Yeni Veriler Bilinmeyen Risk Hakkında Neleri Ortaya Çıkarıyor? - Dünyadan Güncel Teknoloji Haberleri

Yeni Veriler Bilinmeyen Risk Hakkında Neleri Ortaya Çıkarıyor? - Dünyadan Güncel Teknoloji Haberleri
Her API için bir güvenlik riski profiline sahip olmanın önemi sorulduğunda yanıtlar geniş bir yelpazeye yayılıyor Bu karmaşıklığın altını çizen araştırmaya katılanların %58’i, API’lerin tüm teknoloji yığınındaki saldırı yüzeyini tartışmasız şekilde güçlendirdiği konusunda hemfikir

API’ler: Saldırı Yüzeyini Genişletme

API’lerin çoğalması, potansiyel güvenlik açıklarının ve saldırı vektörlerinin kapsamını önemli ölçüde genişletiyor Bu kadar kapsamlı bir dijital temas noktaları ağı kaçınılmaz olarak saldırı yüzeyini genişletiyor

  • API türlerindeki çeşitlilik: Bu, iş ortaklarına açık, üçüncü taraf ve diğer API türlerinden oluşan bir yelpazeye sahip, karmaşık bir dijital dokudur Hem kurumsal hem de start-up alanlarında C düzeyinde bir yönetici olarak geniş deneyime sahip olan Richard, siber güvenlik, veri gizliliği, kimlik ve sıfır güven konularındaki uzmanlığıyla dünya çapında tanınmaktadır Katılımcıların %27’si API güvenlik profili oluşturmaya en yüksek önceliği verirken, önemli bir kısmı potansiyel olarak dijital çerçevelerinde gizlenen gizli tehditlerden habersiz kalıyor

    Bilinmeyen Risklerin Çözümü

    Araştırmanın bulgularında öne çıkan temel sorun bilinmeyen risk meselesidir



    siber-1

    500’den fazla bulut uygulamasını devreye alıyor ve bu da yüksek düzeyde dijital bağımlılık ve bağlantıya işaret ediyor 629 katılımcının görüşlerini topladı Üretken bir açılış konuşmacısı olarak siber güvenlik gerçeklerini iş zorunluluklarıyla uyumlu hale getirme konusunda uzmandır Veriler endişe verici: Kuruluşların %74’ü son iki yılda API ile ilgili en az üç veri ihlaliyle karşılaştı

  • API riskiyle ilgili çeşitli algılar: Endüstrinin API ile ilgili risk algısı büyük ölçüde farklılık göstermektedir Bu API’lerin risk profilleri değişebilir API güvenliğine öncelik verilmesini engelleyen faktörler sorulduğunda, %49’u yönetimin riski hafife aldığını belirtirken, %37’si tehdit azaltma tedbirlerini anlamakta zorluk çekti

    Bu çalışma, 100’den fazla ülke ve altı büyük sektörden 1 Bu, artan ihlallerdeki rahatsız edici eğilimi vurgulayan bir uyandırma çağrısı görevi görüyor Bu dağınık duruş, endüstrinin API riskini tutarsız bir şekilde anladığını ve kabul ettiğini vurguluyor ve birçok kuruluşun dijital zırhında potansiyel bir çatlağın sinyalini veriyor CyberTheory Zero Trust Enstitüsü Kıdemli Üyesi ve Forbes Teknoloji Konseyi üyesi olan Richard’ın görüşleri genellikle Wall Street Journal, CNBC ve CNN gibi önde gelen medya kuruluşlarında yer alıyor


    Hızla gelişen dijital ortam, büyük ölçüde bulut uygulamalarının yaygınlaşması nedeniyle kuruluşlara zengin yetenekler kazandırdı

