“Göremediğin Şeyi Koruyamazsın”: Zombie ve Shadow API
- 1943
BT modernizasyonu ve dijital dönüşüm girişimleri, daha hızlı yazılım dağıtım yaşam döngüleriyle birleştiğinde, kuruluşlar içindeki API ekosistemlerinin boyutunda ve ölçeğinde katlanarak bir artışa neden oldu.
Tüketicileri ve işletmeleri hayati veri ve hizmetlere hızlı ve sorunsuz bir şekilde bağlamak için tasarlanan API'ler, modern kuruluşlara ve uygulamalara güç verir.
API'ler sürekli olarak devrededir ve tüketiciler nihayet hayallerindeki tatil için rezervasyon yaptırdıklarında veya uzun bir iş gününün ardından çevrimiçi yemek servisi siparişi verdiklerinde arka planda çalışırlar.
API kullanımının bu kadar yaygın olması, her sektöre dokunması ve erişmeyi övündükleri hassas veri hazineleri göz önüne alındığında, siber suçluların kötü niyetli saldırılar gerçekleştirmek için API'leri giderek daha fazla istismar etmesi ve kötüye kullanması şaşırtıcı değil.
API saldırılarının hızı ve ölçeği, birçok kişinin API güvenlik duruşlarının gücünü sorgulamasına ve çoğu API merkezli riskin nerede devam ettiğini derinlemesine analiz etmesine neden oldu.
Bu bizi Zombies'e, yani Zombie API'lerine getiriyor. Eğer isim tek başına başlangıçta korku uyandırmıyorsa, Zombie API'leri bir kuruluş tarafından terk edilmiş, güncelliğini kaybetmiş veya unutulmuş API'lerdir.
Salt Security'nin son araştırması, güvenlik liderlerinin %54'ünün, API güvenliği söz konusu olduğunda Zombie API'lerini en büyük endişeleri olarak sınıflandırdığını ortaya çıkardı. Önceki rapordaki %42'den daha yüksek.
Zombie API'leri esasen unutulduğundan ve umursanmadığından, işlevsel veya güvenlik açısından düzenli bir yama veya güncelleme yapılmamaktadır. Bu nedenle Zombie API'leri artan bir güvenlik riski haline gelme gücüne sahiptir. API dokümantasyonundan ve güvenlik testi programlarından kaldırılırlar, zamanla çürümeye ve yeni güvenlik açıklarının açığa çıkmasına neden olurlar.
Zombie API'leri siber dayanıklılığa yönelik önemli tehditler oluştursa da API güvenliği konusunda endişe yaratan bir başka önemli neden daha var: Shadow (Gölge) API'lerin varlığı. Shadow (Gölge) API'ler, bir kuruluşun resmi API ekosisteminin dışında bulunan, çoğu kişi tarafından görülemeyen ve güvenlik denetimlerinden yoksun kalan üçüncü taraf API'ler olarak tanımlanabilir. Çoğu zaman bu tür API'ler, iş ve uygulama yenilik taleplerini karşılamak için iyi niyetli geliştiriciler tarafından, zaman darlığında oluşturulup dağıtılır. Geliştiricinin kötü niyeti olmamasına rağmen, yönetilmeyen, kısıtlanmayan bu API'ler ciddi güvenlik açıklarına neden olma potansiyeline sahiptir. Shadow (Gölge) API'ler genellikle doğru API yönetişim standartlarına uyma konusunda başarısız olur, OWASP API Güvenliği İlk 10'da belirtilenler gibi en iyi güvenlik uygulamalarını karşılayamayabilir ve ayrıca hassas verileri açığa çıkarabilir.
Zombi ve Shadow (Gölge) API'lerinin varlığı kuruluşlar arasında yaygın olmaya devam ediyor ve bu da kurnaz ve sinsi kötü aktörlerin saldırı gerçekleştirmesi için birçok fırsat yaratıyor. Her ikisinin de temel nedeni basit: Geliştiriciler ve güvenlik ekipleri arasındaki kopuk ve silolanmış iletişim. Geliştiriciler ve mühendislik ekipleri, yeniliğe ayak uydurmak için hızla API'ler oluşturuyor ve güvenlik personeli de bilinçli olarak bunları korumaya ve yönetmeye çalışıyor. Ancak her ikisi de API ekosisteminin güvenliğinin sağlanmasında önemli bir rol oynuyor. Özellikle API dokümantasyonu ve envanter yönetimi ile ilgili olarak. Dediğimiz gibi “göremediğin şeyi koruyamazsın”.
