Yeni Veriler Bilinmeyen Risk Hakkında Neleri Ortaya Çıkarıyor? - Dünyadan Güncel Teknoloji Haberleri

Yeni Veriler Bilinmeyen Risk Hakkında Neleri Ortaya Çıkarıyor? - Dünyadan Güncel Teknoloji Haberleri
Veriler durumun ciddiyetini vurguluyor: API ile ilgili saldırıların yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir; bu da saldırganların çoğunluğunun bilinmeyen riskten yararlandığını gösteriyor Her API için bir güvenlik riski profiline sahip olmanın önemi sorulduğunda yanıtlar geniş bir yelpazeye yayılıyor Bu karmaşıklığın altını çizen araştırmaya katılanların %58’i, API’lerin tüm teknoloji yığınındaki saldırı yüzeyini tartışmasız şekilde güçlendirdiği konusunda hemfikir Bu API’lerin risk profilleri değişebilir API ihlallerindeki artışa rağmen kuruluşların %40’ı sürekli olarak API’lerinin yalnızca bir kısmını güvenlik açıklarına karşı test ediyor Bu potansiyel gözetim, saldırıların önlenmesinde yalnızca %26’lık bir güven düzeyine yol açarken, API saldırılarının yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir Bu, dahili olarak geliştirilen API’lerle sınırlı değildir



siber-1

  • API türlerindeki çeşitlilik: Bu, iş ortaklarına açık, üçüncü taraf ve diğer API türlerinden oluşan bir yelpazeye sahip, karmaşık bir dijital dokudur

    API’lerin kurumsal altyapılardaki rolü büyümeye devam ettikçe, ilişkili bilinmeyen riskler görünmez bir tehdit haline geliyor Şaşırtıcı bir şekilde, kuruluşların yalnızca %27’si her API için bir güvenlik riski profiline sahip olmaya çok yüksek öncelik veriyor ve bu da risk değerlendirmesinde olası bir gözetimin altını çiziyor Kuruluşlar, işlevleri genişletmek için rutin olarak üçüncü taraf API’leri entegre eder ve her entegrasyon, titiz inceleme gerektiren yeni bir potansiyel saldırı vektörünü temsil eder Risk değerlendirmesinin hacmi, çeşitliliği ve sıklığı arasındaki bu bağlantı, birçok kuruluşun en büyük güvenlik açıklarını bulabileceği yerdir Yanıt verenlerin %52’si buna öncelik verilmesinin gerekliliğini kabul ederken, neredeyse buna eşdeğer olan %47’lik bir kesim bunun düşük ila orta derecede önemli olduğunu düşünüyor 500’den fazla bulut uygulamasını devreye alıyor ve bu da yüksek düzeyde dijital bağımlılık ve bağlantıya işaret ediyor Eş zamanlı olarak kuruluşların %88’i 2 629 katılımcının görüşlerini topladı Traceable’ın verilerine daha derinlemesine bir bakış “2023 API Güvenliğinin Durumu: Küresel Bulgular“Rapor, bu bilinmeyen risklerin doğasına dair derin bilgiler sağlıyor

    Bilinmeyen Risklerin Çözümü

    Araştırmanın bulgularında öne çıkan temel sorun bilinmeyen risk meselesidir

    Temel zorluk, birçok kuruluşun API riskinin boyutu konusunda karanlıkta kalmasıdır

    Bu çalışma, 100’den fazla ülke ve altı büyük sektörden 1 Katılımcıların %27’si API güvenlik profili oluşturmaya en yüksek önceliği verirken, önemli bir kısmı potansiyel olarak dijital çerçevelerinde gizlenen gizli tehditlerden habersiz kalıyor En endişe verici olanı, bunu ihmal edilebilir olarak gören yüzde sekizdir Bu, artan ihlallerdeki rahatsız edici eğilimi vurgulayan bir uyandırma çağrısı görevi görüyor Veriler endişe verici: Kuruluşların %74’ü son iki yılda API ile ilgili en az üç veri ihlaliyle karşılaştı Bu kadar kapsamlı bir dijital temas noktaları ağı kaçınılmaz olarak saldırı yüzeyini genişletiyor Ancak bu nimetle birlikte potansiyel bir bela da geliyor: Kuruluşların tam olarak takdir edemeyebileceği, hatta fark edemeyebileceği bilinmeyen riskler Bu birkaç nedenden dolayı kritiktir:

