Modern API Güvenliği : SALT API SECURITY
API Güvenliğinde Güncel Yaklaşımlar
API güvenliği , diğer güvenlik sorunlarında olduğu gibi birçok iyileştirme çabasının bir kombinasyonu ve işinizin bir parçası olmalıdır.
Modern tehditleri ele alırken göz önünde bulundurmanız gereken bazı hususlar şunlardır;
Kimlik Doğrulama
Kimlik doğrulama güvenlik stratejisinin temelini oluştursa da
API güvenliği söz konusu olduğunda bir saldırgan için aşılması gereken düşük bir çıtadır. Sadece kimlik doğrulamaya güvenmek size gerçekten güvende olduğunuza dair yanlış bir his verebilir. Kararlı bir saldırgan için bunun ne kadar önemsiz olabileceğini göz ardı edemeyiz. Kimlik avı veya başka yollarla bir dizi kimlik bilgisi elde etmek hiç de zor değildir.
Yetkilendirme
Bir kullanıcının kimlik doğrulamasından sonra, yapmasına izin verilenler yetkilendirme yoluyla kontrol edilir. Yetkilendirme, bir kullanıcının neleri yapmaya yetkili olup olmadığını tanımlar. API’ler karmaşık bir ağ oluşturur , her uygulamaya özgü mantık , ancak bu karmaşıklık API aracılığıyla birden fazla uygulamaya bağlandıkça artar. Bunun üzerine bir de kullanıcıların, yöneticilerin, geliştiricilerin vb. çeşitli rolleri ve yetkilendirme gereksinimleri bu ağı daha da karmaşık hale getirir.
Hız Sınırlama
API güvenliğine yönelik bir başka yaklaşım da, API istekleri etkinlik miktarını sınırlamaktır. Hız sınırlaması hacim tabanlı dağıtılmış hizmet reddi DDoS ve kimlik bilgisi saldırıları veya botların site verilerini kazımasını ve manipüle etmesini engelleyebilir.
Web Uygulaması Güvenlik Duvarları
Modern API saldırıları ile Web Uygulaması Güvenlik Duvarları (WAF) için altın çağ kısmen kapandı. Bu araçların çoğu, siteler arası komut dosyası oluşturma (cross-site scripting XXS) gibi saldırılar ve SQL enjeksiyonu SQLi) gibi imza ve kural bazlı öngörülebilir saldırıları tanımlayabiliyordu.
WAF’larla ilgili zorluk imzaların bir kombinasyonuna bağlı olmalarıdır.
En son saldırı türlerini engellemek için imzaların güncel tutulması gerekir. Ve güvenliğiniz en son güncellemeniz kadar günceldir.
Sola Kayma
API’larını canlıya almadan önce iyileştirmek için bir dizi geliştirme yaklaşımı benimsenmiştir. Kod tarama, sızma testi ve geliştiricileri güvenlik konusunda daha bilinçli hale getirme. Bu yaklaşımlar yardımcı olur, ancak aynı zamanda karmaşıktırlar, zaman alıcı ve pahalı olmakla birlikte yine de boşluklar bırakmaktadır. Sınırlı geliştirme kaynakları ile güvenlik açıklarını düzeltmek zor olabilir. Ve bir geliştirici asla dolambaçlı yollar arayan bir saldırgan gibi düşünmeyecektir.
Bunları yaptınız , peki neden hala risk altındasınız?
Geleneksel güvenlik yaklaşımları hala geçerliliğini koruyor olsa da
güvenlik yığınınızda değer sağlamak için aşağıdakiler gerekli yeteneklerdir , modern uygulamalarınız ve API’leriniz için koruma sağlar.
