T-Mobile veri ihlali, API güvenliğinin göz ardı edilemeyeceğini gösteriyor


Intelligent Security Summit’teki tüm isteğe bağlı oturumlara göz atın burada.


Kurumsal güvenlik kolay değildir. Sistemler ve güvenlik açıkları etrafındaki küçük gözden kaçırmalar, milyonlarca kullanıcıyı etkileyen veri ihlallerine neden olabilir. Ne yazık ki, en yaygın gözden kaçırmalardan biri API’ler alanındadır.

Daha dün, T mobil bir tehdit aktörünün çaldığını ortaya çıkardı kişisel bilgi Açık bir API aracılığıyla (25 Kasım 2022 ile 5 Ocak 2023 arasında istismar ettikleri) 37 milyon faturalı ve ön ödemeli müşteri hesabı. Satıcı, bilgisayar korsanlarının API’den nasıl yararlandığını paylaşmadı.

Bu olay, müşteri verilerinin yanlış ellere geçmesini önlemek istiyorlarsa, API güvenliğinin CISO’lar ve kuruluşlar için gündemin en üstünde olması gerektiğini vurguluyor.

API istismarının eğilimi

Bulut benimsemenin son birkaç yılda önemli ölçüde artmasıyla birlikte, analistler uzun süredir işletmeleri büyük bir API istismarı dalgasının hazırlanmakta olduğu konusunda uyarıyorlar. 2021’de, Gartner 2023’te API kötüye kullanımının seyrekten en sık saldırı vektörüne geçeceğini tahmin etti.

Etkinlik

İsteğe Bağlı Akıllı Güvenlik Zirvesi

Yapay zeka ve makine öğreniminin siber güvenlikteki kritik rolünü ve sektöre özel vaka incelemelerini öğrenin. İsteğe bağlı oturumları bugün izleyin.

Buraya bak

Araştırmalar, güvenlik ve mühendislik uzmanlarının %53’ünün kuruluşlarının, güvenliği ihlal edilmiş API belirteçleri nedeniyle bir ağ veya uygulamada bir veri ihlali yaşadığını bildirdiğini gösteriyor.

Ayrıca, sadece bir ay önce, bilgisayar korsanları 235 milyon kişinin hesabını ve e-posta adreslerini ifşa etti. twitter Kullanıcılar, ilk olarak Haziran 2021’de gönderilen ve daha sonra yama uygulanan bir API güvenlik açığından yararlandıktan sonra.

Tehdit aktörleri API’lerden daha sık yararlanmaya çalıştıkça, kuruluşlar bu geniş saldırı yüzeyini korumak için eski siber güvenlik çözümlerine güvenmeyi göze alamazlar. Ne yazık ki, güncel çözümlere yükseltmeyi söylemek yapmaktan daha kolaydır.

CTO’su ve kurucu ortağı Chris Doman, “Yetkisiz API erişimi, kuruluşların – özellikle kurumsal şirketler için – çok büyük hacimleri nedeniyle izlemesi ve araştırması son derece zor olabilir” dedi. Güvenlik.

Doman, “Daha fazla kuruluş verileri buluta taşıdıkça, API güvenliği dağıtılmış sistemlerle daha da alakalı hale geliyor” dedi.

Doman, kendilerini T-Mobile’ın yaşadığı gibi olaylardan korumak isteyen kuruluşların, geleneksel günlük kaydının ötesinde API erişimi ve etkinliği konusunda “uygun görünürlüğe” sahip olmaları gerektiğini belirtiyor.

Bu önemlidir, çünkü günlük kaydı atlanabilir – bir durumda olduğu gibi güvenlik açığı saldırganların CloudTrail günlüğünü atlamasına izin veren AWS API’lerinde.

T-Mobile API veri ihlali ne kadar kötü?

T-Mobile, saldırganların kullanıcıların ödeme kartı bilgilerine, şifrelerine, ehliyetlerine, devlet kimliklerine veya sosyal güvenlik numaralarına erişemediğini iddia etse de, toplanan bilgiler sosyal mühendislik saldırıları gerçekleştirmek için bol miktarda malzeme sağlıyor.

Cliff Steinhauer, “T-Mobile, API istismarı yoluyla tehdit-aktör erişimini keserek verdiği yanıtın yanı sıra olayın ciddiyetini kamuya açıklamış olsa da, ihlal fatura adreslerini, e-postaları, telefon numaralarını, doğum tarihlerini ve daha fazlasını ele geçirmeye devam ediyor” dedi. , bilgi güvenliği ve katılım direktörü NCA.

Steinhauer, “Bu temel bilgiler, ancak kötü aktörlerin yeni saldırılar için kapasitelerini güçlendirebilecek yeterince inandırıcı bir toplum mühendisliği kampanyasının haritasını çıkarmak ve yürütmek için yeterli” dedi.

Bu saldırılar arasında kimlik avı saldırıları, kimlik hırsızlığı, iş e-postası gizliliği (BEC) ve fidye yazılımı yer alır.

API ihlalleri neden oluyor?

API’ler, farklı uygulamalar ve hizmetler arasındaki iletişimi kolaylaştırdıkları için tehdit aktörleri için birincil hedeftir. Her API, verileri üçüncü taraf hizmetlerle paylaşmak için bir mekanizma belirler. Bir saldırgan bu hizmetlerden birinde bir güvenlik açığı keşfederse, ortadaki adam saldırısının bir parçası olarak temeldeki verilere erişim elde edebilir.

