API'lerinizin güvenliğini artırmak için 7 taktik

Güvenlik uzmanları, tüm veri akışlarınız için temel güvenlik standartları belirlemenizi, tedarikten yardım almanızı ve bir API envanteri oluşturmanızı önerir.

Siber güvenlik kilidi. Güvenlik bilgisayarı Veri kilitli İnternet koruması, mikro şema çipinde anahtar. Hacker saldırısı ve veri ihlali, bilgi sızıntısı konsepti.

Siber güvenlik kilidi. Güvenlik bilgisayarı Veri kilitli İnternet koruması, mikro şema çipinde anahtar. Hacker saldırısı ve veri ihlali, bilgi sızıntısı konsepti. (Siber güvenlik kilidi. Güvenlik bilgisayarı Veri kilitli İnternet koruması, mikro şema üzerinde anahtar

Getty Images/iStockphoto

Garaj kapısı açıcılardan milyonlarca dolarlık traktörlere kadar, API beslemeleri her yerde evlerde, ofislerde, üretim tesislerinde ve şantiyelerde bulunan cihazlarda güvenlik açıklarını açar. Bu veri akışlarının açık doğası, hizmeti hem kullanışlı hem de riskli hale getirir. API'ler, ortakların verilere ve bilgilere erişmesini kolaylaştırır, ancak aynı zamanda kötü aktörler için de kapıyı açık bırakır.

Mayısta, Peloton'un sızdıran API'si kullanıcı verilerini halka ifşa etti, doğum tarihi, cinsiyet, konum dahil, özel olarak ayarlanmış hesaplar için bile.

Android cihazlardaki yüzlerce üçüncü taraf uygulamasına, Google ve Apple'ın API'si üzerine inşa edilmiş kişi izleme uygulamaları tarafından kaydedilen hassas verilere erişim izni verildi. güvenlik araştırmacılarının raporlarına göre Nisan içinde.

Ayrıca Nisan ayında, güvenlik araştırmacıları şunu buldu: John Deere'ın API güvenlik açıkları da vardı bu, bilgisayar korsanlarının araç sahibinin adını, adresini ve aracın VIN'ini görmelerine izin verebilirdi. Bu bilgilere kötü bir aktör tarafından erişildiğine dair bir kanıt yok.

Cequence Security'de ikamet eden bilgisayar korsanı Jason Kent, API verilerini çalmanın çok az çaba gerektirdiğini söyledi.

"Peloton hack ile tepki, 'Ne sıkıcı bir saldırı, kim bu kadar kolay olacağını düşünebilirdi?' oldu" dedi.

Kent, sorunun, şirketlerin verilere erişimi güvence altına almadan daha fazla üçüncü taraf uygulamasına izin vermesi ve bunun ardından veri sızıntısına neden olması olduğunu söyledi.

"2009'dan itibaren web güvenliği hakkında düşünürseniz, API'lerle aynı yerdeyiz" dedi.

Kent, akıllı bir garaj kapısı açıcı satın almanın API'lerin güvenliğine olan ilgisini ateşlediğini söyledi. Açıcıyı kontrol eden uygulama ile olası güvenlik sorunlarını tespit etti ve bulgularını şirkete götürdü.

"Onlara rapor verdiğimde, yanıt 'Yapması zor görünüyor' oldu, ancak içeri girmek isteyen ve saldırmak isteyen birinin bakış açısından, öyle değil" dedi.

Forrester'ın baş analisti Sandy Carielli, şirketlerin kendi API'lerini güvence altına alma sorumluluğu olduğunu söyledi.

"API'leri kullanıma sunuyorsanız, onları güvence altına almanız gerekir" dedi. "API çağrısını yapan müşterilere, harici ortaklara veya diğer kişilere güvenemezsiniz."

GÖRMEK: Kurumsal profesyonellerin %91'i 2020'de bir API güvenlik olayı yaşadı (Teknoloji Cumhuriyeti)

Zorluk, API'leri güvence altına almak için tek bir araç olmamasıdır, dedi. Bunun yerine şirketlerin mevcut güvenlik risklerini ele alması ve işletim prosedürlerini de değiştirmesi gerekiyor.

API güvenliği nasıl iyileştirilir?

Kent ve Carielli, kısa ve uzun vadede API güvenliğini artırmak için bu tavsiyeyi paylaştı.

API'lerinize gelen trafiğe bakın

Kent, bunun size yayınlarınızı kimin kullandığı hakkında bir fikir vereceğini ve potansiyel güvenlik sorunlarını anlamak için iyi bir başlangıç ​​noktası olacağını söyledi.

"Gelen trafiği okursam, bir saldırganın bilgiyi nasıl kullanacağını gösterebilir" dedi.

