API türlerindeki çeşitlilik: Bu, iş ortaklarına açık, üçüncü taraf ve diğer API türlerinden oluşan bir yelpazeye sahip, karmaşık bir dijital dokudur 500’den fazla bulut uygulamasını devreye alıyor ve bu da yüksek düzeyde dijital bağımlılık ve bağlantıya işaret ediyor Üretken bir açılış konuşmacısı olarak siber güvenlik gerçeklerini iş zorunluluklarıyla uyumlu hale getirme konusunda uzmandır Bu karmaşıklığın altını çizen araştırmaya katılanların %58’i, API’lerin tüm teknoloji yığınındaki saldırı yüzeyini tartışmasız şekilde güçlendirdiği konusunda hemfikir API ihlallerindeki artışa rağmen kuruluşların %40’ı sürekli olarak API’lerinin yalnızca bir kısmını güvenlik açıklarına karşı test ediyor Bu, dahili olarak geliştirilen API’lerle sınırlı değildir Kuruluşlar, işlevleri genişletmek için rutin olarak üçüncü taraf API’leri entegre eder ve her entegrasyon, titiz inceleme gerektiren yeni bir potansiyel saldırı vektörünü temsil eder Bu potansiyel gözetim, saldırıların önlenmesinde yalnızca %26’lık bir güven düzeyine yol açarken, API saldırılarının yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir
Bilinmeyen Risklerin ÇözümüAraştırmanın bulgularında öne çıkan temel sorun bilinmeyen risk meselesidir Kuruluşların %40’ı API’lerini güvenlik açıklarına karşı yalnızca aralıklı olarak test ettiğinden, pek çok potansiyel tehdit radarın altında kalıyor Bu kadar kapsamlı bir dijital temas noktaları ağı kaçınılmaz olarak saldırı yüzeyini genişletiyor Her API için bir güvenlik riski profiline sahip olmanın önemi sorulduğunda yanıtlar geniş bir yelpazeye yayılıyor Traceable’ın verilerine daha derinlemesine bir bakış “2023 API Güvenliğinin Durumu: Küresel Bulgular“Rapor, bu bilinmeyen risklerin doğasına dair derin bilgiler sağlıyor Bu API’lerin risk profilleri değişebilir Yanıt verenlerin %52’si buna öncelik verilmesinin gerekliliğini kabul ederken, neredeyse buna eşdeğer olan %47’lik bir kesim bunun düşük ila orta derecede önemli olduğunu düşünüyor
siber-1
yazar hakkında
Richard Bird, Traceable’da Baş Güvenlik Görevlisi olarak görev yapıyor Veriler durumun ciddiyetini vurguluyor: API ile ilgili saldırıların yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir; bu da saldırganların çoğunluğunun bilinmeyen riskten yararlandığını gösteriyor Şaşırtıcı bir şekilde, kuruluşların yalnızca %27’si her API için bir güvenlik riski profiline sahip olmaya çok yüksek öncelik veriyor ve bu da risk değerlendirmesinde olası bir gözetimin altını çiziyor Veriler endişe verici: Kuruluşların %74’ü son iki yılda API ile ilgili en az üç veri ihlaliyle karşılaştı 629 katılımcının görüşlerini topladı 500’den fazla bulut uygulaması kullanıyor ve binlerce API’yi yönetiyor
Bu çalışma, 100’den fazla ülke ve altı büyük sektörden 1 Geniş bir kitlenin erişebildiği genel API’ler çok çeşitli saldırı vektörlerine açık olabilir; genellikle güvenli olarak algılanan dahili API’ler ise içeriden gelen tehditlere karşı savunmasız olabilir
Bilinmeyen risk sorununun özü, yalnızca API’lerin karşılaşabileceği somut tehditlerle ilgili değil, aynı zamanda kuruluşların bu tehditleri etkili bir şekilde tanımasını ve ele almasını engelleyen somut olmayan engellerle de ilgilidir Risk değerlendirmesinin hacmi, çeşitliliği ve sıklığı arasındaki bu bağlantı, birçok kuruluşun en büyük güvenlik açıklarını bulabileceği yerdir Bu yalnızca daha fazla API’yi yönetmekle ilgili değil; kör noktaların nerede olduğunu anlamak ve bunlara proaktif bir şekilde değinmekle ilgilidir Katılımcıların %27’si API güvenlik profili oluşturmaya en yüksek önceliği verirken, önemli bir kısmı potansiyel olarak dijital çerçevelerinde gizlenen gizli tehditlerden habersiz kalıyor Bu, artan ihlallerdeki rahatsız edici eğilimi vurgulayan bir uyandırma çağrısı görevi görüyor Ancak bu nimetle birlikte potansiyel bir bela da geliyor: Kuruluşların tam olarak takdir edemeyebileceği, hatta fark edemeyebileceği bilinmeyen riskler
Bu geniş dijital manzara çok büyük bir potansiyele işaret ediyor, ancak hiç kimse onun sunduğu kapsamlı saldırı yüzeyini küçümsememeli
API’ler: Saldırı Yüzeyini GenişletmeAPI’lerin çoğalması, potansiyel güvenlik açıklarının ve saldırı vektörlerinin kapsamını önemli ölçüde genişletiyor CyberTheory Zero Trust Enstitüsü Kıdemli Üyesi ve Forbes Teknoloji Konseyi üyesi olan Richard’ın görüşleri genellikle Wall Street Journal, CNBC ve CNN gibi önde gelen medya kuruluşlarında yer alıyor
Temel zorluk, birçok kuruluşun API riskinin boyutu konusunda karanlıkta kalmasıdır
API riskiyle ilgili çeşitli algılar: Endüstrinin API ile ilgili risk algısı büyük ölçüde farklılık göstermektedir Bu dağınık duruş, endüstrinin API riskini tutarsız bir şekilde anladığını ve kabul ettiğini vurguluyor ve birçok kuruluşun dijital zırhında potansiyel bir çatlağın sinyalini veriyor Hem kurumsal hem de start-up alanlarında C düzeyinde bir yönetici olarak geniş deneyime sahip olan Richard, siber güvenlik, veri gizliliği, kimlik ve sıfır güven konularındaki uzmanlığıyla dünya çapında tanınmaktadır
Hızla gelişen dijital ortam, büyük ölçüde bulut uygulamalarının yaygınlaşması nedeniyle kuruluşlara zengin yetenekler kazandırdı En endişe verici olanı, bunu ihmal edilebilir olarak gören yüzde sekizdir
API’lerin kurumsal altyapılardaki rolü büyümeye devam ettikçe, ilişkili bilinmeyen riskler görünmez bir tehdit haline geliyor API güvenliğine öncelik verilmesini engelleyen faktörler sorulduğunda, %49’u yönetimin riski hafife aldığını belirtirken, %37’si tehdit azaltma tedbirlerini anlamakta zorluk çekti
Bilinmeyen risk ve genişleyen saldırı yüzeyi: Bilinmeyen risk kavramı, doğası gereği genişleyen API ortamına bağlıdır Bu iki yönlü bir zorluktur: Birincisi, kuruluşları potansiyel riskler konusunda bilinçlendirmek, ikincisi ise onları bu riskleri azaltacak araçlar, bilgi ve kaynaklarla donatmak Bu birkaç nedenden dolayı kritiktir:
-
Çok sayıda API’ler: Rakamları düşünün; kuruluşların %88’i 2