Yeni Veriler Bilinmeyen Risk Hakkında Neleri Ortaya Çıkarıyor? - Dünyadan Güncel Teknoloji Haberleri

Yeni Veriler Bilinmeyen Risk Hakkında Neleri Ortaya Çıkarıyor? - Dünyadan Güncel Teknoloji Haberleri

Bu çalışma, 100’den fazla ülke ve altı büyük sektörden 1

API’lerin kurumsal altyapılardaki rolü büyümeye devam ettikçe, ilişkili bilinmeyen riskler görünmez bir tehdit haline geliyor Bu kadar kapsamlı bir dijital temas noktaları ağı kaçınılmaz olarak saldırı yüzeyini genişletiyor En endişe verici olanı, bunu ihmal edilebilir olarak gören yüzde sekizdir Risk değerlendirmesinin hacmi, çeşitliliği ve sıklığı arasındaki bu bağlantı, birçok kuruluşun en büyük güvenlik açıklarını bulabileceği yerdir


Hızla gelişen dijital ortam, büyük ölçüde bulut uygulamalarının yaygınlaşması nedeniyle kuruluşlara zengin yetenekler kazandırdı

Bilinmeyeni Yorumlamak

Bilinmeyen risk sorununun özü, yalnızca API’lerin karşılaşabileceği somut tehditlerle ilgili değil, aynı zamanda kuruluşların bu tehditleri etkili bir şekilde tanımasını ve ele almasını engelleyen somut olmayan engellerle de ilgilidir

Bu geniş dijital manzara çok büyük bir potansiyele işaret ediyor, ancak hiç kimse onun sunduğu kapsamlı saldırı yüzeyini küçümsememeli 500’den fazla bulut uygulamasını devreye alıyor ve bu da yüksek düzeyde dijital bağımlılık ve bağlantıya işaret ediyor

  • API riskiyle ilgili çeşitli algılar: Endüstrinin API ile ilgili risk algısı büyük ölçüde farklılık göstermektedir Veriler durumun ciddiyetini vurguluyor: API ile ilgili saldırıların yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir; bu da saldırganların çoğunluğunun bilinmeyen riskten yararlandığını gösteriyor Eş zamanlı olarak kuruluşların %88’i 2 Kuruluşların %40’ı API’lerini güvenlik açıklarına karşı yalnızca aralıklı olarak test ettiğinden, pek çok potansiyel tehdit radarın altında kalıyor

    Temel zorluk, birçok kuruluşun API riskinin boyutu konusunda karanlıkta kalmasıdır Bu, dahili olarak geliştirilen API’lerle sınırlı değildir Katılımcıların %27’si API güvenlik profili oluşturmaya en yüksek önceliği verirken, önemli bir kısmı potansiyel olarak dijital çerçevelerinde gizlenen gizli tehditlerden habersiz kalıyor Hem kurumsal hem de start-up alanlarında C düzeyinde bir yönetici olarak geniş deneyime sahip olan Richard, siber güvenlik, veri gizliliği, kimlik ve sıfır güven konularındaki uzmanlığıyla dünya çapında tanınmaktadır Ancak bu nimetle birlikte potansiyel bir bela da geliyor: Kuruluşların tam olarak takdir edemeyebileceği, hatta fark edemeyebileceği bilinmeyen riskler

    yazar hakkında

    Richard Bird, Traceable’da Baş Güvenlik Görevlisi olarak görev yapıyor

    Bilinmeyen Risklerin Çözümü

    Araştırmanın bulgularında öne çıkan temel sorun bilinmeyen risk meselesidir Bu dağınık duruş, endüstrinin API riskini tutarsız bir şekilde anladığını ve kabul ettiğini vurguluyor ve birçok kuruluşun dijital zırhında potansiyel bir çatlağın sinyalini veriyor 629 katılımcının görüşlerini topladı Traceable’ın verilerine daha derinlemesine bir bakış “2023 API Güvenliğinin Durumu: Küresel Bulgular“Rapor, bu bilinmeyen risklerin doğasına dair derin bilgiler sağlıyor Veriler endişe verici: Kuruluşların %74’ü son iki yılda API ile ilgili en az üç veri ihlaliyle karşılaştı Bu yalnızca daha fazla API’yi yönetmekle ilgili değil; kör noktaların nerede olduğunu anlamak ve bunlara proaktif bir şekilde değinmekle ilgilidir Şaşırtıcı bir şekilde, kuruluşların yalnızca %27’si her API için bir güvenlik riski profiline sahip olmaya çok yüksek öncelik veriyor ve bu da risk değerlendirmesinde olası bir gözetimin altını çiziyor



