Indusface’in 1.400’den fazla Web uygulaması, mobil uygulama ve API üzerinde yaptığı araştırma, açık güvenlik açıklarının siber suçluların en önemli saldırı vektörü olmaya devam ettiğini ortaya koydu.
Göre raporlamak829 milyon saldırı engellendi AppTrana WAF 2022’nin dördüncü çeyreğinde, üçüncü çeyreğe göre %79 artış.
Endişe verici bulgu, üçüncü çeyreğe göre %50’lik bir artışla 61.713 açık güvenlik açığının bulunmasıdır. Açık güvenlik açıklarının sayısı, artan tehdit aktörleriyle doğrudan ilişkilidir.
Onları nasıl koruyabilirsin? En iyi seçenek, saldırıları engellerken WAF düzeyinde sanal yama kullanarak bilinen güvenlik açıklarını düzeltmektir.
Uygulamalarda Bulunan Kritik Güvenlik Açıkları
Herhangi bir güvenlik açığı işletmeniz için risk taşısa da, bilgisayar korsanlarının 2022’nin dördüncü çeyreğinde yararlanmaya çalıştığı en yüksek/kritik 10 güvenlik açığını burada bulabilirsiniz:
- Sunucu taraflı istek sahteciliği
- HTML enjeksiyonu
- Siteler arası betik çalıştırma (XSS)
- TLS/SSL sunucu sertifikası yakında sona erecek
- Komut dosyası kaynak kodunun ifşası
- SQL enjeksiyonu
- SSL sertifikası ortak ad uyuşmazlığı
- TLS/SSL sunucu sertifikasının süresi doldu
- Güvenilmeyen TLS/SSL sunucu sertifikası
- Güvenli Olmayan Doğrudan Nesne Referansları
Henüz yapmadıysanız, bu güvenlik açıklarını ele almaya öncelik verin.
Güvenlik Açıklarının Maliyeti
Tek bir güvenlik açığı binlerce siber güvenlik sorununu davet edebilir. Poodle, Heartbleed, EternalBlue ve Shellshock, işletmeleri güvenlik tehditlerine açık hale getiren güvenlik açıklarından sadece birkaçıdır.
Rapor, güvenlik açıklarının %31’inin 180+ gündür açık olduğunu tespit etti. Bunların 1.700’den fazlası kritik ve yüksek güvenlik açıkları olarak derecelendirildi.
Peki, güvenlik açıklarını düzeltmezseniz ne olur? Bu sorumluluğun yerine getirilmemesi, potansiyel güvenlik ihlalleri de dahil olmak üzere ciddi sonuçlara yol açabilir.
2017’de, büyük Equifax güvenlik ihlali manşetlere taşındı. Bilgisayar korsanları, uygulama çerçevelerinde bilinen CVE-2017-5638 güvenlik açığından yararlandı ve şirketin sistemine erişim sağladı.
Bu ihlal, 147 milyon kişinin kişisel olarak tanımlanabilir bilgilerini (PII) açığa çıkardı. İhlalden iki yıl sonra şirket, temizlik maliyetleri ve güvenlik programını yenilemek için 1,4 milyar dolar harcadığını açıkladı. Equifax, ihlalle ilgili iddiaları çözmek için 700 milyon dolara kadar ödemeyi kabul etti.
İhlalin toplam maliyeti muhtemelen bildirilen yerleşim ve masraflardan daha yüksektir. Ayrıca güven kaybı, marka itibarı ve iş üzerindeki uzun vadeli etki gibi maddi olmayan maliyetleri de içerir.
Sanal Yama ile Güvenlik Açıklarını Yönetme
Güvenlik yamaları, güvenlik açıklarıyla başa çıkmada hayati bir rol oynar. Güvenlik açıklarını yamalar ve riskleri çözerler. Sonuç olarak, başarılı bir istismar, güvensiz bir yapılandırma veya eksik güvenlik denetimi anlamına gelir.
Yama işlemi bazen zorlu olabilir. Birçok şirket, bir sisteme hemen yama yapılamadığında uygulamalarını Web uygulaması güvenlik duvarında (WAF) korumak için sanal yama uygulamaya yönelir.
