“Göremediğin Şeyi Koruyamazsın”: Zombie ve Shadow API

selen guvenc
Şubat 8, 2024
  • 410

BT modernizasyonu ve dijital dönüşüm girişimleri, daha hızlı yazılım dağıtım yaşam döngüleriyle birleştiğinde, kuruluşlar içindeki API ekosistemlerinin boyutunda ve ölçeğinde katlanarak bir artışa neden oldu. 

Tüketicileri ve işletmeleri hayati veri ve hizmetlere hızlı ve sorunsuz bir şekilde bağlamak için tasarlanan API'ler, modern kuruluşlara ve uygulamalara güç verir. 

API'ler sürekli olarak devrededir ve tüketiciler nihayet hayallerindeki tatil için rezervasyon yaptırdıklarında veya uzun bir iş gününün ardından çevrimiçi yemek servisi siparişi verdiklerinde arka planda çalışırlar. 

API kullanımının bu kadar yaygın olması, her sektöre dokunması ve erişmeyi övündükleri hassas veri hazineleri göz önüne alındığında, siber suçluların kötü niyetli saldırılar gerçekleştirmek için API'leri giderek daha fazla istismar etmesi ve kötüye kullanması şaşırtıcı değil.

API saldırılarının hızı ve ölçeği, birçok kişinin API güvenlik duruşlarının gücünü sorgulamasına ve çoğu API merkezli riskin nerede devam ettiğini derinlemesine analiz etmesine neden oldu. 

Bu bizi Zombies'e, yani Zombie API'lerine getiriyor. Eğer isim tek başına başlangıçta korku uyandırmıyorsa, Zombie API'leri bir kuruluş tarafından terk edilmiş, güncelliğini kaybetmiş veya unutulmuş API'lerdir. 

Salt Security'nin son araştırması, güvenlik liderlerinin %54'ünün, API güvenliği söz konusu olduğunda Zombie API'lerini en büyük endişeleri olarak sınıflandırdığını ortaya çıkardı. Önceki rapordaki %42'den daha yüksek.

Zombie API'leri esasen unutulduğundan ve umursanmadığından, işlevsel veya güvenlik açısından düzenli bir yama veya güncelleme yapılmamaktadır. Bu nedenle Zombie API'leri artan bir güvenlik riski haline gelme gücüne sahiptir. API dokümantasyonundan ve güvenlik testi programlarından kaldırılırlar, zamanla çürümeye ve yeni güvenlik açıklarının açığa çıkmasına neden olurlar.

Zombie API'leri siber dayanıklılığa yönelik önemli tehditler oluştursa da API güvenliği konusunda endişe yaratan bir başka önemli neden daha var: Shadow (Gölge)  API'lerin varlığı. Shadow (Gölge) API'ler, bir kuruluşun resmi API ekosisteminin dışında bulunan, çoğu kişi tarafından görülemeyen ve güvenlik denetimlerinden yoksun kalan üçüncü taraf API'ler olarak tanımlanabilir. Çoğu zaman bu tür API'ler, iş ve uygulama yenilik taleplerini karşılamak için iyi niyetli geliştiriciler tarafından, zaman darlığında oluşturulup dağıtılır. Geliştiricinin kötü niyeti olmamasına rağmen, yönetilmeyen, kısıtlanmayan bu API'ler ciddi güvenlik açıklarına neden olma potansiyeline sahiptir. Shadow (Gölge) API'ler genellikle doğru API yönetişim standartlarına uyma konusunda başarısız olur, OWASP API Güvenliği İlk 10'da belirtilenler gibi en iyi güvenlik uygulamalarını karşılayamayabilir ve ayrıca hassas verileri açığa çıkarabilir.

Zombi ve Shadow (Gölge) API'lerinin varlığı kuruluşlar arasında yaygın olmaya devam ediyor ve bu da kurnaz ve sinsi kötü aktörlerin saldırı gerçekleştirmesi için birçok fırsat yaratıyor. Her ikisinin de temel nedeni basit: Geliştiriciler ve güvenlik ekipleri arasındaki kopuk ve silolanmış iletişim. Geliştiriciler ve mühendislik ekipleri, yeniliğe ayak uydurmak için hızla API'ler oluşturuyor ve güvenlik personeli de bilinçli olarak bunları korumaya ve yönetmeye çalışıyor. Ancak her ikisi de API ekosisteminin güvenliğinin sağlanmasında önemli bir rol oynuyor. Özellikle API dokümantasyonu ve envanter yönetimi ile ilgili olarak. Dediğimiz gibi “göremediğin şeyi koruyamazsın”.

