Entegre uygulama ve güvenlik platformu tarafından yayınlanan üç aylık rapor duvar kolu Fintech'ler için az tartışılan ancak kritik bir güvenlik sorunu olan API'lere ayrıntılı bir şekilde dikkat çekiyor. Raporlar kamuya açık kaynaklardan geliştirilmektedir.
Wallarm kurucu ortağı ve CEO'su İvan Novikov Raporlardaki amacının tehditlerin kapsamını tahmin etmek ve bunları mantıklı bölümlere ayırmak olduğunu söyledi. Bu, CISO'ların ve siber güvenlik yöneticilerinin tehlikeleri ölçmesine ve bunları oluşturmasına yardımcı olur. risk modelleri. Wallarm ekibi her üç ayda bir mevcut her olayı analiz ediyor, bunu ek bilgilerle birleştiriyor ve zenginleştiriyor.
Novikov, odaklanmanın daha az sıklıkta yayınlanan diğer raporlardan daha iyi içgörülerle gerçek zamanlı analiz ürettiğini söyledi. Ayrıca API kullanımının yaygınlaşmasıyla ilişkilendirilebilecek bazı yeni tehdit gruplarını da tanımlıyor.
API'lerden kaynaklanan sızıntılar yeni ortaya çıkan bir tehdittir
Enjeksiyonlar bu çeyreğin açık ara en önemli sorunuydu. Bilinen 59 olayı, izlenen 25 eylemin %239'ini temsil ediyor. Enjeksiyonlar, birisi kullanıcı giriş alanı aracılığıyla tehlikeli API komutları gönderdiğinde meydana gelir. Kimlik doğrulama kusurları 37 ile ikinci sırada yer alıyor. Bu, kimlik doğrulama hatalarını da içeriyor. Siteler arası sorunlar 30 ile üçüncü sırada yer alıyor.
API sızıntıları olayların %10'undan fazlasını oluşturur. Netflix'i, açık kaynak yazılım sağlayıcılarını ve kurumsal yazılım firmalarını vurdular. Novikov, API sızıntılarının yakın zamanda keşfedilen bir sorun olduğunu söyledi.
İki tür API vardır ve bunlardan biri özellikle fintech'leri etkiler: bankacılık için açık API'ler. Novikov, kurumların iki şeyle ilgilendiğini, birincisinin finansal verilerinin nereye gittiğini takip etmek olduğunu söyledi. Buna kişisel olarak tanımlanabilir bilgiler ve dahili banka hesap bilgileri de dahildir. Olmaması gereken bir yere aktarılıp aktarılmadığını bilmeleri gerekiyor.
Novikov, "Dahili bankacılık hesap numaralarının bir yönlendirme numarası olarak bağlandığını fark ederseniz (suçlular) birçok şey yapabilir" dedi. “Tamamen farklı dolandırıcılık şemaları çalıştırabiliyorlar. James Bond'un oynadığı filmleri hatırlarsanız 'İsviçre'deki hesap numaranızı biliyorum' diyorlar, bu da aynı şey.”
Bu veri parçaları API'nizle konuşan özel erişim olabilir. Bunlar, ele geçirilen bir ortak bankaya verdiğiniz sertifikalar olabilir. Anahtarı paylaştığınız her taraf bundan sorumludur ancak açık verilerden siz sorumlusunuz.
Parolaların ve oturum açma kimlik bilgilerinin ele geçirilmesi durumunda bankaların kendilerini korumak için birçok başvuru yolu olsa da Novikov, API'lerin tek bir anahtarı olduğunu ve bu kadar olduğunu söyledi. Bir banka bunu kabul ediyor ve sen bir ortaksın.
"Bu yüzden bu sorunu çözmek için çözümler üretiyoruz çünkü sorun çok büyük."
Yaşlanan altyapı sorunu daha da kötüleştiriyor
Birçok banka API'sinin yaşı, bu zorluğu artırıyor. Daha eski olanlarda anahtarı kimin tanımladığını bulmak daha zordur. Kodun bir yerinde var. Novikov, COBOL'da 1998'e kadar uzanan örnekler gördü.