    Bu geniş dijital manzara çok büyük bir potansiyele işaret ediyor, ancak hiç kimse onun sunduğu kapsamlı saldırı yüzeyini küçümsememeli 500’den fazla bulut uygulaması kullanıyor ve binlerce API’yi yönetiyor Kuruluşların %40’ı API’lerini güvenlik açıklarına karşı yalnızca aralıklı olarak test ettiğinden, pek çok potansiyel tehdit radarın altında kalıyor Eş zamanlı olarak kuruluşların %88’i 2 API ihlallerindeki artışa rağmen kuruluşların %40’ı sürekli olarak API’lerinin yalnızca bir kısmını güvenlik açıklarına karşı test ediyor En endişe verici olanı, bunu ihmal edilebilir olarak gören yüzde sekizdir

    API’lerin kurumsal altyapılardaki rolü büyümeye devam ettikçe, ilişkili bilinmeyen riskler görünmez bir tehdit haline geliyor Veriler durumun ciddiyetini vurguluyor: API ile ilgili saldırıların yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir; bu da saldırganların çoğunluğunun bilinmeyen riskten yararlandığını gösteriyor Araştırmaya göre yanıt verenlerin %58’i, API’lerin tüm teknoloji katmanlarında saldırı yüzeyini her zaman genişlettiğine ya kesinlikle katılıyor ya da katılıyor Ancak bu nimetle birlikte potansiyel bir bela da geliyor: Kuruluşların tam olarak takdir edemeyebileceği, hatta fark edemeyebileceği bilinmeyen riskler Bu yalnızca daha fazla API’yi yönetmekle ilgili değil; kör noktaların nerede olduğunu anlamak ve bunlara proaktif bir şekilde değinmekle ilgilidir

  • Bilinmeyeni Yorumlamak

    Bilinmeyen risk sorununun özü, yalnızca API’lerin karşılaşabileceği somut tehditlerle ilgili değil, aynı zamanda kuruluşların bu tehditleri etkili bir şekilde tanımasını ve ele almasını engelleyen somut olmayan engellerle de ilgilidir Yanıt verenlerin %52’si buna öncelik verilmesinin gerekliliğini kabul ederken, neredeyse buna eşdeğer olan %47’lik bir kesim bunun düşük ila orta derecede önemli olduğunu düşünüyor

  • Bilinmeyen risk ve genişleyen saldırı yüzeyi: Bilinmeyen risk kavramı, doğası gereği genişleyen API ortamına bağlıdır Bu birkaç nedenden dolayı kritiktir:

    1. Çok sayıda API’ler: Rakamları düşünün; kuruluşların %88’i 2 Bu potansiyel gözetim, saldırıların önlenmesinde yalnızca %26’lık bir güven düzeyine yol açarken, API saldırılarının yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir Kuruluşlar, işlevleri genişletmek için rutin olarak üçüncü taraf API’leri entegre eder ve her entegrasyon, titiz inceleme gerektiren yeni bir potansiyel saldırı vektörünü temsil eder Şaşırtıcı bir şekilde, kuruluşların yalnızca %27’si her API için bir güvenlik riski profiline sahip olmaya çok yüksek öncelik veriyor ve bu da risk değerlendirmesinde olası bir gözetimin altını çiziyor

      yazar hakkında

      Richard Bird, Traceable’da Baş Güvenlik Görevlisi olarak görev yapıyor Bu, dahili olarak geliştirilen API’lerle sınırlı değildir Geniş bir kitlenin erişebildiği genel API’ler çok çeşitli saldırı vektörlerine açık olabilir; genellikle güvenli olarak algılanan dahili API’ler ise içeriden gelen tehditlere karşı savunmasız olabilir Bu iki yönlü bir zorluktur: Birincisi, kuruluşları potansiyel riskler konusunda bilinçlendirmek, ikincisi ise onları bu riskleri azaltacak araçlar, bilgi ve kaynaklarla donatmak Risk değerlendirmesinin hacmi, çeşitliliği ve sıklığı arasındaki bu bağlantı, birçok kuruluşun en büyük güvenlik açıklarını bulabileceği yerdir Traceable’ın verilerine daha derinlemesine bir bakış “2023 API Güvenliğinin Durumu: Küresel Bulgular“Rapor, bu bilinmeyen risklerin doğasına dair derin bilgiler sağlıyor

      Temel zorluk, birçok kuruluşun API riskinin boyutu konusunda karanlıkta kalmasıdır