API Gateway Olmadan Güvenlik Olmaz: API Altyapısında Doğru Sıralama Rehberi
37 Milyon Müşteri Kaybı, 41 Gün Görünmez Saldırı: T-Mobile Vakasından API Security'ye Yeniden Bakmak
Ocak 2023. T-Mobile, 37 milyon müşteri hesabını etkileyen bir API veri ihlali açıkladı. Saldırgan, 25 Kasım 2022'de bir API'yi "yetkisiz" kullanmaya başlamıştı. 41 gün boyunca kimse fark etmedi. İsim, adres, telefon, e-posta, doğum tarihi... Her şey sızdı.
Peki bu nasıl oldu? Cevap basit ama acı: Varlığını bilmedikleri bir API'yı koruyamazdılar.
Salt Security'nin analizi net: Bu bir "Shadow API" vakasıydı. Güvenlik ekipleri bu API'nın varlığından, işlediği verilerden ve güvenlik duruşundan habersizdi. API yönetim ve güvenlik programının görüş alanı dışındaydı.
Ve bu T-Mobile'ın 8. ihlaliydi. 2018'den beri. 2021'deki bir ihlal için $350 milyon ödeme yapmayı kabul etmişlerdi.
Ama asıl soru şu: T-Mobile'ın API Security ürünü yok muydu? Muhtemelen vardı. Peki neden işe yaramadı?
Sahadan Gerçekler: "API Security Ürünü Almalı mıyız?"
Özellikle son birkaç ayda birçok banka, kamu kurumu ve savunma sanayindeki müşterilerimizin, başta güvenlik ekipleri olmak üzere, alt yapı, sistem mimarları, servis yöneticiler, kurumsal mimarlar ile yaptığım görüşmelerde ortak bir pattern gördüm. Hepsinin aynı sorusu: "Bir API Security ürünü almalı mıyız?"
Anlattıklarına göre, bir çok sunumlar dinledik, PoC'ler yapıldı, ama hala kafamızdaki bir sorulara cevap bulamadık. Her API Security vendor'ı farklı şeyler anlatıyor, hangisi doğru anlayamıyoruz. Bazıları davranış analizi yapıyor, bazıları API Discovery yapıyor, bazıları makine öğrenmesi ile tehdit tespiti vaat ediyor, bazıları "full visibility" diyor ama nasıl sağladıklarını gerçek senaryolar üzerinden hiç birini detaylı açıklamıyorlar (ya da açıklayamıyorlar). Hatta bazıları işi abartıp biz problemleri havada yakalıyoruz (bir müşterimize aynen böyle demişler).
Her toplantıda aynı soruyu sordum: "API Security deyince ne anlıyorsunuz ve ne bekliyorsunuz?". Bu soruyu sadece aktif müşterilerimize değil sunumda tanışdığımız uzman arkadaşlarla konu güvenlik kısmına geldiğinde de sordum.
İşin detayına indiğimizde, asıl ihtiyaçları şuydu:
- Kurum içinde dışa sunulan ve dışarıdan tüketilen tüm API'ları bilmek. (Son zamanlarda internal API'ların da envanterine hakim olmak istiyorlar)
- API envanterine hakim olmak
- Her API'nin sahibinin ve sorumlusunun kim olduğunu bilmek (ya da sorun çıkınca kim suçlu onu bilelim)
API Security ürünlerinin sunmuş olduğu davranış analizi ve tehdit tespiti yetenekleri? İkinci, hatta üçüncü aşamada istedikleri bir şey, yani pastanın üzerindeki çilek.
Cevap hep aynı: Envantere hakim olmak, en öncelikli konu bu.
T-Mobile vakası tam da bunu gösteriyor: Envanter olmadan, 41 gün boyunca saldırı görünmez kalır.
Sahi, T-Mobile'da Tam Olarak Ne Oldu?
T-Mobile vakasında 41 gün boyunca saldırı tespit edilemedi çünkü:
- API merkezi yönetim dışındaydı (shadow API)
- Gateway üzerinden geçmiyordu
- Görünürlük yoktu
- Behavioral baseline oluşturulmamıştı
- Anomali tespiti çalışmıyordu
Sonuç: API Security ürünü bu API'nin varlığından bile haberdar değildi. Nasıl korusun?
