Uygulama Güvenliği: API'ler aracılığıyla yeni saldırılara karşı koymak. Uygulamaları yeterince koruyabilmek için şirketlerin çeşitli tehdit vektörlerini anlaması çok önemlidir.
Günümüzde uygulamalar, veri merkezinden akıllı telefona kadar çok çeşitli BT ortamlarında bulunmakta ve sayıları sürekli artmaktadır. Artan uzaktan çalışma, aynı zamanda, giderek daha fazla uygulamanın buluta dışarıdan tedarik edilmesi gerektiği anlamına da geliyor. Bu da uygulama güvenliği açısından potansiyel riskleri artırmıştır. Bu nedenle, uygulamalarını yeterince koruyabilmek için şirketlerin çeşitli tehdit vektörlerini anlaması çok önemlidir.
Bir tehdit kaynağı olarak botlar
Kuşkusuz, botlar uzun zamandır uygulamalara yönelik bir tehdit kaynağı olmuştur ve artık başarılı saldırı vektörleri listesinin başında yer almaktadır. Ayrıca, insan hatasından kaynaklanan birçok ihlalde, savunmada hiçbir açık kalmadığından emin olmak her zamankinden daha önemli. Ancak güvenlik ekipleri sadece botlara odaklanmamalıdır. Sıfırıncı gün tehditleri, web uygulaması güvenlik açıkları, yazılım tedarik zinciri ve API'ler (Uygulama Programlama Arayüzleri), güvenlik uzmanlarının da aynı derecede dikkat etmesi gereken ilgili alanlardır.
Barracuda tarafından yapılan son araştırmalar, 750 küresel kuruluşun yüzde 72'sinin geçen yıl bir uygulama güvenlik açığı nedeniyle en az bir güvenlik ihlali yaşadığını ve yaklaşık yüzde 40'ının birden fazla ihlal bildirdiğini gösteriyor.
API'ler aracılığıyla uygulamalar için yeni saldırı yüzeyleri
API'ler yeni uygulama sürümlerinin geliştirilmesini önemli ölçüde hızlandırdığından, giderek daha fazla şirket "Önce API" geliştirmeye geçiyor. Ancak bu uygulamaların görünürlüğünün genişletilmesi, yepyeni bir saldırı yüzeyi oluşturur.
Örneğin, bir çeki bozdururken, paranın nihayet alıcının hesabına ulaşması bir bankanın kaynak hesabı ve ilgili ayrıntıları doğrulaması için birkaç gün sürerdi. Günümüzde para transferi genellikle akıllı telefondaki bir uygulama aracılığıyla banka havaleleri yoluyla yapılmaktadır. Bu tek işlemi gerçekleştirmek için arka planda büyük miktarda BT gereklidir ve bunun korunması gerekir.
B2B uç noktalarında doğrulama
B2B uç noktalarını denetlemeye insan dahil değildir, her şey potansiyel bir saldırı yüzeyi olan API'ler aracılığıyla gerçekleştirilir. Çünkü API'ler doğası gereği uygulama mantığını, kullanıcı kimlik bilgilerini ve belirteçlerini ve her türlü kişisel bilgiyi bulut hızında ve kullanıcının akıllı telefonundan açığa çıkarır. API tabanlı bir uygulama, hassas verilere doğrudan erişim sağlamak için kasıtlı olarak kullanıldığından, geleneksel web tabanlı bir uygulamadan çok daha fazla açığa çıkar.
Örneğin, kullanıcılar Facebook'ta gezinirken veya banka uygulamalarında hisse senedi portföylerini canlı olarak kontrol ederken, telefonları API'ler aracılığıyla veri merkezlerindeki sunucularla etkileşime girer. Kaydırma sırasında, bu API'ler sürekli olarak kendilerini büyük alfasayısal diziler aracılığıyla doğrular ve bu trafiğin gerçek zamanlı olarak denetlenmesi ve güvenliğinin sağlanması gerekir. Yukarıdaki kontrol örneğinden farklı olarak, talebin meşru olup olmadığını kontrol etmek için bir irtibat kişisinin öğle tatilinden dönmesini bekleyemezsiniz.
Uygulamalar ve API'ler için koruma
Kuruluşlar giderek daha fazla API'lere yöneliyor, ancak güvenliğe ayak uydurmakta zorlanıyorlar. Siber suçlular, güvenli olmayan API'lere 2018/75 atlamak için botlarla hazır. Bir saldırı başarılı olursa bilgisayar korsanları, istedikleri zaman tehlikeye atabilecekleri müşteri verilerine veya çalışan bilgilerine erişebilir. Herhangi bir güvenlik önlemi uygulanmadan (Facebook'un XNUMX güvenlik ihlali gibi) üretim verilerine doğrudan erişimle kullanılan birçok test API'si örneği vardır. API'leri korumak zor olsa da, Barracuda çalışmasından elde edilen cesaret verici bir bulgu, ankete katılan kuruluşların yüzde XNUMX'inin risklerin farkında olduğunu gösteriyor.
API'leri savunmak, şu anda en önemli güvenlik hususlarından biridir. Bu nedenle kuruluşlar, nerede olurlarsa olsunlar uygulamalarını korumak için kapsamlı, ölçeklenebilir ve kurulumu kolay bir platform düşünmelidir. Aktif Tehdit İstihbaratına sahip bir Web Uygulaması Güvenlik Duvarı (WAF), uygulamaları ve dolayısıyla API'leri yukarıdaki tehditlerden korumak için en yönetilebilir çözümdür. Sıfır gün tehditlerine, botlara, DDoS saldırılarına, tedarik zinciri uzlaşmasına, kimlik bilgileri doldurmaya karşı savunmanın yanı sıra istemci tarafı güvenliğin uygulanması ve kötü niyetli içeridekilere karşı koruma, kuruluşların uygulama açıkları yoluyla güvenlik ihlallerinden kaçınmaları için gündemde olmalıdır.
Daha fazlası Barracuda.com'da[yıldız kutusu kimliği=5]
Konuyla ilgili makaleler