Bin Veri Sızıntısının Ölümü: API'ler Güvenliği Nasıl Eziyor?

Günümüzün saldırı yüzeyleri her zamankinden daha geniş, güvenlik açıkları uygulamalardan sızıyor ve teknoloji dünyasının dönmesini sağlayan esnek Uygulama Programlama Arayüzlerinde yaşıyor.

Ne yazık ki, çoğu geleneksel web uygulaması tehditlerinin farkında olsa da, API'ler belirsiz bir güvenlik alanı olmaya devam ediyor. Günümüzün devasa tehdit ortamı, yetkin bir bulut WAF'ı ve hatta WAAP'a yatırım gerektiriyor.

API nedir?

API'ler, modern tarama deneyimini bir arada tutan yapıştırıcıdır. API'ler, bireysel web uygulamalarının veri alışverişinde bulunmasına izin vererek yazılım kullanımını ve geliştirmeyi basitleştirir. Bir sunucuya bir uygulama aracılığıyla istekte bulunmak, düzgün bir şekilde uygulanan API'lerin çok güvenli olması nedeniyle günümüzde ilgili bir API tarafından gerçekleştirilir.

Sunucunun bilgilerinize doğrudan maruz kalması yerine, cihazınız ve ilgili API, yalnızca gerekli olanı ileterek küçük veri paketlerini paylaşmalıdır.

Çevik ve API: Güvenlik Çifte Sorunu

Çevik, iş dünyasının moda sözcüğüdür - girişimcilik fikrini 'minimum uygulanabilir ürün' fikrini güçlendiren bir üretim biçimini tanımlar. Agile'ın amacı, her aşamada minimum ürünü ortaya çıkarmaktır; bir ürüne her zaman 'bitti' demek yerine, yalnızca başka bir yama hatası düzeltme ve iyileştirme turuna dahil edilir.

Bu sürekli yama güvenlik için harika görünse de (sürekli yazılım desteği? Güzel!) Yazılım üretiminin ekonomik gerçekliği, API'lerin miktarının hızla hantal hale geldiği anlamına gelir.

Geliştirme ekipleri hızla hareket ederken, API'ler nadiren kapsamlı bir şekilde belgelenir. Bu, bir uygulamanın dahili mekanizmalarına bakmayı ve hangi API'lerin ne yaptığını anlamayı inanılmaz derecede zorlaştırır. Geliştirme ekiplerinin kendileri API envanterlerinin gerçek boyutunu bilmedikleri için güvenliği de son derece zorlaştırır. Bu, siber güvenliği düşük bir öncelik haline getirir; her zaman reaktif ve asla proaktif.

Gözden kaçan API'ler

Uygulama güvenliği denilince ilk akla gelen güvenlik ağırlıklarıdır. Siteler arası komut dosyası çalıştırma gibi saldırılar; SQL enjeksiyonu ve DDoS saldırıları inanılmaz derecede iyi bilinmektedir. Uygulamaların kendileri genellikle çevrede devriye gezen Web Uygulaması Güvenlik Duvarları gibi tak-çalıştır çözümlerle iyi bir şekilde korunur.

API'lere çok az dikkat edilirken, kayıtsız kuruluşların ve müşterilerinin zararına çok fazla. Uber'in sisteminde ortaya çıkan bir API güvenlik açığı örneğini alın.

Bir Uber sürücüsü bir yönlendirme bağlantısı aracılığıyla Uber'e katıldığında, uygulamayı başlatır ve yönlendirme kodunu girer. Giriş düğmesine basıldığında, uygulama tarayıcısı API ana bilgisayarı “bonjour.uber.com” ile iletişim kurar. Oradan, bonjour.uber Kullanıcı Kimliği parametresini alır ve sürücüyle ilgili ayrıntıları aşağıdaki izin ekranına girilmeye hazır olarak kullanıcının uygulamasına geri döndürür.

Ancak bu API, iki büyük güvenlik ihlalinden suçlu bulundu. İlki, Bozuk Nesne Düzeyinde Yetkilendirme (BOLA) idi. API, kullanıcının kimliğinin, kimlik parametresiyle eşleşip eşleşmediğini kontrol etmedi; bu nedenle, yalnızca kullanıcı kimliğini değiştirerek diğer kullanıcıların verilerine erişmek mümkün oldu.