Novikov, "Bu kodun bir yerindedir ve onu oradan çıkarabilirsiniz" dedi. “Birinin oraya koyduğu sabit kodlu bir anahtar. XML ile bağlanın ve hazırsınız. Ve şimdi bunun üzerine şık bir API ağ geçidi koyuyoruz ve buna açık bankacılık adını veriyoruz. Açık ama farklı bir bakış açısından açık. Çok ama çok delikler açılmış.”
Ortaklarınızı izleyin
Büyük risk göz önüne alındığında, ortaklarına güvenebilmelerini sağlamak finansal kuruluşların sorumluluğundadır. Novikov, veri sağlayıcılarının uyması gereken standartları tanımlayabilen bankalar için daha fazla rahatlık olduğunu söyledi.
Fintech'ler için durum biraz daha gevşek. Novikov onları kendi standartlarını belirlemeye teşvik ediyor. Bir anahtarı bir fintech yöneticisiyle paylaşın ve bundan onlar sorumludur.
Novikov, "Bir fintech olarak banka gibi denetlenmiyorlar" dedi. "Bunu kendileri için yapmalılar. Bu durumda (bankalara) güveniyorlar ve kendilerine güvenmeleri gerekiyor. Bu büyük bir sorun çünkü Robinhood'umu bankama bağlamak istersem başka seçeneğim yok."
Herhangi bir endüstri standardı olmadığından, fintech'ler güvenliğin ne kadarının kullanılacağına karar verebilir. Ve tüm işiniz API'lere indirgendiğinde, bu güvenlik iyi olsa iyi olur.
Pazarlama Müdür Yardımcısı Girish Bhat Wallarm'ın şirket içinde de kullanılabilen bulut tabanlı bir platform oluşturduğunu söyledi. Saldırıları neredeyse gerçek zamanlı olarak tespit edebilir. Fintech ekosistemindeki diğer araçlarla birlikte çalışarak onarım önerileri ve iyileştirme yeteneği sağlayabilir.
Bhat, "Milyarlarca API çağrısı gerçekleşiyor" dedi. "Bunu gerçek zamanlı olarak analiz edebiliyoruz ve bunları hafifletmek için proaktif yetenek sağlıyoruz."
Zayıf kimlik bilgileri ve kriptografi sorunları, En İyi 10 sorun listesine şaşırtıcı bir şekilde giriyor. Novikov, birçok firmanın standart ve varsayılan anahtarları kullandığını söyledi.
"Standart veya varsayılan anahtarları kullanmamanız gerektiği herkes için açık, ancak bu hâlâ giderek daha fazla oluyor" dedi. “Ne yazık ki sektör olarak hâlâ bu işin içinden çıkamıyoruz nedense.”
ChatGPT, Wallarm'ın AAA sisteminin geliştirilmesine nasıl yardımcı oldu?
Wallarm, tehditleri bir AAA sistemine (kimlik doğrulama, yetkilendirme ve erişim kontrolü) ayırmaya yardımcı olmak için ChatGPT'yi kullandı. Kimlik doğrulama ilk savunma hattıdır. Wallarm bunu izole ederek, özellikle kimlik doğrulama boşluklarından yararlanan güvenlik açıklarına odaklanabilir.
Yetkilendirmenin kimlik doğrulamadan ayrılması, sistemlerin ne zaman gereksiz izinler verdiğini belirlemeye yardımcı olur. Erişim kontrolü; cihaz, IP adresi ve günün saati gibi faktörleri dikkate alır. Uygulama mekanizmalarındaki kusurların sıfırlanmasına yardımcı olur.
Novikov, "Bir yöneticinin tasarım ayrıcalıkları dışında bir şey yapıp yapamayacağını özellikle kontrol etmek için banka API'lerine veya bankacılık uygulamasına odaklanabiliriz" dedi. “Kurumsal uygulamalarda güvenlik kontrollerini, tarayıcıları ve bunların sahip olduğu her şeyi atlamanın zor olduğunu görüyoruz.
“Ancak erişim kontrollerinde bazı hatalar yapmak nispeten kolaydır çünkü erişim kontrolü genellikle sadece yönetilir; kodun bir parçası değil. Bazı uyumluluk uygulamalarını veya API'leri çalıştırırken ve kontrol ederken yalnızca onay kutusuna tıklamamıza izin vermeyecektir. Kötü erişim kontrolü farklıdır; onu ayrıca kontrol etmelisiniz.”