API tabanlı saldırılarda bir artış var – bu öğelerin mutlaka güvensiz olması değil, birçok güvenlik ekibinin bırakın güvenlik açıklarını düzeltmeyi, API’leri geniş ölçekte tanımlayıp sınıflandırmaya yönelik süreçlere sahip olmaması.

“API’ler, uygulamalara ve verilere hazır erişim sağlamak için tasarlanmıştır. Bu, geliştiriciler için büyük bir avantaj, aynı zamanda saldırganlar için de bir nimet,” dedi Gartner’ın VP analisti Mark O’Neill. “API’leri korumak, API’lerinizi keşfetmek ve kategorilere ayırmakla başlar. Bilmediğiniz şeyi güvence altına alamazsınız.”

Elbette, API’lerin envanterini çıkarmak buzdağının yalnızca görünen kısmıdır; güvenlik ekipleri de onları güvence altına almak için bir stratejiye ihtiyaç duyar.

Ardından API ağ geçitlerinin, web uygulaması ve API korumasının (WAAP) kullanımını ve uygulama güvenlik testini içerir. Önemli bir sorun, API güvenliğinin iki gruba ayrılmasıdır: güvenlik becerilerine sahip olmayan mühendislik ekipleri ve API becerilerine sahip olmayan güvenlik ekipleri.”

Bu nedenle kuruluşların, ortamda kullanılan (veya geliştirilmekte olan) uygulamaların güvenliğini daha iyi değerlendirmek ve bunları güvence altına almak için bir strateji geliştirmek için DevSecOps tarzı bir yaklaşım uygulaması gerekir.

API güvenlik açıklarını belirleme ve azaltma

Kuruluşların API’lerdeki güvenlik açıklarını belirlemeye başlamasının bir yolu, sızma testi uygulamaktır. Dahili veya üçüncü taraf öncülüğünde bir sızma testi gerçekleştirmek, güvenlik ekiplerinin bir API’nin istismara karşı ne kadar savunmasız olduğunu görmelerine ve zaman içinde bulut güvenlik duruşlarını nasıl iyileştirebileceklerine ilişkin eyleme geçirilebilir adımlar sağlamasına yardımcı olabilir.

“Her tür yazılım için, şirketlerin güncellenmiş kod kullanmaları ve sistemlerinin güvenliğini kontrol etmeleri hayati önem taşır, örneğin sızma testi düzenleyerek – çeşitli davetsiz misafir türlerini simüle eden bir güvenlik değerlendirmesi … bunun amacı mevcut ayrıcalıkları yükseltmektir ve ortama erişin,” dedi baş güvenlik araştırmacısı David Emm Kaspersky.

Ayrıca, kuruluşların olay müdahalesine yatırım yapması iyi bir fikirdir, böylece bir API’den yararlanılırsa ihlalin etkisini sınırlamak için hızlı bir şekilde yanıt verebilirler.

Emm, “Bir şirket bir olayla karşı karşıya kaldığında güvenli tarafta olmak için olay müdahale hizmetleri, özellikle güvenliği ihlal edilmiş düğümleri belirleyerek ve altyapıyı gelecekte benzer saldırılardan koruyarak sonuçları en aza indirmeye yardımcı olabilir” dedi.

Sıfır güvenin rolü

Kimliği doğrulanmamış, halka açık API’ler, bir saldırganın varlığa bağlanmaya ve erişimi olan tüm verileri sızdırmaya çalışacağı kötü amaçlı API çağrılarına açıktır. Bir kullanıcının PII’ye erişmesi için dolaylı olarak güvenmediğiniz gibi, bir API’ye de otomatik olarak güvenmemelisiniz.

Bu nedenle, sıfır güven stratejisi uygulamak ve yetkisiz kişilerin verilerinize erişmesini önlemek için her bir API için bir kimlik doğrulama ve yetkilendirme mekanizması kurmak çok önemlidir.

“Veri tabanlarına dağılmış, diğer verilerle karışmış hassas verileriniz (bu durumda müşteri telefon numaraları, fatura ve e-posta adresleri vb.) olduğunda ve bu verilere erişiminiz uygun şekilde yönetilmediğinde, bu tür ihlallerden kaçınmak zordur.” kurucu ortağı ve CEO’su Anushu Sharma, şunları söyledi: hava akışı.

“En hassas verilere sahip en iyi yönetilen şirketler, yeni sıfır güven mimarilerini benimsemeleri gerektiğini biliyor. Kötü aktörler daha akıllı hale geliyor. Sharma, yeni gizlilik teknolojisini benimsemek artık bir seçenek değil, masaya yatırılıyor” dedi.

OAuth2 gibi erişim denetimi çerçevelerini, kullanıcı adı ve parola ve API anahtarları gibi kimlik doğrulama önlemleriyle birleştirmek, en az ayrıcalık ilkesinin uygulanmasına yardımcı olabilir ve kullanıcıların yalnızca görevlerini yerine getirmek için ihtiyaç duydukları bilgilere erişmelerini sağlar.

VentureBeat’in misyonu teknik karar vericilerin dönüştürücü kurumsal teknoloji ve işlemler hakkında bilgi edinmeleri için dijital bir şehir meydanı olmaktır. Brifinglerimizi keşfedin.




Kaynak : https://venturebeat.com/security/t-mobile-data-breach-shows-api-security-cant-be-ignored/

Yorum yapın