Uygulama programlama arayüzü (API), dijital devrimin isimsiz bir kahramanıdır. Yeni kullanıcı deneyimleri oluşturmak için çeşitli yazılım bileşenlerini birbirine yapıştıran yapıştırıcıyı sağlar. Ancak arka uç veritabanlarına doğrudan bir yol sağlamada API'ler aynı zamanda tehdit aktörleri için çekici hedef. Son yıllarda sayıca patlama yapmaları, birçok konuşlandırmanın belgesiz ve güvenli olmamasına yol açmasına yardımcı olmuyor.

Göre Yakın tarihli bir çalışmada, Küresel kuruluşların %94'ü geçtiğimiz yıl üretimde API güvenlik sorunları yaşadı ve neredeyse beşte biri (%17) API ile ilgili bir ihlal yaşadı. Bu dijital yapı taşlarının görünürlüğünü ve kontrolünü kazanmanın zamanı geldi.

API tehditleri ne kadar kötü?

API'ler anahtardır şekillendirilebilir işletme: kuruluşların uygulamalarını bölümlere ayırmaya teşvik edildiği bir Gartner konsepti paketlenmiş iş yetenekleri (PBC'ler). Buradaki fikir, bu daha küçük bileşenlerin çeşitli şekillerde bir araya getirilmesinin, kuruluşların hızla gelişen iş gereksinimlerine yanıt olarak yeni işlevsellik ve deneyimler yaratarak, daha hızlı ve daha çevik hareket etmelerini sağlamasıdır. API'ler, mikro hizmet mimarilerinin daha fazla benimsenmesiyle son zamanlarda kullanımı artan PBC'lerin kritik bir bileşenidir.

Neredeyse tüm (%97) küresel BT liderleri bu nedenle şimdi katılıyorum bir API stratejisini başarıyla yürütmenin, gelecekteki gelir ve büyüme için hayati önem taşıdığını. Ancak API'lerin hacmi ve bunların birden çok mimari ve ekip genelindeki dağılımı giderek artan bir endişe kaynağıdır. Büyük bir kuruluşta onlarca hatta yüzbinlerce müşteriye ve iş ortağına yönelik API olabilir. Orta ölçekli kuruluşlar bile binlerce kişi çalıştırıyor olabilir.

Firmalar üzerindeki etkisi nedir?

Tehditler de teorik olmaktan uzaktır. Sadece bu yıl şunları gördük:

• T-Mobile ABD itiraf ediyor 37 milyon müşterinin kişisel bilgilerine ve hesap bilgilerine bir API aracılığıyla kötü niyetli bir aktör tarafından erişildiğini
• Yanlış Yapılandırılmış Açık Yetkilendirme (OAuth) uygulamaları Booking.com'da bu, sitede ciddi kullanıcı hesabı ele geçirme saldırılarına olanak sağlamış olabilir

API tehditleri nedeniyle risk altında olan yalnızca kurumsal itibar ve sonuç değildir. Ayrıca önemli iş projelerini de yürütebilirler. Kuruluşların yarısından fazlası (%59) iddia ediyor  API güvenlik endişeleri nedeniyle yeni uygulamaların sunumunu yavaşlatmak zorunda kaldıklarını. Kurulların yarısı için artık C düzeyinde bir tartışma konusu olmasının nedenlerinden biri de bu.

İlk üç API riski

Bilgisayar korsanlarının bir API'den yararlanabileceği düzinelerce yol vardır, ancak OWASP, kuruluşlarına yönelik en büyük tehditleri anlamak isteyenler için başvurulacak kaynaktır. Onun OWASP API Güvenliği İlk 10 2023 listesi aşağıdaki üç ana güvenlik riskinin ayrıntılarını verir:

1. Bozuk Nesne Düzeyinde Yetkilendirme (BOLA): API, istek sahibinin bir nesneye erişimi olup olmadığını doğrulayamıyor. Bu, veri hırsızlığına, değiştirilmesine veya silinmesine neden olabilir. Saldırganların yalnızca sorunun var olduğunun farkında olması gerekir - BOLA'dan yararlanmak için kod kırma veya çalınan parola gerekmez.
2. Bozuk Kimlik Doğrulama: Eksik ve/veya yanlış uygulanmış kimlik doğrulama korumaları. OWASP, API kimlik doğrulamasının nasıl uygulanacağı konusunda yanlış fikirlere sahip olabilecek birçok geliştirici için "karmaşık ve kafa karıştırıcı" olabileceği konusunda uyarıyor. Kimlik doğrulama mekanizmasının kendisi de herkese açıktır ve bu da onu çekici bir hedef haline getirir. Kimlik doğrulamadan sorumlu API uç noktaları, gelişmiş korumayla diğerlerinden farklı şekilde ele alınmalıdır. Ve kullanılan herhangi bir kimlik doğrulama mekanizması, ilgili saldırı vektörüne uygun olmalıdır.
3. Kırık Nesne Özellik Düzeyinde Yetkilendirme (BOPLA): Saldırganlar, erişmemeleri gereken nesne özelliklerinin değerlerini okuyabilir veya değiştirebilir. API uç noktaları, bir nesnenin hassas olarak kabul edilen özelliklerini açığa çıkarırsa ("aşırı veri ifşası"); veya bir kullanıcının hassas bir nesnenin özelliğinin değerini değiştirmesine, eklemesine/veya silmesine izin veriyorsa ("toplu atama"). Yetkisiz erişim, verilerin yetkisiz taraflara ifşasına, veri kaybına veya veri manipülasyonuna neden olabilir.

Bu güvenlik açıklarının birbirini dışlamadığını unutmamak da önemlidir. En kötü API tabanlı veri ihlallerinden bazıları, BOLA ve aşırı veri ifşası gibi istismarların bir kombinasyonundan kaynaklanmaktadır.

API tehditleri nasıl azaltılır?

Neyin tehlikede olduğu göz önüne alındığında, güvenliği baştan herhangi bir API stratejisine dahil etmeniz çok önemlidir. Bu, tüm API'lerinizin nerede olduğunu anlamak ve uç nokta kimlik doğrulamasını yönetmek, ağ iletişimini güvenli hale getirmek, yaygın hataları azaltmak ve kötü bot tehdidiyle mücadele etmek için araçlar ve teknikler oluşturmak anlamına gelir.

İşte başlamak için birkaç yer:

• API yönetişimini iyileştirin Görünürlük ve kontrol elde etmenizi sağlayan API merkezli bir uygulama geliştirme modelini izleyerek. Bunu yaparken, yazılım geliştirme yaşam döngüsünün başlarında denetimleri uygulamak ve bunları CI/CD işlem hattında otomatikleştirmek için güvenliği sola kaydıracaksınız.
• API keşif araçlarını kullanın halihazırda kuruluşta bulunan gölge API'lerin sayısını ortadan kaldırmak ve API'lerin nerede olduğunu ve güvenlik açıkları içerip içermediğini anlamak için
• Bir API ağ geçidi dağıtın istemci isteklerini kabul eden ve bunları doğru arka uç hizmetlerine yönlendiren. Bu yönetim aracı, API trafiğini doğrulamanıza, kontrol etmenize, izlemenize ve güvenliğini sağlamanıza yardımcı olacaktır.
• Bir web uygulaması güvenlik duvarı (WAF) ekleyin ağ geçidinizin güvenliğini artırmak, DDoS ve istismar girişimleri dahil olmak üzere kötü niyetli trafiği engellemek için
• Tüm verileri şifreleyin (ör. TLS aracılığıyla) API'ler aracılığıyla seyahat eder, böylece ortadaki adam saldırılarında yakalanamaz
• API erişimini kontrol etmek için OAuth kullanın kullanıcı kimlik bilgilerini ifşa etmeden web siteleri gibi kaynaklara
• API'nizin ne sıklıkta çağrılabileceğini kısıtlamak için hız sınırlaması uygulayın. Bu, DDoS saldırılarından ve diğer istenmeyen artışlardan kaynaklanan tehdidi azaltacaktır.
• Bir izleme aracı kullanın tüm güvenlik olaylarını günlüğe kaydetmek ve şüpheli etkinliği işaretlemek için
• Sıfır güven yaklaşımı düşünün çevre içindeki hiçbir kullanıcıya, varlığa veya kaynağa güvenilemeyeceğini varsayar. Bunun yerine, her işlem için kimlik doğrulama ve yetkilendirme kanıtı talep etmeniz gerekecektir.

Dijital dönüşüm, modern işletme için sürdürülebilir büyümeye güç veren yakıttır. Bu, API'leri herhangi bir yeni geliştirme projesinin önüne ve merkezine koyar. Titizlikle belgelenmeli, tasarım gereği güvenlik ilkeleriyle geliştirilmeli ve çok katmanlı bir yaklaşımla üretimde korunmalıdır.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
• Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
• PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
• Kaynak: https://www.welivesecurity.com/2023/06/01/top-3-api-security-risks-mitigate/