    siber-1

    Araştırmaya göre yanıt verenlerin %58’i, API’lerin tüm teknoloji katmanlarında saldırı yüzeyini her zaman genişlettiğine ya kesinlikle katılıyor ya da katılıyor Bu karmaşıklığın altını çizen araştırmaya katılanların %58’i, API’lerin tüm teknoloji yığınındaki saldırı yüzeyini tartışmasız şekilde güçlendirdiği konusunda hemfikir Yanıt verenlerin %52’si buna öncelik verilmesinin gerekliliğini kabul ederken, neredeyse buna eşdeğer olan %47’lik bir kesim bunun düşük ila orta derecede önemli olduğunu düşünüyor Bu birkaç nedenden dolayı kritiktir:

    1. Çok sayıda API’ler: Rakamları düşünün; kuruluşların %88’i 2 Geniş bir kitlenin erişebildiği genel API’ler çok çeşitli saldırı vektörlerine açık olabilir; genellikle güvenli olarak algılanan dahili API’ler ise içeriden gelen tehditlere karşı savunmasız olabilir Üretken bir açılış konuşmacısı olarak siber güvenlik gerçeklerini iş zorunluluklarıyla uyumlu hale getirme konusunda uzmandır API güvenliğine öncelik verilmesini engelleyen faktörler sorulduğunda, %49’u yönetimin riski hafife aldığını belirtirken, %37’si tehdit azaltma tedbirlerini anlamakta zorluk çekti Bu, artan ihlallerdeki rahatsız edici eğilimi vurgulayan bir uyandırma çağrısı görevi görüyor Her API için bir güvenlik riski profiline sahip olmanın önemi sorulduğunda yanıtlar geniş bir yelpazeye yayılıyor

    2. Bilinmeyen risk ve genişleyen saldırı yüzeyi: Bilinmeyen risk kavramı, doğası gereği genişleyen API ortamına bağlıdır Bu potansiyel gözetim, saldırıların önlenmesinde yalnızca %26’lık bir güven düzeyine yol açarken, API saldırılarının yalnızca %21’i tespit edilebilir ve kontrol altına alınabilir API ihlallerindeki artışa rağmen kuruluşların %40’ı sürekli olarak API’lerinin yalnızca bir kısmını güvenlik açıklarına karşı test ediyor CyberTheory Zero Trust Enstitüsü Kıdemli Üyesi ve Forbes Teknoloji Konseyi üyesi olan Richard’ın görüşleri genellikle Wall Street Journal, CNBC ve CNN gibi önde gelen medya kuruluşlarında yer alıyor Kuruluşlar, işlevleri genişletmek için rutin olarak üçüncü taraf API’leri entegre eder ve her entegrasyon, titiz inceleme gerektiren yeni bir potansiyel saldırı vektörünü temsil eder Bu iki yönlü bir zorluktur: Birincisi, kuruluşları potansiyel riskler konusunda bilinçlendirmek, ikincisi ise onları bu riskleri azaltacak araçlar, bilgi ve kaynaklarla donatmak

      API’ler: Saldırı Yüzeyini Genişletme

      API’lerin çoğalması, potansiyel güvenlik açıklarının ve saldırı vektörlerinin kapsamını önemli ölçüde genişletiyor 500’den fazla bulut uygulaması kullanıyor ve binlerce API’yi yönetiyor Bu API’lerin risk profilleri değişebilir

    3. API türlerindeki çeşitlilik: Bu, iş ortaklarına açık, üçüncü taraf ve diğer API türlerinden oluşan bir yelpazeye sahip, karmaşık bir dijital dokudur