Bağlantılı bir iş dünyasında API'lere sıfır güven

24. Ekim 2022
| Yorum yok
Bağlantılı bir iş dünyasında API'lere sıfır güven

Gönderiyi paylaş

Veri akışlarının ve müşteri odaklılığın şirketlerin iş süreçlerini belirlediği dijital ekonomide API'ler çok önemli bir konuma sahip. İlgili verilere, sistemlere ve yazılım bileşenlerine erişim sağlarlar. Ancak bu, onları bilgisayar korsanları için ilginç bir hedef haline getiriyor. API'lere sıfır güven zamanı.

Bilgisayar korsanları, API'lere ve API trafiğine saldırarak adlar, hesap numaraları, e-posta ve fiziksel adresler gibi verileri çalmaya çalışır. Ancak, doğası gereği, API'lerin güvenliğini sağlamak ve bunları bir Sıfır Güven stratejisine entegre etmek, güvenlik yaklaşımlarında yeniden düşünmeyi gerektiren kuruluşlar için çeşitli zorluklar sunar.

Bilgisayar korsanları API'lere saldırmayı sever

"Formula 1'de bile kaç sürücünün frenlerin arabayı yavaşlatmak için var olduğunu düşünmesi inanılmaz." Bu espriyle, yarış pilotu Mario Andretti bir keresinde frenlerin bariz amaçlarının ötesinde Bir otomobilin eğimini ve ağırlığını kontrol edin ve böylece viraj almayı optimize edin. Benzer şekilde, BT güvenlik politikalarının uygulanması, ideal olarak, altta yatan süreçleri daha karmaşık ve dolayısıyla kullanıcılar için daha sinir bozucu hale getirmek yerine iyileştirmelidir.

Kullanıcı yolculuğunun hızlandırılması, basitleştirilmesi veya iyileştirilmesi gereken her yerde API'ler vardır: örneğin, dijital sipariş süreçlerinde kredi kartı ödemeleri yapmak veya uzaktan bakım ve cihaz güncellemeleri yapmak. İddiaya göre, bu tür uygulama senaryolarında güvenlik baştan itibaren "yerleşik" olmalıdır, ancak gerçekler gösteriyor ki bilgisayar korsanları API'leri kendi amaçları için kötüye kullanıyor. Bu, yetersiz kimlik doğrulama ve yetkilendirme süreçleri nedeniyle tekrar tekrar olur.

Kimlik doğrulaması olmayan API'ler kullanımda

Örneğin, geçtiğimiz baharda Salt Security'nin API güvenlik uzmanları, traktörleriyle tanınan bir şirket olan John Deere'de bilgisayar korsanlarının belirli bir kullanıcı adının kullanımda olup olmadığını belirlemek için arayabilecekleri bir API keşfetti. Uzmanlar, API kimlik doğrulaması gerektirmediği veya sorgu sayısını sınırlamadığı için Fortune 1000 şirketlerinden hangilerinin John Deere hesaplarına sahip olduğunu iki dakika içinde belirlemelerine olanak tanıyan bir sorgulama yordamını otomatikleştirdi. Şirketlerin yaklaşık yüzde 20'sinin bir hesabı vardı.

Başka bir API uç noktası, bir araç kimlik numarası (VIN) göndermeyi ve cihaz, sahibi ve konumu hakkında büyük miktarda meta veri almayı mümkün kıldı. Bilgisayar korsanları, genel açık artırma sitelerinden VIN'leri kolayca alabilir. API, kimlik doğrulaması gerektirmesine rağmen, API isteği gönderenleri doğru şekilde yetkilendiremedi.