Geliştiricilerin ve mühendislerin yalnızca oluşturulan ve dağıtılan API'lerin sağlam bir kataloğunu tutma sorumluluğu yoktur, aynı zamanda kullanımdan kaldırılan API'lerin artık kullanılmadığı konusunda uygun tarafları bilgilendirme görevi de vardır. API envanterlerinin eksiksiz kalmasını sağlamak, uygun yama ve test girişimlerinin gerçekleştirilmesini sağlamak ve süresi dolmuş API'lerin tamamen kaldırılmasına olanak sağlamak için bu bilgiler güvenlik ekipleriyle sürekli olarak paylaşılmalıdır.
Zombie API'lerinin hacminin azaltılması, geliştirici ve güvenlik ekiplerinin sağlam API kullanımdan kaldırma politikalarını ve prosedürlerini kapsamlı bir şekilde tanımlamak ve ifade etmek ve bu tür etkinliklerin yürütülmesinden kimin sorumlu olduğunu belirlemek için birbirleriyle irtibat kurmasını gerektirir. Bu uygulama, etkin olmayan API'lerin resmi olarak ekosistemden çıkarılmasını sağlayacak ve saldırganların gelecekte misilleme yapmasını önleyecektir.
Benzer şekilde, Shadow (Gölge) API'lerinin tehdidini azaltmak, ekipler arasında derin bir sinerji ve iş birliği ile güçlü DevSecOps uygulamalarını da gerektirir. Güvenlik ekipleri, oluşturulan API'lere yönelik yönetişim politikalarını tanımlamak ve uygulamak için mühendisler ve geliştiricilerle birlikte çalışmalıdır. Bu politikalar, hangi kişilerin yeni API'ler oluşturabileceğini, bunların nasıl tasarlanması, dağıtılması ve kullanılması gerektiğini açıkça tanımlamalı ve yeni API'lerin üretime aktarılmadan önce geçmesi gereken gerekli test mekanizmalarına ilişkin fikir sunmalıdır.
Zombie ve Shadow API'lerinin varlığı ve yaygınlaşması sonuçta iki faktöre bağlıdır: kopuk iletişim ve insan hatası. Geliştiriciler ve güvenlik ekipleri arasındaki iletişim ve sağlam iş birliğinin engellerini ortadan kaldırmak, API belgelerini ve envanter yönetimini önemli ölçüde iyileştirecek ve en iyi güvenlik uygulamalarının uygulanmasına yardımcı olacaktır. Bu olmadan, kuruluşlar API riskiyle boğuşmaya devam edecek, olası tehditlerden şüphelenmeyecek ve istismarlara karşı korunmayacaktır.
İlgili İçerik
Duyurular
Mobildev Pazarlama Sohbetleri: Türk Markaları E-İhracatta Nasıl Başarılı Olabilir?
Mobildev Pazarlama Sohbetleri’nin 10 Nisan Cuma günü saat 14:00’te gerçekleşecek oturumunda, Biggbrands Global E-Ticaret / E-İhracat Grubu CEO’su ve Yönetim Kurulu Başkanı Enis Karslıoğlu bizlerle olacak.
Mobildev POP - Power of Partnership İş Birliği Günleri Ankara’da!
“Ortak Ol, Güçlen, Kazan!” sloganıyla yola çıkan Mobildev POP – Power of Partnership İş Birliği Günleri, iş ortaklığı modeliyle büyümek ve gelirlerini artırmak isteyen profesyonelleri bu kez Ankara’da buluşturuyor.
Mobildev Pazarlama Sohbetleri: E-Ticarette Yapay Zekâdan Nasıl Faydalanabiliriz
Mobildev Pazarlama Sohbetleri’nin 27 Mart Cuma günü saat 14:00’te gerçekleşecek oturumunda, Teknosa E-Ticaret & Marketplace Direktörü Tahir Yıldız bizlerle olacak.
BTK Düzenlemesi: SMS Panel Girişlerinde e-İmza/Mobil İmza Zorunluluğu Başlıyor!
Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yayımlanan düzenleme kapsamında, SMS ve MMS gönderim panellerine erişimde e-İmza veya Mobil İmza ile kimlik doğrulaması zorunlu hale geliyor.
Mobildev POP - Power of Partnership İş Birliği Günleri Yeniden İzmir'de!
“Ortak Ol, Güçlen, Kazan!” sloganıyla yola çıkan Mobildev POP – Power of Partnership İş Birliği Günleri, yeni gelir fırsatları oluşturmak isteyen profesyonelleri İzmir’de bir araya getiriyor.
Mobildev Pazarlama Sohbetleri: Reklamcılık Alanında Akıllı Çözümler
Mobildev Pazarlama Sohbetleri’nin 6 Mart Cuma günü saat 14:00’te gerçekleşecek oturumunda, Adform’da Senior Solutions Consultant olarak görev yapan Cansu Genişel bizlerle olacak.