Geliştiricilerin ve mühendislerin yalnızca oluşturulan ve dağıtılan API'lerin sağlam bir kataloğunu tutma sorumluluğu yoktur, aynı zamanda kullanımdan kaldırılan API'lerin artık kullanılmadığı konusunda uygun tarafları bilgilendirme görevi de vardır. API envanterlerinin eksiksiz kalmasını sağlamak, uygun yama ve test girişimlerinin gerçekleştirilmesini sağlamak ve süresi dolmuş API'lerin tamamen kaldırılmasına olanak sağlamak için bu bilgiler güvenlik ekipleriyle sürekli olarak paylaşılmalıdır.

Zombie API'lerinin hacminin azaltılması, geliştirici ve güvenlik ekiplerinin sağlam API kullanımdan kaldırma politikalarını ve prosedürlerini kapsamlı bir şekilde tanımlamak ve ifade etmek ve bu tür etkinliklerin yürütülmesinden kimin sorumlu olduğunu belirlemek için birbirleriyle irtibat kurmasını gerektirir. Bu uygulama, etkin olmayan API'lerin resmi olarak ekosistemden çıkarılmasını sağlayacak ve saldırganların gelecekte misilleme yapmasını önleyecektir.

Benzer şekilde, Shadow (Gölge)  API'lerinin tehdidini azaltmak, ekipler arasında derin bir sinerji ve iş birliği ile güçlü DevSecOps uygulamalarını da gerektirir. Güvenlik ekipleri, oluşturulan API'lere yönelik yönetişim politikalarını tanımlamak ve uygulamak için mühendisler ve geliştiricilerle birlikte çalışmalıdır. Bu politikalar, hangi kişilerin yeni API'ler oluşturabileceğini, bunların nasıl tasarlanması, dağıtılması ve kullanılması gerektiğini açıkça tanımlamalı ve yeni API'lerin üretime aktarılmadan önce geçmesi gereken gerekli test mekanizmalarına ilişkin fikir sunmalıdır.

Zombie ve Shadow API'lerinin varlığı ve yaygınlaşması sonuçta iki faktöre bağlıdır: kopuk iletişim ve insan hatası. Geliştiriciler ve güvenlik ekipleri arasındaki iletişim ve sağlam iş birliğinin engellerini ortadan kaldırmak, API belgelerini ve envanter yönetimini önemli ölçüde iyileştirecek ve en iyi güvenlik uygulamalarının uygulanmasına yardımcı olacaktır. Bu olmadan, kuruluşlar API riskiyle boğuşmaya devam edecek, olası tehditlerden şüphelenmeyecek ve istismarlara karşı korunmayacaktır.


Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!



İlgili İçerik
Duyurular

Turkcell 04.03.2024 Tarihli Planlı Çalışma

Değerli müşterimiz, Turkcell'de altyapı iyileştirme çalışması yapılacaktır.

selen guvenc Mart 1

Mobildev Pazarlama Sohbetleri: SEO ve İçerik Pazarlama için ChatGPT Nasıl Kullanılır?

Mart ayının ilk webinarı olan, "SEO ve İçerik Pazarlama için ChatGPT Nasıl Kullanılır?" konulu webinarımız, 1 Mart Cuma Günü gerçekleşecek.

selen guvenc Şubat 21

Artan Tehdit: Hacktivist Hareketler

‘Hack’ ve ‘Aktivizm’ kelimelerinin birleştirilmesinden türetilen Hacktivizm, internet korsanı veya korsan gruplarının, sosyal ve politik mesajları iletme kaygısıyla, internet siteleri veya bilgisayar ağlarını hedef alan saldırılar gerçekleştirmesidir.

selen guvenc Şubat 8

“Göremediğin Şeyi Koruyamazsın”: Zombie ve Shadow API

BT modernizasyonu ve dijital dönüşüm girişimleri, daha hızlı yazılım dağıtım yaşam döngüleriyle birleştiğinde, kuruluşlar içindeki API ekosistemlerinin boyutunda ve ölçeğinde katlanarak bir artışa neden oldu.

selen guvenc Şubat 8

Kimlik Avı Saldırıları: İşinizi ve Kişisel Verilerinizi Koruma

Ekim ayında Ulusal Siber Güvenlik Farkındalık Ayı kutlandı. Temel mesajı basit ama güçlendiriciydi “farkındalık ve proaktif önlemler en iyi savunmamızdır.”

selen guvenc Şubat 8

Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber

KVK Kurumu tarafından, elde edilmesi halinde mahiyeti gereği ilgili kişilerin diğer kişisel verilerine de erişim imkânı sağlayabilmesi sebebiyle mağduriyete yol açabilecek olan Türkiye Cumhuriyeti (T.C.) kimlik numaralarının işlenmesi faaliyetinde dikkat

selen guvenc Şubat 8

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.