API yaşam döngüsü boyunca sıfır güven

Görünen o ki, BT'de veri korumasının temeli olarak "Tasarım Yoluyla Güvenlik"in API'lerle uygulanması zordur. Bunun nedeni bazen, API'lerin geliştirme süreçlerinin öncelikle iş özelliklerine dayalı olması ve BT güvenliğindeki süreçlerden organizasyonel olarak ayrıştırılmış olması olabilir. Şirketlerdeki farklı aktörler, amaçlarına uygun olarak ihtiyaç duydukları API'leri geliştirir ve sağlar. Ya da başka şirketlerden arayüzleri devralırlar. Bu API'lerin ağ altyapısına ve dolayısıyla onları çevreleyen güvenlik yapısına bağlı olduğu varsayımı, kullanıcılara yanlış bir güvenlik duygusu verir. Ancak bu, API'ler aracılığıyla veri akışlarını hem şirket dışından hem de şirket içinden korumak için genellikle yeterli değildir.

İkincisi özellikle kendi güvenlik önlemlerini gerektirir. Çünkü kendi altyapınızdan gelen her erişim otomatik olarak yetkilendirilmemektedir. İstekleri gerçekten ve verimli bir şekilde kontrol etmek için güvenlik teknolojilerinin aynı zamanda insanları, süreçleri ve erişim modellerini de ele alması gerekir. Ayrıca ilke her zaman geçerlidir: Güven iyidir, kontrol daha iyidir. Sıfır Güven, bu nedenle, yetkili erişim elde etmek için her bağlantı kurulduğunda her cihazın ve bağlantının kendi kimliğini doğrulamasını gerektirir. Bunun API'lerde de güvenilir bir şekilde başarılı olabilmesi için, arayüzlerin tüm yaşam döngüsü boyunca güvenlik önlemleri alınması gerekir. API'lerin güvenlik açıklarına dönüşmesini önlemek için şirketler şu beş temel kurala uymalıdır:

  • Uçtan uca kimlik doğrulama ve yetkilendirme: İlişkili süreçler yalnızca doğrudan API'de veya ağ geçidinde gerçekleşmemelidir. Altta yatan uygulamalarda tekrarlanmaları gerekir.
  • Sürekli Entegrasyon/Sürekli Teslimat süreçlerinden yararlanın: Geliştiriciler, güvenlik yönergelerini üretim döngülerine nasıl entegre edebileceklerini ve bu sırada CI/CD ile hangi doğrulama süreçlerini otomatikleştirebileceklerini kontrol etmelidir.
  • Otomatikleştirilmiş güvenlik önlemleri uygulayın: Güvenlik operasyon ekipleri, API iletişimlerinde değiş tokuş edilen verilerin hem altyapı içinde hem de diğer sistemlerle iletim boyunca korunmasını sağlamalıdır. Bunu yapmak için süreçlerin, örneğin verileri nerede bulunursa bulunsun erişime karşı korumak için ilkeleri otomatik olarak uygulaması gerekir.
  • Her şeyi merkezi olarak yakalayın: BT güvenliği ve uygulama geliştirmeyi daha iyi bir şekilde birleştirmek için, tüm süreçleri günlüğe kaydetmek ve analiz etmek ve gerekirse riskler için kontrol etmek önemlidir. Bunun için uygun yer, sorumluların her an tüm süreçleri takip edebilecekleri merkezi bir veri havuzudur.
  • BT güvenliği ile işbirliği: API geliştirme ekiplerinin BT güvenlik görevlileriyle çalışması gerekir. Birlikte mevcut önlemlerin olası API güvenlik sorunları için ne kadar etkili olduğunu belirleyebilir ve gerekirse genişletebilirler. Ayrıca çeşitli veri kaybı senaryolarını gözden geçirmeli ve bir acil durum planı geliştirmelidirler. Her koşulda, yalnızca onu kullanan departmanların bildiği bir gölge API'den kaçınılmalıdır.

Şeffaflık oluşturun ve kontrol uygulayın

Güvenlik ve veri alışverişi bir çelişkiyi temsil edebilir ve bu aynı zamanda ve özellikle API'ler için geçerlidir: Bir yandan şirketler bunları süreçleri bölmek, yapılarını açmak, kullanıcılar için süreçleri basitleştirmek ve iş modellerini genişletmek için kullanır. Öte yandan, bu noktada veri trafiğinin kontrolünü kaybetmemeleri gerekir. Bu ikisini uzlaştırmak için şirketlerin şeffaflığa ihtiyacı var. İlgili herkesin kullandıkları tüm API'leri bildiğinden ve güvenilir bir şekilde yönettiğinden emin olması gerekir.

