Ana içeriğe geç

API Attack Surface Management Kurulumu

Bu makale, harici host’larınızı ve onların API’lerini keşfetmek, eksik WAF/WAAP çözümlerini belirlemek ve API Leaks ile diğer güvenlik açıklarını azaltmak için API Attack Surface Management özelliğinin nasıl etkinleştirileceğini ve yapılandırılacağını açıklar.

Etkinleştirme

AASM kullanmak için şirketinizin Wallarm API Attack Surface abonelik planının aktif olması gerekir. Etkinleştirmek için aşağıdakilerden birini yapın:

  • Henüz Wallarm hesabınız yoksa, fiyatlandırma bilgilerini alın ve AASM’yi Wallarm’ın resmi sitesinden buradan etkinleştirin.

    Bu işlem Core (freemium) sürümünü etkinleştirir ve kullanılan e-posta alan adının taraması hemen başlar. Etkinleştirmeden sonra kapsamınıza ek alan adları ekleyebilirsiniz.

    Enterprise özelliklerine ihtiyacınız olmadığı sürece Core sürümünü istediğiniz kadar kullanmaya devam edebilirsiniz. Farklı sürümler arasındaki farkları buradan inceleyin.

  • Zaten bir Wallarm hesabınız varsa, sales@wallarm.com adresiyle iletişime geçin.

Alan adları ve hostlar

Kapsama ekleme

Seçtiğiniz alan adları altındaki host’ları tespit etmek ve bu host’larla ilgili güvenlik sorunlarını aramak için API Attack Surface Management yapılandırmasını yapın:

  1. Wallarm Console içinde AASMAPI Attack SurfaceConfigureDomains and hosts yolunu izleyin.

  2. Alan adlarınızı kapsama ekleyin ve tarama durumunu kontrol edin.

    Yeni eklenen her alan adı için, Wallarm Scan configuration bölümünde seçilen verileri taramaya derhal başlar. Gerekirse devam eden taramayı durdurabilirsiniz, bu işlem tüm sonuçları silecektir.

  3. Eklenen alan adları için host’lar otomatik olarak tespit edilir. Gerekirse daha fazla host’u manuel olarak ekleyebilirsiniz: Add host’a tıklayın ve host’ları virgül, noktalı virgül, boşluk veya yeni satır ile ayırarak yapıştırın.

  4. Bulunan ve eklenen host’lara ilişkin ayrıntıları görmek için alan adına tıklayın.

    AASM - kapsamı yapılandırma

Kapsamdan silme

Alan adlarını kapsamdan silebilirsiniz. Silme işleminde, bu alan adı için daha önce tespit edilen ve manuel olarak eklenen tüm host’lar listeden kaldırılacaktır:

  1. Domains and hosts sekmesinde, onay kutularıyla alan ad(lar)ını seçin ve Delete’e tıklayın.

  2. Bu alan adları için bulunmuş güvenlik sorunları olabileceğinden, bunlarla ne yapılacağına karar vermeniz gerekir. Seçenekler:

    • Keep related security issues
    • Close related security issues
    • Mark false related security issues
    • Delete related security issues

Scan configuration

Alan adlarınızla ilgili hangi verilerin API Attack Surface Management tarafından aranacağını ve görüntüleneceğini seçebilirsiniz.

Genel yapılandırma

Kolaylık sağlaması için Wallarm, tarama yapılandırması için önceden tanımlanmış profil setleri sunar. İçeriklerini anlamak için profiller arasında geçiş yapmayı deneyin.

AASM - tarama yapılandırması

Profil açıklamaları (kısa):

Profil Açıklama
Full Tüm türlerde ağ servislerini arayan, WAAP kapsamını tamamen kontrol eden, API sızıntılarını tüm olası yollarla arayan ve tüm güvenlik açığı tespit modülleri etkin olan en kapsamlı tarama.
Fast Dış API keşfini hariç tutarak saldırı yüzeyi ve temel sorunlar için hızlı tarama, API sızıntısı aramasında herkese açık HTML/JS içeriğini hariç tutar ve güvenlik açığı tespit modüllerini sınırlar.
Vulnerabilities & API leaks Yalnızca güvenlik sorunlarını tespit etmeye yönelik tarama.
Attack surface inventory Güvenlik sorunlarını aramadan saldırı yüzeyini hızlıca belirler ve haritalar.
API leaks - passive Altyapınızla etkileşim olmadan yalnızca API sızıntılarını arar.
Custom Başka bir profile herhangi bir ayarlama yaptığınızda etkinleşir.

Tarama seçeneklerini yapılandırmak için:

  1. Wallarm Console içinde AASMAPI Attack SurfaceConfigureScan configuration yolunu izleyin.

  2. Uygun profili seçin.

  3. Gerekirse profil seçeneklerini manuel olarak ayarlayın. Bazı seçeneklerin belirli profillerden çıkarılamayacağını unutmayın.

    Düzenlerken değişikliklerinizi kaybetmeyin

    Seçeneklerde yaptığınız değişikliklerin, standart profillerden birine tekrar tıklarsanız kaybolacağını unutmayın.