"Bir API Gateway üzerinden geçmeyen trafiği, hiçbir API Security ürünü göremez. Göremediğini koruyamaz. Shadow API'ler için hiçbir işe yaramaz."
Bu yüzden sıralama kritik:
- Önce Gateway → Tüm trafik merkezi noktadan geçsin
- Sonra Management → Envanter oluşsun, sahiplik belirlensin
- En son Security → Şimdi koruma anlamlı
Aksi takdirde, çok pahalı bir API Security ürünü alırsınız ama T-Mobile gibi 41 gün boyunca saldırıyı göremezsiniz.
Acı Gerçek: API Security Ürünleri Nasıl Çalışır?
Burada çok kritik bir noktayı anlamak gerekiyor. API Security ürünleri kör değildir, ama görmeleri için göz lazımdır.
API Security ürünleri şunlara ihtiyaç duyar:
- API Gateway veya WAF trafiğini izleyerek çalışır
- HTTP request-response çiftlerini analiz eder
- Normal davranış patternleri öğrenir
- Anomalileri tespit eder
Eğer merkezi bir trafik noktanız yoksa, güvenlik ürünü kör kalır.
Bu ürünler şunları yapmak için tam görünürlük gerektirir:
- API Discovery (hangi API'lar var?)
- Behavioral Analysis (normal davranış nedir?)
- Anomaly Detection (sapma nerede?)
- Shadow API Detection (kayıt dışı API'lar nerede?)
- Threat Intelligence (saldırı pattern'leri neler?)
SOA Hikayesi Tekrar mı Ediliyor?
Bu durumu gördüğümde, yıllarca SOA tarafında yaşadığım deneyimler aklıma geldi.
O zaman herkes SOA'yı konuşuyordu. Global vendor'lar SOA adı altında ürünler satıyordu. Enterprise Service Bus (ESB) ürünleri, SOA governance platformları, service registry'ler... Milyonlarca dolar harcandı.
Günün sonunda maalesef o ürünlerle yapılan projelerin çoğu fail oldu. Devam edenler de bir şekilde çalıştığı için kimse dokunmaya korktuğundan duruyor.
Neden başarısız oldu?
Çünkü sadece ürüne güvenip "ürün ile her şey çözülür" dediler. Global ürün satıcıları ellerindeki ürünleri SOA diye çok güzel pazarladılar. Satış sunumları harikaydı. Demo'lar etkileyiciydi.
Ama unutulan gerçek şuydu:
SOA (Service-Oriented Architecture) bir ürün değil, bir Mimari yaklaşım (Architectural Approach) veya felsefi paradigmadır.
SOA bir ürün değil, sistemleri tasarlamak için mimari bir yaklaşımdır.
Lego'nun parçaları gibi, sizin kurmanız gerekir. Önce mimari prensipleri anlamanız, sonra governance modelinizi oluşturmanız, ardından altyapınızı adım adım inşa etmeniz gerekir.
Ürün satın almak, bir SOA mimari yaklaşımına sahip olmak demek değildi.
Şimdi aynı film API Security alanında mı tekrarlanıyor?
Birçok kurum şu mantıkla hareket ediyor:
- "Hemen bir API Security ürünü alalım, güvenlik öncelikli"
- "Gateway'i sonra düşünürüz"
- "Envanter yavaş yavaş çıkar" Yani; Kervan yolda düzülür. (Teknik olmayan konular için iyi bir yaklaşım olabilir ama Teknik mimari konularında maalesef felaket ile sonuçlanır.)
Bu tam tersi bir yaklaşım. SOA'da ESB alıp "artık SOA'mız var" demek gibi bir şey.
Sonuç aynı olur: Para harcanır, beklentiler karşılanmaz, shadow API'ler hala görünmez kalır, proje rafa kalkar.
Peki Ya Veriler?
Sadece sahadan gözlemler değil, veriler de aynı gerçeği işaret ediyor:
Gartner 2024 Market Guide for API Protection:
"Shadow ve dormant API'lar, diğer ihlallerden ortalama olarak daha büyük veri sızıntılarına neden oluyor."
Salt Security ve LevelBlue Araştırması (2024):
"Organizasyonların %94'ü geçen yıl production API'larında güvenlik sorunu yaşadı. Birçok işletme API envanteri konusunda sınırlı görünürlüğe sahip."
Dark Reading (Kasım 2024):
"Organizasyonlar için en acil sorun, tüm external API'ların envanterinin olmaması. Saldırganlar bu açığı istismar ediyor."
