPAKOĞLU https://www.linkedin.com/posts/c%C3%BCneyt-kalpakoglu-5173403_activity-6995106491204530176-csrG?utm_source=share&utm_medium=member_desktop
– security-insider.de/Policies für API-Cybersecurity Drei Maßnahmen für mehr API-Sicherheit , Tristan Kalos
– API RİSKLERİNİN FARKINDA MISINIZ ? Cüneyt KALPAKOĞLU https://www.linkedin.com/posts/c%C3%BCneyt-kalpakoglu-5173403_apisecurity-appsecurity-sast-activity-6988246240454946816-gnXu?utm_source=share&utm_medium=member_desktop