Subdomain discovery

Bazı durumlarda subdomain discovery’yi devre dışı bırakmak (ör. example.com taransın ama app1.example.com taranmasın) en uygun seçenek olabilir:

  • Alt alan adının sahibi siz değilsiniz (bir iştirak veya şube şirketine ait olabilir)

  • Tüm alt alan adları wildcard’dır (rastgele isimli herhangi bir alt alan adı mevcut), sonsuz sayıda alt alan adı

  • Tarama performansını ayrıca optimize etmek istiyorsunuz

Yapılandırmanızda subdomain discovery etkin olduğunda (Scan configurationScanning profileNetwork service discoverySubdomain discovery), bu seçeneği alan adı bazında ayarlayabilirsiniz. Bunu yapmak için:

  1. Domains and hosts sekmesine gidin.

  2. Alan adlarınız için With subdomains seçeneğini kapatın/açın.

    Global seçeneğin öncelikli olduğunu unutmayın - devre dışı bırakıldığında hiçbir yerde alt alan adları aranmaz. Global olarak etkinleştirildiğinde, alan adı bazındaki seçenekler istisna tanımlamaya olanak tanır.

Auto rescan

Auto rescan etkinleştirildiğinde, daha önce eklenen alan adları 7 günde bir otomatik olarak yeniden taranır - yeni host’lar otomatik olarak eklenir, önce listelenmiş olup yeniden taramada bulunamayanlar listede kalır.

Auto rescan’ı yapılandırmak için:

  1. Wallarm Console içinde AASMAPI Attack SurfaceConfigureScan configuration yolunu izleyin ve Auto rescan seçeneğini etkinleştirin.

  2. Domains and hosts sekmesinde, otomatik yeniden taramaya dahil edilecek veya dışlanacak alan adlarını seçin.

    Global seçeneğin öncelikli olduğunu unutmayın - devre dışı bırakıldığında hiçbir şey otomatik olarak yeniden taranmaz. Alan adı bazındaki seçenekler bazı alan adlarını auto rescan’dan hariç tutmanıza olanak tanır.

AASM - otomatik yeniden taramayı yapılandırma

Manuel yeniden tarama

AASMAPI Attack SurfaceConfigureDomains and hosts içinde Scan now düğmesine tıklayarak herhangi bir alan adı için taramayı manuel olarak başlatabilirsiniz.

Gerekirse devam eden taramayı durdurabilirsiniz, bu işlem tüm sonuçları silecektir.

Engellenmenin önlenmesi

Wallarm’a ek olarak, trafiği otomatik olarak filtrelemek ve engellemek için ek olanaklar (yazılım veya donanım) kullanıyorsanız, API Attack Surface Management için IP adreslerini içeren bir allowlist yapılandırmanız önerilir.

Bu, API Attack Surface Management dahil olmak üzere Wallarm bileşenlerinin kaynaklarınızı güvenlik açıkları için sorunsuz bir şekilde taramasını sağlar.

Tarama durumu

Alan adlarınızın kapsama ne zaman eklendiği ve en son ne zaman tarandığına ilişkin kısa bilgiler AASMAPI Attack SurfaceConfigureDomains and hosts içinde sunulur.

AASM - kapsam alan adlarının yapılandırılması

Yapılandırma iletişim kutusundan ana API Attack Surface ekranına geri dönün, burada Host scanning status özetini görebilir, ardından tüm taramaların ayrıntılı geçmişini görmek için Scanning status sekmesine geçebilirsiniz. Bu geçmiş şunları içerir:

  • Hangi alan adının tarandığı (Target).

  • Taramanın nasıl başlatıldığı - manuel veya otomatik (Start-up option).

  • Bu tarama sırasında bulunan host sayısı ve yeni host sayısı.

  • Bu tarama sırasında bulunan güvenlik sorunlarının toplamı ve yeni güvenlik sorunlarının sayısı.

  • Tarama durumu, başlangıç ve bitiş tarih/saatleri.

AASM - ayrıntılı tarama durumu

Bildirimler

Email

You automatically receive notifications to your personal email (the one you use to log in) about discovered hosts and security issues, including:

  • Daily critical security issues (new only) - all critical security issues opened for the day, sent once a day with a detailed description of each issue and instructions on how to mitigate it.

  • Daily security issues (new only) - statistics for security issues opened for the day, sent once a day with information on how many issues of every risk level were found and general action items for mitigation.

  • Weekly AASM statistics - information about hosts, APIs, and statistics for security issues discovered for your configured domains within last week.

The notifications are enabled by default. You can unsubscribe at any moment and configure any additional emails to get all or some of these notifications in Wallarm Console → ConfigurationIntegrationsEmail and messengersPersonal email (you email) or Email report (extra emails) as described here.

Instant notification

You can configure instant notification for the new and re-opened security issues. Select all or only some risk levels that should trigger notification. Separate message will be sent for each security issue.

Example:

[Wallarm System] New security issue detected
Notification type: security_issue
New security issue was detected in your system.
ID: 106279
Title: Vulnerable version of Nginx: 1.14.2
Host: <HOST_WITH_ISSUE>
Path:
Port: 443
URL: <URL_WITH_ISSUE>
Method:
Discovered by: AASM
Parameter:
Type: Vulnerable component
Risk: Medium
More details: 
Client: <YOUR_COMPANY_NAME>
Cloud: US

You can configure instant notification for the security issues in Wallarm Console → ConfigurationIntegrations → YOUR_INTEGRATION as described in your integration documentation.