Tüm API'ler için güvenlik standartlarını belirleyin

Başlamak için başka bir iyi yer, OWASP API standartları. API'lerin güvenliğini sağlamak için en iyi 10 uygulamanın listesi çok fazla alanı kapsar.

"Bu, güvenlik için kod yazma yaklaşımınızı değiştirmenizi sağlayacaktır" dedi.

Kent, endüstrinin genel güvenlik standartlarını da belirlemesi gerektiğini söyledi. Ödeme Kartı Sektörü Veri Güvenliği Standardı. Bu standardı ihlal eden şirketler, kredi kartlarını işleme yeteneğini kaybetme riskiyle karşı karşıyadır.

"Uyum, güvenliğe eşit değildir, ancak dolar ve toplantı odası ziyaretlerine eşittir" dedi.

Yetkilendirme ve kimlik doğrulama izinlerini gözden geçirin

OWASP listesindeki ilk öğe "bozuk nesne düzeyinde kimlik doğrulama"dır.

Kent, incelediği her API'de bu sorunu bulduğunu ve sorunları tespit edebilecek basit testler olduğunu söyledi. Bir kullanıcının kendi profilini ve başka bir kullanıcının profilini düzenleyip düzenleyemeyeceğini belirlemek gibi izinlerle başlamayı önerir.

Kent, "Ona herkes dokunabilir, herkes görebilir – nasıl güvence altına alacağımızı düşündüğümüzde bu tür bir zihniyete sahip olmamız gerekir" dedi.

Carielli, diğer zorluğun, geliştirmeden dağıtıma ve ötesine kadar API'nin yaşam döngüsü boyunca güvenlik kontrollerinin uygulanması gerektiğini söyledi.

"Tüm zaman boyunca dikkat etmelisin" dedi.

Tedarik ekibini konuşmaya dahil edin

Diğer bir operasyonel değişiklik, güvenlik endişelerini satın alma sürecinin bir parçası haline getirmektir. Kent, tedarik ekiplerinin bir güvenlik ihlaline fiyat etiketi eklemek gibi sözleşme diline güvenlik sorunları eklemeye başlaması gerektiğini söyledi.

"Dışarı çıkıp bir şey satın alırsanız, satın alma, güvenlik konularında sözleşme dilinde onları döver" dedi. "Güvenliğin her şeyin içine yerleştirildiğinden emin olmak için çok yönlü bir yaklaşım benimsemeniz gerekiyor."

API envanteri yapın

Carielli, şirketlerin kullandığı API'lerin hacmine her zaman şaşırdığını ve Kent, 25.000 uç noktası olan bir müşteriyle çalıştığını söyledi.

Carielli, yönetişimin API'leri güvence altına almanın büyük bir parçası olduğunu ve şirketlerin nelerin dağıtıldığını takip etmesi gerektiğini söyledi.

"Yetersiz keşifle ilgili sorunlar her zaman vardır ve birçok güvenlik sorunu geçmişteki kimlik doğrulamalarından kaynaklanmaktadır" dedi.

API araçlarına yatırım yapın

Carielli, güvenlik ekiplerinin soruna dikkat etmesi ve API araçlarına yatırım yapması nedeniyle API güvenliğinin durumu konusunda aslında biraz iyimser olduğunu söyledi.

"API çağrılarına nasıl yanıt verildiğine bakarak API çağrılarını analiz eden daha fazla dağıtım yan aracının yanı sıra yetkilendirme ve kimlik doğrulamayı işlemek için API ağ geçitleri var" dedi.

Kent, bir API güvenlik standardına sahip olmanın potansiyel riskleri tespit etmeyi kolaylaştırdığını söyledi.

"Bir tane yayınlarsanız, onu alıp tüketebilir ve spesifikasyona girip girmediğinizi görebiliriz" dedi.

Geliştiriciler için güvenlik eğitimini bir öncelik haline getirin

Carielli, çoğu geliştiricinin güvenli kod yazma konusunda çok fazla eğitim almadığını söyledi.

Carielli, "Bu eğitimi yapmak ve güvenlik açıklarını bulup düzeltebilmeniz için geliştirme sürecinin başlarında kontrolleri devreye sokmak kuruluştadır." Dedi.

Kent, uzun vadeli düzeltmenin, yalnızca yazılım alanında çalışan deneyimli yazılım mühendislerinin değil, tüm beceri seviyelerindeki geliştiricilerin güvenli kod yazmayı anlamalarını sağlamak olduğunu söyledi. DevSecOps.

"Bu, gelecek için bizim mücadelemiz, ancak yol boyunca kusurları bulmak şu anda bulunduğumuz yer" dedi.

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*