“Göremediğin Şeyi Koruyamazsın”: Zombie ve Shadow API

BT modernizasyonu ve dijital dönüşüm girişimleri, daha hızlı yazılım dağıtım yaşam döngüleriyle birleştiğinde, kuruluşlar içindeki API ekosistemlerinin boyutunda ve ölçeğinde katlanarak bir artışa neden oldu. 

Tüketicileri ve işletmeleri hayati veri ve hizmetlere hızlı ve sorunsuz bir şekilde bağlamak için tasarlanan API'ler, modern kuruluşlara ve uygulamalara güç verir. 

API'ler sürekli olarak devrededir ve tüketiciler nihayet hayallerindeki tatil için rezervasyon yaptırdıklarında veya uzun bir iş gününün ardından çevrimiçi yemek servisi siparişi verdiklerinde arka planda çalışırlar. 

API kullanımının bu kadar yaygın olması, her sektöre dokunması ve erişmeyi övündükleri hassas veri hazineleri göz önüne alındığında, siber suçluların kötü niyetli saldırılar gerçekleştirmek için API'leri giderek daha fazla istismar etmesi ve kötüye kullanması şaşırtıcı değil.

API saldırılarının hızı ve ölçeği, birçok kişinin API güvenlik duruşlarının gücünü sorgulamasına ve çoğu API merkezli riskin nerede devam ettiğini derinlemesine analiz etmesine neden oldu. 

Bu bizi Zombies'e, yani Zombie API'lerine getiriyor. Eğer isim tek başına başlangıçta korku uyandırmıyorsa, Zombie API'leri bir kuruluş tarafından terk edilmiş, güncelliğini kaybetmiş veya unutulmuş API'lerdir. 

Salt Security'nin son araştırması, güvenlik liderlerinin %54'ünün, API güvenliği söz konusu olduğunda Zombie API'lerini en büyük endişeleri olarak sınıflandırdığını ortaya çıkardı. Önceki rapordaki %42'den daha yüksek.

Zombie API'leri esasen unutulduğundan ve umursanmadığından, işlevsel veya güvenlik açısından düzenli bir yama veya güncelleme yapılmamaktadır. Bu nedenle Zombie API'leri artan bir güvenlik riski haline gelme gücüne sahiptir. API dokümantasyonundan ve güvenlik testi programlarından kaldırılırlar, zamanla çürümeye ve yeni güvenlik açıklarının açığa çıkmasına neden olurlar.

Zombie API'leri siber dayanıklılığa yönelik önemli tehditler oluştursa da API güvenliği konusunda endişe yaratan bir başka önemli neden daha var: Shadow (Gölge)  API'lerin varlığı. Shadow (Gölge) API'ler, bir kuruluşun resmi API ekosisteminin dışında bulunan, çoğu kişi tarafından görülemeyen ve güvenlik denetimlerinden yoksun kalan üçüncü taraf API'ler olarak tanımlanabilir. Çoğu zaman bu tür API'ler, iş ve uygulama yenilik taleplerini karşılamak için iyi niyetli geliştiriciler tarafından, zaman darlığında oluşturulup dağıtılır. Geliştiricinin kötü niyeti olmamasına rağmen, yönetilmeyen, kısıtlanmayan bu API'ler ciddi güvenlik açıklarına neden olma potansiyeline sahiptir. Shadow (Gölge) API'ler genellikle doğru API yönetişim standartlarına uyma konusunda başarısız olur, OWASP API Güvenliği İlk 10'da belirtilenler gibi en iyi güvenlik uygulamalarını karşılayamayabilir ve ayrıca hassas verileri açığa çıkarabilir.

Zombi ve Shadow (Gölge) API'lerinin varlığı kuruluşlar arasında yaygın olmaya devam ediyor ve bu da kurnaz ve sinsi kötü aktörlerin saldırı gerçekleştirmesi için birçok fırsat yaratıyor. Her ikisinin de temel nedeni basit: Geliştiriciler ve güvenlik ekipleri arasındaki kopuk ve silolanmış iletişim. Geliştiriciler ve mühendislik ekipleri, yeniliğe ayak uydurmak için hızla API'ler oluşturuyor ve güvenlik personeli de bilinçli olarak bunları korumaya ve yönetmeye çalışıyor. Ancak her ikisi de API ekosisteminin güvenliğinin sağlanmasında önemli bir rol oynuyor. Özellikle API dokümantasyonu ve envanter yönetimi ile ilgili olarak. Dediğimiz gibi “göremediğin şeyi koruyamazsın”.

Geliştiricilerin ve mühendislerin yalnızca oluşturulan ve dağıtılan API'lerin sağlam bir kataloğunu tutma sorumluluğu yoktur, aynı zamanda kullanımdan kaldırılan API'lerin artık kullanılmadığı konusunda uygun tarafları bilgilendirme görevi de vardır. API envanterlerinin eksiksiz kalmasını sağlamak, uygun yama ve test girişimlerinin gerçekleştirilmesini sağlamak ve süresi dolmuş API'lerin tamamen kaldırılmasına olanak sağlamak için bu bilgiler güvenlik ekipleriyle sürekli olarak paylaşılmalıdır.

Zombie API'lerinin hacminin azaltılması, geliştirici ve güvenlik ekiplerinin sağlam API kullanımdan kaldırma politikalarını ve prosedürlerini kapsamlı bir şekilde tanımlamak ve ifade etmek ve bu tür etkinliklerin yürütülmesinden kimin sorumlu olduğunu belirlemek için birbirleriyle irtibat kurmasını gerektirir. Bu uygulama, etkin olmayan API'lerin resmi olarak ekosistemden çıkarılmasını sağlayacak ve saldırganların gelecekte misilleme yapmasını önleyecektir.

Benzer şekilde, Shadow (Gölge)  API'lerinin tehdidini azaltmak, ekipler arasında derin bir sinerji ve iş birliği ile güçlü DevSecOps uygulamalarını da gerektirir. Güvenlik ekipleri, oluşturulan API'lere yönelik yönetişim politikalarını tanımlamak ve uygulamak için mühendisler ve geliştiricilerle birlikte çalışmalıdır. Bu politikalar, hangi kişilerin yeni API'ler oluşturabileceğini, bunların nasıl tasarlanması, dağıtılması ve kullanılması gerektiğini açıkça tanımlamalı ve yeni API'lerin üretime aktarılmadan önce geçmesi gereken gerekli test mekanizmalarına ilişkin fikir sunmalıdır.

Zombie ve Shadow API'lerinin varlığı ve yaygınlaşması sonuçta iki faktöre bağlıdır: kopuk iletişim ve insan hatası. Geliştiriciler ve güvenlik ekipleri arasındaki iletişim ve sağlam iş birliğinin engellerini ortadan kaldırmak, API belgelerini ve envanter yönetimini önemli ölçüde iyileştirecek ve en iyi güvenlik uygulamalarının uygulanmasına yardımcı olacaktır. Bu olmadan, kuruluşlar API riskiyle boğuşmaya devam edecek, olası tehditlerden şüphelenmeyecek ve istismarlara karşı korunmayacaktır.