Sanal yama risk pencereniz sırasında ve sonrasında uygulamaları koruyan bir güvenlik açığı kalkanıdır. Dakikalar veya saatler içinde uygulanabilen uygun savunma ile kapsamınızı ve yanıtlarınızı buna göre ölçeklendirmenizi sağlar. Böylece güvenlik açıklarına maruz kalma riskini azaltır.
Sanal yama, WAF’ta bir güvenlik politikası katmanı uygulayarak elde edilir. Kod tabanını değiştirmeden uygulama güvenlik açıklarını ortadan kaldırır.
Şirketler, güvenlik açıklarını azaltmak için sanal düzeltme ekinden iki şekilde yararlanabilir:
- Temel kurallar
- Özel kurallar
Indusface raporu, WAF temel kural setinin isteklerin %40’ını ve özel kuralların %60’ını engellediğini tespit etti.
Özel Kurallar Neden İvme Kazanıyor?
Temel kurallar önceden tanımlıdır, standartlaştırılmıştır, sektördeki en iyi uygulamalara dayalıdır ve bilinen güvenlik açıklarına karşı koruma sağlayacak şekilde tasarlanmıştır. Güvenlik uzmanları genellikle bu kuralları oluşturur. Temel kuralların uygulanması kolaydır ve yüksek koruma sağlayabilir.
Çoğu geliştirme ekibi birkaç hafta süren sprintler üzerinde çalıştığından, değişen kodla güvenlik açıkları eklenmeye devam eder.
Çoğu şirket, uygulamalarda haftalık taramalardan ve periyodik sızma testlerinden yararlanır. Bunları kod üzerinde düzeltmek uzun ve meşakkatli olacağından, ürün sahipleri bu güvenlik açıklarını kapatmak için WAF’ın özel kurallarına güvenirken, geliştirme ekipleri nakliye özelliklerine odaklanır.
Ekipler ne zaman güvenlik odaklı bir sprint’e girseler, koddaki bu güvenlik açıklarını düzeltirler.
Sanal yama, bir risk azaltma mekanizması olarak da kullanılır. Örneğin, uygulama sahipleri, uygulamanın kullanılmak üzere tasarlanmadığı coğrafyalardan gelen trafiği sınırlamaya çalıştıklarından, coğrafi çitin özel kural kategorisinde popülerlik kazandığını gözlemledik. Diğer örnek, uygulamaya trafiğe izin vermek için kullanılan kara listeye veya beyaz listeye alınan IP’lerdir.
Yanlış Pozitif İzleme
Özel kuralların gücü tartışılmaz olmakla birlikte, uygulamaları yanlış pozitifler için izleme yükünü de artırırlar.
Birkaç güvenlik lideriyle konuşurken, sürekli olarak duyduğumuz bir konu, WAF/WAAP gibi karmaşık bir uygulamayı yönetebilecek yetenekli güvenlik uygulayıcılarının eksikliğidir.
Diğer zorluk, kötüleşen ekonomidir; güvenlik ekiplerinden giderek daha azıyla daha fazlasını yapmaları isteniyor.
Sanal yamalara yardımcı olmak ve yanlış pozitifleri garanti etmek için yönetilen hizmetlere güvenen ürün sahiplerinin artan bir eğilimini görüyoruz.
Çözüm
Saldırganlar istismar edilebilir bir kod parçası keşfederse, bir sonraki adım güvenlik açığından yararlanmaktır.
Sanal düzeltme ekini ne kadar erken dağıtırsanız, saldırganlar o kadar çabuk başka yere bakar. Güvenliğinizi ve kârlılığınızı sağlamak için WAF’ınızı çalışır durumda tutun.
yazar hakkında
Venky, Indusface’te kurucu CTO olarak yeni çağ Web uygulama tarayıcısını ve bulut WAF AppTrana’yı geliştiren bir uygulama güvenlik teknolojisi uzmanıdır. Şu anda, zamanını ABD işletmeleri için ürün yol haritası, müşteri başarısı, büyüme ve teknoloji benimseme konularına harcıyor.