İkinci sorun, aşırı veri maruziyetiydi. API'nin yanıtı - kullanıcı ayrıntılarını döndürmek için - tüm bu bilgileri, kullanıcının her ayrıntısını içeren tek bir grup halinde topladı. Bu, API'nin müşterinin açıkça ihtiyaç duymadığı bilgileri döndürdüğü ve siber güvenlik en iyi uygulamasının önemli bir ayağını ihlal ettiği anlamına geliyordu.

Şimdi, ortalama bir organizasyonun 15.500'den fazla API'ye güvendiğini ve risk ölçeğinin ortaya çıkmaya başladığını düşünün. Neyse ki Uber API, herhangi bir büyük hasar meydana gelmeden önce takıldı; aşağıdaki şirket o kadar şanslı değildi.

Peloton Sorunu

Peloton'un evde fitness markası 3 milyondan fazla abone tarafından beğeniliyor. Canlı fitness dersleri önemli bir satış noktasıdır, ancak tıbbi verilerinizi diğer sınıf katılımcıları ile paylaşmak istemiyorsanız peloton hesabınızı özel olarak ayarlamak mümkündür.

Ne yazık ki, bir dizi API güvenlik açığı, bu verilerin yetkisiz kullanıcılara maruz kalmasına neden oldu. Bir API uç noktası, istekte bulunan bir kullanıcıyı doğrulayamadığından, sınıf katılımcılarının bilgileri büyük ölçekte kazınabilir. Bu, yetkisiz saldırganların Peloton kullanıcılarının kullanıcı adını, konumunu, antrenman kimliğini, cinsiyetini ve yaşını almasına izin verdi.

API'ler, yıllardır yüksek profilli veri sızıntılarının nedeni olmuştur. Facebook'un 2018 ve 2019 boyunca sürekli veri skandalları, özellikle üçüncü taraf geliştirici API'leri aracılığıyla birbiri ardına ihlallerin gerçekleştiğini gördü. Bir örnek, Gruplar API'siydi; B2B sosyal medya yönetimi uygulaması üzerinde çalışan geliştiriciler, grup üyelerinin adlarına ve daha kişisel bilgilerine serbestçe erişebilir. Bu sosyal medya yönetimi uygulaması, grup yöneticilerinin gruplarını daha etkili bir şekilde yönetmelerine yardımcı olmayı amaçlasa da, Facebook onu ve API'sini kaldırmak zorunda kaldı.

Bu veri skandalları, 2021'de 533 milyondan fazla Facebook kullanıcısının karaborsa veritabanının adlarını, telefon numaralarını ve Facebook kullanıcı kimliklerini sızdırdığı zaman doruğa ulaştı.

API Sızıntısını Önleme

Açık Web Uygulaması Güvenliği Projesi (OWASP), göz önünde bulundurulması gereken en ciddi ve yaygın web uygulaması güvenlik açıklarını düzenli olarak yayınlar. API'ler tarafından temsil edilen artan güvenlik tehdidi, sürekli olarak Bozuk Nesne Düzeyinde Yetkilendirme tarafından üst sıralarda yer alan kendi OWASP ilk on listesini garanti edecek kadar şiddetlidir.

Neyse ki, daha yavaş bir geliştirme döngüsü talep etmenin dışında API'lerinizi korumak, genel kuruluşunuzu bir bütün olarak güvence altına almakla yakından takip edilir. İlk arama noktanız iyi bir Web Uygulaması Güvenlik Duvarı (WAF) olacaktır. Bu çözüm, uygulamalarınızın çevresini izleyerek API ağ geçitlerinin büyük güvenlik açıkları tarafından istismar edilmesini önler.

Web Uygulaması ve API Koruması (WAAP), işleri bir adım daha ileri götürür. Tamamen bir uygulamanın halka açık sınırında bulunur ve gelen tüm trafiği analiz eder. WAAP'ler, meşru trafik ve istek kalıplarını izleyerek, API'leri korumak için özel olarak tasarlanmış son derece uzmanlaşmış güvenlik araçlarıdır.

WAAP uç nokta düzeyinde bir savunma sistemiyken, Runtime Application Self Protection (RASP) çözümleri belirli web uygulamalarını sarar. WAF'tan farklı bir RASP çözümü, uygulamasının dahili çalışmaları ve davranışları hakkında da bilgi sahibidir. Bu şekilde, bir API bir saldırıda dayanak noktası olarak kullanılırsa ve olması gerekenden daha fazla bilgi için sorgulanırsa, bir RASP bir saldırıyı proaktif olarak kapatabilir.

Mevcut sayısız API koruma seçeneğiyle, uygulamalarınızın ve kuruluşunuzun güvenliğini sağlamak hiç bu kadar kolay olmamıştı.