API Güvenlik Trendleri 2023 – Kuruluşlar Güvenlik Duruşlarını İyileştirdi mi? - Dünyadan Güncel Teknoloji Haberleri

API Güvenlik Trendleri 2023 – Kuruluşlar Güvenlik Duruşlarını İyileştirdi mi? - Dünyadan Güncel Teknoloji Haberleri
Ancak bir kuruluşun benzersiz uygulama iş akışına özgü iş mantığı kusurlarıyla ilişkili potansiyel riskleri gözden kaçırabilirler Kuruluşlar API güvenliğini nasıl ele alıyor?

API’lerin sunduğu benzersiz güvenlik teklifini kaç kuruluşun gerçekten anladığı hakkında bir fikir edinmek amacıyla ikinci yıllık anketimizi gerçekleştirdik Ne yazık ki, yalnızca bu teknolojilere güvenmek bir kuruluşun API’lerinin genel güvenlik duruşunda boşluklar bırakabilir Birçok kuruluş, birden fazla API’nin birbiriyle sorunsuz bir şekilde etkileşime girdiği üçüncü taraf entegrasyonlarına ve mikro hizmet mimarisine güveniyor Amacımız API’ye özgü saldırılardan kaç kuruluşun etkilendiğini, nasıl saldırıya uğradıklarını, nasıl hazırlandıklarını veya hazırlıklı olup olmadıklarını ve sonuç olarak yanıt olarak ne yaptıklarını belirlemekti Kuruluşlar, müşteri verilerinin sızdırılması veya hizmetlerin aksaması nedeniyle oluşan yasal yükümlülükler ve itibar kaybı nedeniyle mali kayıplarla karşı karşıya kalabilmektedir Bu karmaşık ağdaki tek bir API’nin bile güvenliği ihlal edilirse, saldırganların birbirine bağlı sistemlerdeki güvenlik açıklarından yararlanmasına kapı açılır






siber-2

Bu tür saldırılara karşı korunmak, temel iş süreçlerinin daha derinlemesine anlaşılmasını ve API kodunun kendisinde özel güvenlik önlemlerinin uygulanmasını gerektirir
  • Yetersiz tehdit istihbaratı: Hem API ağ geçitleri hem de WAF’ler, bilinen saldırı modellerini etkili bir şekilde tespit etmek için önceden tanımlanmış kural kümelerine veya imzalara dayanır Örneğin, yetkisiz erişim elde etmek veya kullanıcılar hakkındaki hassas bilgileri çıkarmak için isteklere kötü amaçlı kod enjeksiyonundan yararlanabilir veya bir API uç noktasından gelen yanıtları manipüle edebilirler

    Siber güvenlik profesyonellerinin %78’i geçtiğimiz yıl bir API güvenlik olayıyla karşılaştı! Sektörünüz nasıl gidiyor? Yeni teknik incelememizde şunları öğrenin: API Güvenlik Bağlantısının Kesilmesi 2023

    API ihlallerinin yükselişi

    Bir API ihlalinin sonuçları hem işletmeler hem de tüketiciler için ciddi olabilir Yanıt verenlerin neredeyse dörtte üçü (%72) tam bir API envanterine sahip ancak bunların yalnızca %40’ı hassas verileri döndüren görünürlüğe sahip

    Dahası, bilgisayar korsanları özellikle API’lerdeki zayıflıkları hedef alan karmaşık teknikler geliştirdiler Geliştiricilere harici hizmetlerle etkileşimde bulunabilecekleri bir arayüz sağlayarak çeşitli işlevleri kendi uygulamalarına entegre etmelerine olanak tanır Tek bir istemciden gelen dakika başına aşırı istekler veya beklenmeyen veri erişim girişimleri gibi anormalliklerin tespit edilmesi, API’ye özgü tehditleri kapsamlı bir şekilde izlemek için özel olarak tasarlanmış araçlar ve teknikler gerektirir Araştırmayı incelemek ilginizi çekiyorsa, raporun tamamını buradan indirin Bu, güçlü kodlama uygulamalarına, güvenli tasarım ilkelerine ve güvenlik açıklarını erkenden tespit eden yazılım testlerine olan ihtiyacı vurgulamaktadır