API ağ geçitleri, şirketteki tüm API'leri otomatik olarak keşfetmelerine ve güvenlik ilkelerini uygulamalarına yardımcı olabilir. Etkili bir API yönetimi çözümü, kimin hangi API'leri kullandığını izler ve ayrıca yetkisiz bir kişinin işte olduğunu gösterebilecek herhangi bir olağandışı veya şüpheli davranışa karşı yöneticiyi uyarır. İlgili departmanlar da güvenlikle ilgilenmektedir. Kuruluşlar, merkezi API yönetişimiyle birleştiğinde, güvenliği bir API'nin yaşam döngüsü boyunca yerleştirebilir ve kullanıcı deneyiminden ödün vermeden yetkisiz iletişim kurcalamasına karşı güvence altına alabilir.

Daha fazlası Axway.com'da

 

Axway Hakkında

Axway, dünya çapında 11.000'den fazla müşterinin halihazırda sahip olduklarını geliştirmelerine ve dijitalleşme, yeni iş fırsatları ve büyüme elde etmelerine yardımcı olarak mevcut BT altyapılarına yeni bir ivme kazandırıyor. Amplify API Yönetim Platformu, API'leri ekipler genelinde, hibrit bulutta ve harici çözümlerde yönetmek ve yönetmek için tek açık, bağımsız platformdur.

 

Konuyla ilgili makaleler

BT güvenliği: NIS-2 bunu birinci öncelik haline getiriyor

Alman şirketlerinin yalnızca dörtte birinde yönetim BT güvenliği sorumluluğunu üstleniyor. Özellikle küçük şirketlerde ➡ Devamını oku

Siber saldırılar 104'te yüzde 2023 artacak

Bir siber güvenlik şirketi geçen yılın tehdit ortamını inceledi. Sonuçlar şu konularda önemli bilgiler sağlıyor: ➡ Devamını oku

Mobil casus yazılımlar işletmeler için tehdit oluşturuyor

Giderek daha fazla insan hem günlük yaşamda hem de şirketlerde mobil cihaz kullanıyor. Bu aynı zamanda “mobil ➡ Devamını oku

Kitle kaynaklı güvenlik birçok güvenlik açığını tespit ediyor

Kitle kaynaklı güvenlik geçen yıl önemli ölçüde arttı. Kamu sektöründe önceki yıla göre yüzde 151 daha fazla güvenlik açığı rapor edildi. ➡ Devamını oku

Dijital Güvenlik: Tüketiciler en çok bankalara güveniyor

Dijital güven araştırması, tüketicilerin en çok güvendiği alanların bankalar, sağlık hizmetleri ve hükümet olduğunu gösterdi. Medya- ➡ Devamını oku

Darknet iş değişimi: Bilgisayar korsanları içerideki hainleri arıyor

Darknet yalnızca yasadışı malların takas edildiği bir yer değil, aynı zamanda bilgisayar korsanlarının yeni suç ortakları aradığı bir yer ➡ Devamını oku

Güneş enerjisi sistemleri – ne kadar güvenli?

Bir çalışma güneş enerjisi sistemlerinin BT güvenliğini inceledi. Sorunlar arasında veri aktarımı sırasında şifreleme eksikliği, standart şifreler ve güvenli olmayan ürün yazılımı güncellemeleri yer alıyor. akım ➡ Devamını oku

Yeni kimlik avı dalgası: Saldırganlar Adobe InDesign kullanıyor

Tanınmış ve güvenilir bir belge yayınlama sistemi olan Adobe InDesign'ı kötüye kullanan kimlik avı saldırılarında şu anda bir artış var. ➡ Devamını oku

Stories
, , , , , ,