Kurumsal uygulamaların varsayılan olarak bulut altyapısına geçmesiyle, uygulama güvenlik testleri giderek uygulamanın dağıtılmış saldırı yüzey alanı boyunca sızma testlerine benzemeye başlıyor; bu da bir hizmet olarak sızma testi (PTaaS) için yeni pazarlar açan bir benzerlik.
PTaaS sağlayıcıları, ağın kenarlarına odaklanmak yerine, genellikle üç güvenlik açığı vektörüne sahip olan bulut uygulamalarına odaklanıyor: uygulamanın kendisi, uygulamalar arasındaki ara bağlantılar ve uygulamanın zaman içinde değişme şekli. Hızlandırılmış geliştirme ve birleşme ve satın alma gibi olaylar, saldırı yüzey alanını her üç vektör boyunca genişletme eğilimindedir, ancak penetrasyon testi değişikliklere ayak uydurmayı amaçlamaktadır.
Saldırganlar zaten uzaktan istismar edilebilecek güvenlik açıklarını ve ortalama firmayı aradığından, kuruluşların bulut uygulamalarını kilitlemeleri gerekiyor. herhangi bir ayda 11.000 istismar edilebilir güvenlik açığı bulunuyorSaldırıya yönelik bir güvenlik firması olan Bishop Fox’ta danışmanlıktan sorumlu başkan yardımcısı Kelly Albrink diyor.
“Organizasyonlar, sınırsız süre ve büyük miktarda kaynakla saldırganlara karşı çıkıyor ve ilk olarak en düşük meyveyi almaya çalışıyorlar” diyor. “Bu uygulamalar daha karmaşık hale geldikçe ve entegrasyonlar daha karmaşık hale geldikçe, saldırganlar için fırsatlar ve bir uygulamaya veya daha sonra bağlı olduğu sistemlerden herhangi birine girme yolları genişliyor.”
29 Şubat’ta Bishop Fox, penetrasyon testini isteğe bağlı değerlendirme ve analiz hizmetleriyle birleştiren Cosmos Uygulama Sızma Testi (CAPT) hizmetini duyurdu.
Bulut dağıtımı, kurumsal uygulamalar için hızla standart haline geldi. 2025 yılına kadar yeni dijital iş yüklerinin %95’i, 2021’de %30’dan, bulutta yerel platformlara dağıtılacak. iş zekası firması Gartner’a göre. Gartner, bu iş yüklerinin çoğunun (2025 yılına kadar %70’e kadar) geleneksel uygulamalar değil, bulut hizmetleri aracılığıyla dağıtılan az kodlu veya kodsuz uygulamalar olacağını belirtti.
Uygulama, Bulut ve Yapılandırma
Cobalt.io’nun baş strateji sorumlusu Caroline Wong, bulut ve bulut altyapısına dağıtılan uygulamalar o kadar iç içe geçmiş durumda ki, penetrasyon test uzmanlarının yalnızca uygulamanın güvenliğini değil, aynı zamanda bulut platformunu ve uygulamanın bulut yapılandırmasını da hesaba katması gerektiğini söylüyor. Bir hizmet firması olarak pentesting.
Wong, “Erişim kontrolü ve konfigürasyonu ağ ve bulut arasında temel olarak farklıdır ve bu özelliklerin kasıtlı olarak test edilmesi gerekir” diyor ve ekliyor: “Bulut benimsenmesi, hem bir şirketin yazılım portföyündeki uygulama sayısında hem de yazılım portföyünde hızlı artışlara yol açıyor.” bu uygulamaların her biri için değişiklik sıklığı.”
Penetrasyon testleri sırasında keşfedilen güvenlik sorunlarının en büyük payı (yaklaşık %40), güvenlik başlıklarının eksikliği ve güvenli olmayan SSL ve TLS şifre kitaplıkları gibi sunucu güvenliğindeki yanlış yapılandırmalardan oluşuyor. Kobalt’ın Sızma Testinin Durumu 2023 rapor.
Güvenlik açığı açısından bakıldığında Cobalt, depolanan siteler arası komut dosyası çalıştırmanın (XSS), güncel olmayan yazılım sürümlerinin ve güvenli olmayan yönetici nesne referanslarının (IDOR) en yaygın güvenlik açıkları olduğunu buldu. Depolanan XSS güvenlik açıklarının neredeyse tamamı (%94) ve IDOR güvenlik açıklarının %85’i orta şiddette veya daha yüksektir.
Ancak raporda, zamanla PTaaS müşterilerinin, en ciddi sorunlar tespit edilip düzeltildikçe, keşfedilen tüm sorunların payı olarak daha az orta, yüksek ve kritik kusur gördüğü belirtildi.
İhtiyaç Duyulduğunda Sızma Testini Artırın
Uygulamalar buluta dağıtıldıkça, dinamik uygulama güvenliği testi (DAST) ile bir hizmet olarak penetrasyon testi arasındaki çizgi esasen ortadan kalktı. Bishop Fox’tan Albrink, uygulamanın tanımının birçok açıdan değiştiğini söylüyor. Firmanın müşterilerinden biri firmadan 30 uygulamayı test etmesini istedi ancak sızma testinin kapsamını incelediklerinde bunun her biri şirketteki farklı bir ekip tarafından yönetilen 30 farklı mikro hizmetten oluşan tek bir uygulama olduğunu belirlediler.
“Genellikle bütünsel bir yaklaşım benimsemenizi öneriyoruz, bu nedenle son kullanıcının görebileceği ve etkileşimde bulunabileceği her şey uygulamanın bir parçasıdır” diyor. “Ve bu, API uç noktalarını, ara yazılımı, bir güvenlik duvarını içerebilir, değil mi, arka uçta düzinelerce başka sistemi de içerebilir, ancak bunların hepsi bir tür tek kullanıcı deneyimi aracılığıyla sunuluyor.”
Zaman, uygulamaların değiştiği son eksendir. Cobalt’tan Wong, güvenlik borcunun son derece gerçek olduğunu ve özellikle çevik bir geliştirme grubunda sık sık güvenlik ve nüfuzun gerekli olduğunu söylüyor.
“Kodu haftalık, hatta günlük olarak yayınlayan şirketler için, değişimin hızına ayak uydurmak ve yeni güvenlik açıklarının ortaya çıkma olasılığı muhtemelen yeterli olmayacaktır” diyor. “Her kuruluşun sınırlı bir bütçesi olacak ve bu değişikliklerin, güvenlik harcamalarının saldırı ve savunma güvenlik kontrolleri arasında nasıl tahsis edildiği konusunda bir değişime yol açtığını görüyoruz.”