Güvenlik analistleri, son yıl boyunca API saldırılarında keskin bir artışla, çoğu şirket hala sorunu çözmek için yetersiz uygulamaları takip ediyor.
Daha spesifik olarak, tuz güvenliği, 2021'de API saldırı trafiğinin% 681'inin bir büyümesini bildirirken, genel API trafiği% 321 oranında artmıştır.
Bu istatistikler, endüstrilerin API çözümlerini benimsemelerinin, onlara karşı saldırıların orantısız olarak arttığını vurguluyor.
Tuz güvenliğinin raporunda sunulan tüm veriler, çeşitli boyutlarda şirketler için çalışan 250 çalışanın çeşitli bir demografisi anketinden alınmıştır.
API (Uygulama Programlama Arabirimi), veri alışverişinde bulunan bağlantılara dayanan çevrimiçi hizmetleri destekleyen bir yazılım arayüzüdür.
Bu bağlantıların kimliği doğrulanmamış erişimlerden korunması gerekir; Aksi takdirde, herkes kullanıcılar ve programlar arasındaki etkileşimin içeriğini koparabilir.
Bir API saldırısı, veri ihlallerini, DDOS, SQL enjeksiyonu, orta atakları, kötü amaçlı yazılımları yaymak veya herhangi birinin kullanıcı olarak kimlik doğrulamasını sağlamak için API özelliklerini kötüye kullanır.
Bu saldırıların riskleri, büyük ölçekli ve korkunçtur, bu nedenle tuz güvenliğinin anketindeki katılımcıların% 62'si API güvenlik endişeleri nedeniyle uygulamaların konuşlandırılmasını geciktirdi.
Tuz Güvenliği Pinpoints Sorun, üretim öncesi API güvenliğine ve geliştirme aşamasında güvenlik sorunlarını belirleme konusundaki aşırı güvenilirdir.
Gerçeklik, çoğu API'nin saldırdığı, yalnızca uygulamaların çalışma zamanı aşamasına girdiğinde belirginleşen mantık kusurlarını sömürdüğünü göstermiştir. Bununla birlikte, sadece çeyrek şirketler hala bu son noktada güvenlik ekipleri kullanıyor.
Ek olarak, şirketlerin% 34'ü herhangi bir API güvenlik stratejisine sahip değildir, bu nedenle yalnızca API çözümünün satıcısına güveniyorlar.
Son olarak, API ağ geçitlerini veya WAF'lerin, XSS, SQL ve JSON enjeksiyon saldırılarını tespit etmek ve durdurmak için yeterli olmadığını gösteriyor, çünkü bunlar yalnızca tehdit aktörleri gerekli keşifleri tamamladıktan ve kullanılabilir güvenlik boşluklarını tanımladıktan sonra yapıldıktan sonra yapıldığı gibi.
Çoğu kuruluş, API güncellemeleri ve ilk istihdamdan sonra belirli bir özellik zenginleştirmesi gerektirir, bu da giderek daha zorlu bir proje oluşturur.
Tuz güvenliği, anket katılımcılarının% 83'ünün, envanterlerinin ve belgelerinin mevcut tüm API işlevlerinin yansıttığı konusunda güven eksik olduğunu bildirmektedir.
Bir daha% 43'ü, artık uygulamalarında aktif olarak kullanmayan, ancak tehdit aktörlerinin kötüye kullanılması için hala potansiyel olarak kullanılabilir olan güncel olmayan API fonksiyonlarıyla ilgili endişeleri bildirdi.
Tuz güvenliği, endüstrinin API güvenliğini nasıl algılayıp işlediği ancak henüz orada olmadığımızı nasıl uyaran bir değişim belirtileri görür.
Raporda verilen ana güvenlik önerileri aşağıdakilerdir:
Bu bootcamp paketiyle yazılım geliştirme süreçlerini öğrenin
Google Chrome, kullanıcıların kaydedilen şifrelere not eklemelerini sağlamak için
Python becerilerinizi bu eğitim paketi ile oluşturun
Bu tam kod eğitim paketi ile Java becerilerinizi keskinleştirin
DPD Group Parsel İzleme Kusuru Müşteri Verilerini Açmış Olabilir
Kaynak: Bleeping Computer