  • Veri düzeyinde şifreleme sınırlamaları: SSL/TLS şifrelemesi, API’ler aracılığıyla istemciler ve sunucular arasında veri aktarımı sırasında çok önemli olsa da, arka uç sistemlerin kendisinde bekleyen verileri her zaman korumaz ve tüm veri akışı hattı boyunca uçtan uca şifrelemeyi garanti etmez API ihlallerinin artmasının ana nedenlerinden biri, geliştiriciler ve kuruluşlar tarafından uygulanan yetersiz güvenlik önlemleridir
  • Koruyucu katmanlara ulaşmadan önce güvenlik açığından yararlanma: Saldırganlar, trafik API ağ geçidine veya WAF’a ulaşmadan önce API’lerde bir güvenlik açığı bulurlarsa, bu güvenlik önlemleri tarafından tespit edilmeden doğrudan bu güvenlik açığından yararlanabilirler

    Ancak bu buzdağının sadece görünen kısmı; bu raporun ortaya çıkardığı çok daha fazlası var API Güvenlik Trendleri 2023 Rapor, altı sektördeki ABD ve İngiltere’den 600’ün üzerinde CIO, CISO, CTO ve üst düzey güvenlik uzmanından alınan anket verilerini içeriyor API ağ geçitlerinin ve WAF’lerin tek başına yetersiz kalmasının bazı nedenleri şunlardır:

    1. Ayrıntılı erişim kontrolünün eksikliği: API ağ geçitleri temel kimlik doğrulama ve yetkilendirme yetenekleri sunsa da karmaşık senaryolar için gereken ayrıntılı erişim kontrolünü sağlayamayabilirler

      Bu nedenlerden dolayı, modern yazılım ekosistemlerinin birbirine bağlı yapısı nedeniyle API güvenliğinin sağlanması şarttır

      Ancak çoğu kuruluş, koruma için API ağ geçitleri ve web uygulaması güvenlik duvarları (WAF’ler) gibi mevcut altyapılarına yöneliyor Son yıllarda API ihlallerinin artması siber güvenlik dünyasında giderek artan bir endişe haline geldi Müşteriler, kimlik hırsızlığına veya diğer dolandırıcılık biçimlerine yol açabilecek kişisel bilgilerinin açığa çıkması riskiyle karşı karşıyadır Ancak ortaya çıkan tehditler veya sıfır gün güvenlik açıkları, yeni kurallar satıcılar tarafından güncellenene veya geliştiriciler/yöneticiler tarafından manuel olarak uygulanana kadar önceden yapılandırılmış bu savunmaları atlayabilir

    2. API’ye özgü tehditlere ilişkin görünürlük eksikliği: API ağ geçitleri ve WAF’ler, belirli API davranışlarını veya kötüye kullanım modellerini hedef alan saldırılara ilişkin ayrıntılı bilgiler sağlayamayabilir
    3. İş mantığı saldırılarına karşı yetersiz koruma: Geleneksel WAF’ler temel olarak enjeksiyon saldırıları veya siteler arası komut dosyası çalıştırma (XSS) gibi yaygın güvenlik açıklarına karşı korumaya odaklanır Ve bu gerçek nedeniyle %81’i API güvenliğinin 12 ay öncesine göre artık daha öncelikli olduğunu söylüyor

      Raporda dikkat çeken veri noktalarından bazıları arasında siber güvenlik ekiplerinin %78’inin son 12 ay içinde API ile ilgili bir güvenlik olayı yaşadıklarını söylemesi yer alıyor

      Ancak API’lere olan bu artan bağımlılık, onları siber suçlular için de çekici hedefler haline getirdi API’ler genellikle kullanıcı rolleri veya belirli kaynak izinleri gibi faktörlere dayalı olarak daha karmaşık kontroller gerektirir


      03 Eki 2023Hacker HaberleriAPI Güvenliği / Veri Güvenliği

      Uygulama programlama arayüzleri olarak da bilinen API’ler, modern yazılım uygulamalarının omurgasını görevi görerek farklı sistem ve platformlar arasında kesintisiz iletişim ve veri alışverişine olanak tanır Çoğu API’nin güvenliği uygun şekilde sağlanmadığından saldırılara karşı savunmasız kalır