    1. Çok sayıda API’ler: Rakamları düşünün; kuruluşların %88’i 2

      API’ler: Saldırı Yüzeyini Genişletme

      API’lerin çoğalması, potansiyel güvenlik açıklarının ve saldırı vektörlerinin kapsamını önemli ölçüde genişletiyor

      yazar hakkında

      Richard Bird, Traceable’da Baş Güvenlik Görevlisi olarak görev yapıyor Bu iki yönlü bir zorluktur: Birincisi, kuruluşları potansiyel riskler konusunda bilinçlendirmek, ikincisi ise onları bu riskleri azaltacak araçlar, bilgi ve kaynaklarla donatmak API güvenliğine öncelik verilmesini engelleyen faktörler sorulduğunda, %49’u yönetimin riski hafife aldığını belirtirken, %37’si tehdit azaltma tedbirlerini anlamakta zorluk çekti CyberTheory Zero Trust Enstitüsü Kıdemli Üyesi ve Forbes Teknoloji Konseyi üyesi olan Richard’ın görüşleri genellikle Wall Street Journal, CNBC ve CNN gibi önde gelen medya kuruluşlarında yer alıyor Hem kurumsal hem de start-up alanlarında C düzeyinde bir yönetici olarak geniş deneyime sahip olan Richard, siber güvenlik, veri gizliliği, kimlik ve sıfır güven konularındaki uzmanlığıyla dünya çapında tanınmaktadır Geniş bir kitlenin erişebildiği genel API’ler çok çeşitli saldırı vektörlerine açık olabilir; genellikle güvenli olarak algılanan dahili API’ler ise içeriden gelen tehditlere karşı savunmasız olabilir Bu yalnızca daha fazla API’yi yönetmekle ilgili değil; kör noktaların nerede olduğunu anlamak ve bunlara proaktif bir şekilde değinmekle ilgilidir

      Bu geniş dijital manzara çok büyük bir potansiyele işaret ediyor, ancak hiç kimse onun sunduğu kapsamlı saldırı yüzeyini küçümsememeli Araştırmaya göre yanıt verenlerin %58’i, API’lerin tüm teknoloji katmanlarında saldırı yüzeyini her zaman genişlettiğine ya kesinlikle katılıyor ya da katılıyor 500’den fazla bulut uygulaması kullanıyor ve binlerce API’yi yönetiyor Üretken bir açılış konuşmacısı olarak siber güvenlik gerçeklerini iş zorunluluklarıyla uyumlu hale getirme konusunda uzmandır Bu dağınık duruş, endüstrinin API riskini tutarsız bir şekilde anladığını ve kabul ettiğini vurguluyor ve birçok kuruluşun dijital zırhında potansiyel bir çatlağın sinyalini veriyor

    2. API riskiyle ilgili çeşitli algılar: Endüstrinin API ile ilgili risk algısı büyük ölçüde farklılık göstermektedir


      Hızla gelişen dijital ortam, büyük ölçüde bulut uygulamalarının yaygınlaşması nedeniyle kuruluşlara zengin yetenekler kazandırdı

    3. Bilinmeyen risk ve genişleyen saldırı yüzeyi: Bilinmeyen risk kavramı, doğası gereği genişleyen API ortamına bağlıdır

    Bilinmeyeni Yorumlamak

    Bilinmeyen risk sorununun özü, yalnızca API’lerin karşılaşabileceği somut tehditlerle ilgili değil, aynı zamanda kuruluşların bu tehditleri etkili bir şekilde tanımasını ve ele almasını engelleyen somut olmayan engellerle de ilgilidir Kuruluşların %40’ı API’lerini güvenlik açıklarına karşı yalnızca aralıklı olarak test ettiğinden, pek çok potansiyel tehdit radarın altında kalıyor