OWASP API Security Top 10:
"#9 Improper Inventory Management: API varlıklarının yetersiz yönetimi. Tüm API'ların farkında olmama, güvenlik açıklarına yol açıyor."
Pattern açık: Gateway ve envanter olmadan API Security ürünleri kör kalır.
BÖLÜM 2: T-Mobile Vakası - Derin Dalış
41 Gün: Bir API İhlalin Anatomisi
T-Mobile vakası, API güvenliğinde "teorik risk"lerin nasıl gerçek felakete dönüştüğünü gösteren mükemmel bir vaka çalışması. Gelin kronolojik olarak ne olduğuna bakalım:
25 Kasım 2022 - Sıfır Günü: Saldırgan, T-Mobile'ın API'larından birine yetkisiz erişim sağladı. Ancak bu sıradan bir API değildi. Bu bir "Shadow API" idi - sistemde kayıtlı olmayan, dokümante edilmemiş, güvenlik ekiplerinin varlığından haberdar olmadığı bir API.
26 Kasım - 4 Ocak (40 Gün): Sessizlik. Tam sessizlik. Saldırgan her gün, sistematik olarak 37 milyon müşterinin verilerine erişti:
- İsim, soyisim
- Fatura adresleri
- E-posta adresleri
- Telefon numaraları
- Doğum tarihleri
- T-Mobile hesap numaraları
Güvenlik ekipleri? Hiçbir şeyden haberdar değil. SIEM'ler alarm vermiyor. API Security ürünleri sessiz. Çünkü göremedikleri bir API'dan bahsediyoruz.
5 Ocak 2023 - Tespit: 41 gün sonra, anormallik tespit edildi. Nasıl? Detaylar tam olarak açıklanmadı, ama büyük ihtimalle başka bir güvenlik katmanında ya da manuel bir kontrolde fark edildi.
6 Ocak 2023 - Durdurma: T-Mobile, saldırıyı tespit ettikten sadece 1 gün sonra durdurdu.
Dikkat çeken nokta: Tespit edildikten sonra 1 günde durdurulabildiyse, neden 41 gün görünmedi?
Root Cause: Shadow API ve API Sprawl
Salt Security'nin derinlemesine analizi, sorunu net bir şekilde ortaya koydu:
"Varlığı API yönetim ve güvenlik programının görüş alanı dışında kalan, dokümante edilmemiş API. Güvenlik ekipleri bu API'ların varlığından, işlediği verilerden ve güvenlik duruşundan habersiz."
Bu sadece "bir API'yi unuttuk" meselesi değil. Bu, "API Sprawl" (API yayılması) denilen sistematik bir sorunun sonucu:
1. Shadow API'lar (Gölge API'lar)
- Tanım: Kimsenin bilmediği, kayıt dışı API'lar
- Nasıl oluşur?
- Geliştiriciler test için oluşturur, unutur (veya acil bir API açılıp sonra unutulmuştur). Aynı işi yapan bir çok duplicate Shadow API vardır.
- Legacy sistemlerden kalma, dokümante edilmemiş endpoint'ler.
- Mikroservis mimarisinde kontrol dışı çoğalan servisler
- Satın alınan şirketlerden gelen entegre edilmemiş API'lar
- T-Mobile'da: İşte bu kategori ihlale neden oldu
2. Zombie API'lar (Ölü API'lar)
- Tanım: Kullanılmıyor sanılan ama hala aktif olan API'lar
- Neden tehlikeli?
- Güvenlik güncellemeleri yapılmıyor
- Monitoring edilmiyor
- Eski, bilinen güvenlik açıkları var
- "Devre dışı" sanılıyor ama çalışıyor
3. Ghost API'lar (Hayalet API'lar)
- Tanım: Dokümantasyonda var ama gerçekte farklı çalışan API'lar (Internal Server Error gibi hata mesajlarıyla karşılaşan entegre ekipler bu tür API'lardan mustarip.)
- Sorun:
- Dokümantasyon ile gerçek davranış arasında fark
- Güvenlik testleri dokümana göre yapılıyor, gerçek açıklar kaçıyor
- Sürüm uyuşmazlıkları
Dokümantasyon konusunda API Developer Portal kullanımının yaygınlaşması bu tür problemleri azaltır; ancak envanter konusunu çözmez.