Mobil uygulamalar, bulut hizmetleri ve Web uygulamalarındaki patlama endişe verici bir eğilime yol açtı: Saldırganlar, kendilerini destekleyen API'leri giderek daha fazla hedefliyor. Kuruluşların bu zengin veri bağlayıcılarını güvence altına almak için araçlara ihtiyacı var ve CrowdStrike'ın Salt Security'ye yatırım yaptığına dair duyurusu, API güvenliğinin Web uygulama güvenliğinde oynadığı kritik rolü vurguluyor.
API'ler - uygulama programlama arabirimleri - modern kuruluşlarda her yerde bulunur. Aşağıdakileri göz önünde bulundur:
- Harita ve konum verilerini görüntüleyen bir Web uygulaması, Google Haritalar API'sına dayanır.
- "PayPal ile Öde" özelliği gibi birden fazla ödeme seçeneği sunan bir e-ticaret uygulaması bir API kullanıyor.
- Perakendeciler, paketin doğru bir şekilde alınmasını ve teslim edilmesini sağlamak için kuryeler ve teslimat şirketleriyle çalışmak için API'leri kullanır.
- Firmalar API üzerinden yazılım gönderebilirler. Tesla'nın yaptığı da bu.
Salt Security CEO'su ve kurucu ortağı Roey Eliyahu yaptığı açıklamada, "API'ler, günümüzün dijital inovasyonunu yönlendiren kritik verileri ve hizmetleri birbirine bağlıyor" dedi.
Geliştiriciler, sıfırdan başlamak zorunda kalmadan yeni özellikler ve ürünler oluşturmak için uygulamalarını birden çok veri kaynağına ve hizmete bağlamak için API'lere güvenir. Örneğin, pek çok kuruluşun ayrıntılı haritaları sürdürecek kaynakları veya verileri yoktur, ancak Google Haritalar bilgileri bir API aracılığıyla sunduğu için buna da gerek yoktur. Ancak, API'lerin erişime sahip olduğu gerçeği hassas veriler ve sistemler onları savunmasız hale getirir. API bir şekilde kötüye kullanılırsa bu, temeldeki verileri açığa çıkarabilir ve veri ihlaline neden olabilir.
A Peloton API'sinde hata Bir kullanıcının profili gizli olarak ayarlanmış olsa bile, herhangi birinin, kullanıcıların özel hesap verilerini doğrudan Peloton sunucularından çekmesine izin verdi. Bir finansal borç verme sitesiyle ilgili benzer bir durum söz konusuydu. sızdıran Experian API'si herkesin sadece bir isim ve posta adresiyle başka birinin kredi puanlarına bakmasına izin verdi.
Gartner analistleri Jeremy D'Hoinne ve Mark O'Neill, "Kuruluşlar, ağ ve uygulama güvenliği uygulamalarının olgunluğunu çok aşan bir oranda çok sayıda API üretiyor" diye yazdı. API güvenliği hakkında son "Gartner Predicts" raporu. "Güçlü envanter ve gerçek zamanlı keşif, kuruluşun ürettiği tüm API'lerde yeterli görünürlük elde etmek için gereklidir."
Finansal açıdan CrowdStrike'ın yatırımı mantıklı. API güvenlik pazarının 26.3 ile 2022 arasında %2032 büyümesi bekleniyor. Future Market Insights'tan araştırma bu aydan daha erken. Gartner, API saldırılarının yakında Web uygulamaları için en yaygın saldırı vektörü haline geleceğini tahmin ediyor.
Yatırıma ek olarak CrowdStrike, API'leri ve API keşfini ve uygulamalar için çalışma zamanı korumasını güçlendirmek için güvenlik testleri konusunda Salt Security ile çalışmayı planladığını söylüyor.