Güçlü bir API Güvenlik Çözümünün Temel Bileşenleri;
İmzasız ve Konfigürasyon Gerektirmeyen Mimari
Uygulamalar sürekli değişmektedir ve her uygulama için mantık benzersizdir, yani imzalar etkisizdir. Konfigürasyon zaman ve uzmanlık gerektirir ve hataya açıktır ya da en azından muhtemelen eksik olacaktır. Güvenlik çözümlerinin, güvenlik sisteminizin benzersiz ayrıntılarını öğrenmesi gerekir. Etkili olabilmek için otonom bir şekilde uyum sağlamalı ve değişikliklere otomatik olarak ayak uydurmalıdır.
Sürekli Güncellenen Envanter
API’lerin kapsamlı bir envanterini oluşturmak ve riskinizi anlamak ve riskinizi uygun şekilde hizalamak için kritik öneme sahiptir. Güncel API kataloğunuzu otomatik olarak güncel tutmak , gölge ve zombi apilerden haberdar olmanızı ve hassas veri sızdıran apilerin farkına varmanızı sağlar.
Saldırı Tespiti ve Önleme
API saldırılarını etkili bir şekilde tespit etmek ve önlemek için
her bir API’nin mantığının derinlemesine anlaşılması gerekir. Buna dayanan bir çözüm API’leriniz için tipik davranışı öğrenmeli ve temel almalıdır ve durdurmak için bu tipik temel çizgiden ince sapmaları tespit edebilmelidir. Sapmalar iki kategoriye ayrılır ; zararsız olanlar ve
kötü niyetliler. Çözüm, ikisi arasında ayrım yapmalı ve yalnızca kötü niyetli olanlara odaklanmalıdır. Güvenlik ekiplerinin gerçekten kötü niyetli olanlara odaklanmasına ve bunları hızla engellemesine yardımcı olmalıdır. Bu içgörüyü erken sağlamak bir saldırganı nihai hedefine ulaşmadan önce durdurmak için kritik öneme sahiptir.
Zafiyetlerin Ortadan Kaldırılması
Güvenliği artırmanın en iyi yolu, geliştiricilerin güvenlik açıklarını ortadan kaldırmasıdır. Geliştiricilerin birincil odak noktası yeni özellikler yaratmak ve yenilik yapmak olduğundan, genellikle yoğun programlar altında çalışırlar. Bir güvenlik açığının neden ortaya çıktığına dair net bilgiler , nerede var olduğu ve en iyi nasıl çözüleceği, etkin bir iyileştirme sürecine katkı sağlar. Bu içgörülerin mevcut geliştirici araçlarına entegre edilmesi verimliliği daha da artırır ve güvenlik ile iş akışı arasındaki boşluğu doldurur. Sınırlı geliştirici kaynaklarından en iyi şekilde yararlanmanızı sağlar.
Özet
Bir zamanlar koruma sağlayan geleneksel yöntemler modern tehditlerden korunmak için artık yeterli değildir. Güvenlik stratejileri uygulamaların evrimini ve artık saldırganların evrimini dikkate alarak uygulamaların benzersiz mantığını hedefler. Çözüm şunları sağlamalıdır ; dinamik, değişen ortamlarda kapsamlı ve güncel görünürlük, ayrıca iş mantığını hedef alan ince saldırıları da tespit etmeli ve durdurmalıdır. Ve son olarak güvenlik duruşunu sürekli olarak iyileştirmek için ekiplerin API güvenlik açıklarını ortadan kaldırmasına yardımcı olacak içgörüler sağlamalıdır.
Çözüm : SALT SECURITY
API saldırılarını engellemeye yönelik tek Patentli API Context Engine (ACE) mimarisi ortamınızı temel alır ve anormallikleri tanımlar. Şüpheli bir etkinlik modeli arar ve etkinlikleri tek bir saldırgan zaman çizelgesinde birleştirerek yanlış pozitifleri azaltır ve uyarıların %96'sını ortadan kaldırır. Geliştirme ve güvenlik arasındaki boşluğu dolduracak çözüm olarak SALT SECURITY Api Güvenlik Platformu oldukça etkin bir araçtır.
