Kendi kendine çalışan altyapı ve uygulamalardan bulut hizmetlerine geçişin yanı sıra tüketici deneyimini tamamen dijitalleştiren ve kolaylaştıran yeni uygulamaların geliştirilmesi ve çevrimiçi hale getirilmesi, sadece birkaç örnektir.
Bu hızlandırılmış programlar ilerledikçe, genellikle arkalarında bir dizi uygulama iş mantığı kusuru bırakırlar. Bir uygulamanın amaçlanan iş mantığını ve akışını hedeflemek ve istismar etmek isteyen saldırganlar, bunu uygulamanın geliştirici tarafından istenmeyen bir şey yapmasını sağlamak amacıyla yaparlar. Çoğu zaman bu, veri sızmasına, normalde gizli tutulması gereken bilgilere erişme olanağının yanı sıra, verilerin bütünlüğünü ve uygulamanın sunması beklenen genel hizmeti etkileyen yetkisiz veri değişikliklerine yol açar.
İş mantığı saldırıları yeni değildir; ancak iş mantığı saldırılarının yükselişi, iş mantığına dayanan API ekosistemlerinin genişlemesinin bir sonucudur.
Bu makalede Avustralyalı kuruluşların karşılaştığı iş mantığı saldırı türlerine ve BT liderlerinin çoklu savunma seçenekleriyle risklerini nasıl azaltabileceğine bakacağız.
İş mantığı saldırılarının (BLA’lar) tehlikeleri
Siber tehditler sürekli gelişiyor ve saldırganlar her zaman değerli bilgilere erişmenin yeni yollarını arıyor.
İş mantığı saldırısı (BLA), teknik güvenlik açıklarından ziyade bir uygulamanın (veya API’nin) amaçlanan işlevlerinden ve süreçlerinden yararlanmayı amaçlar. Örneğin perakende sektöründe saldırganlar, fiyatlandırmayı değiştirmek veya kısıtlı ürünlere erişmek için iş mantığını kullanır. Örneğin, bir müşteri beşten fazla ürün sipariş ederse %15 indirim alır. Bu koşullu mantık, yazılım uygulamalarına programlandığında iş kararlarını otomatikleştirir.
Imperva Bölge Başkan Yardımcısı Kane Fraser, “İş mantığını hedef alan otomatik saldırılara yönelik paradigma değişimi, geleneksel, imza tabanlı savunmalardan ayrılmayı zorunlu kılıyor” diyor. “Günümüzün karmaşık ortamında, yalnızca Web Uygulaması Güvenlik Duvarlarına (WAF’ler) güvenmek artık uygulamaları korumak için yeterli değil.”
Problem ne kadar büyük? Çoğu insanın düşündüğünden çok daha büyük. Geçtiğimiz yıl Imperva’nın küresel Uygulama Güvenliği Ağı’ndan derlenen veriler, önceki yılın aynı dönemine kıyasla hacimde yüzde 118’lik önemli bir artış da dahil olmak üzere Avustralya perakende sitelerine yönelik saldırıların çoğunun BLA’lardan sorumlu olduğunu gösteriyor.
Bu zorluğa ek olarak otomasyon da var. İş mantığına yönelik saldırıların çoğu otomatiktir ve genellikle API bağlantılarının kötüye kullanılmasına odaklanır. İstenmeyen ve istenmeyen YİD tabanlı otomasyonun uygulamanızla etkileşimini tespit edip ortadan kaldırabilirseniz, bu, bir BLA’nın kurbanı olma riskini büyük ölçüde azaltabilir.
2023 Imperva Kötü Bot Raporu, API’lere yönelik tüm saldırıların yüzde 17’sinin iş mantığını kötüye kullanan “kötü botlardan” geldiğini ortaya çıkardı.
İş mantığından yararlanılabilecek üç yaygın yol şunlardır:
- İşlevin kötüye kullanılması: Bir uygulama içinde bu, yükseltilmiş ayrıcalıklar vermek veya yetkisiz verilere erişim izni vermek gibi kötü amaçlı eylemleri gerçekleştirmek için meşru işlevlerden yararlanır.
- Güvenlik kontrollerini atlamak: Güvenlik kontrollerini atlamak veya yetkisiz eylemlerde bulunmak için bir uygulamanın akışını değiştirir.
- Kullanıcılararası veri sızıntısı: Diğer kullanıcılara ait verilere erişmek için bir API’ye yapılan girişi kullanır. Bunun önlenmesi zordur ve hassas bilgiler arayan saldırganlar için son derece kazançlı olabilir.
BLA’lar tehlikelidir çünkü geleneksel güvenlik izleme ve savunma araçları bunlarla mücadele etmek için tasarlanmamıştır ve çoğu zaman gerçek koruma konusunda yetersiz kalır. Bu tür açıklardan yararlanmaları izlemek için saldırı kalıpları mevcut değildir ve genel bir kural uygulayıp tüm uygulama ve API dağıtımlarının güvenli olduğunu varsaymak imkansızdır.
BT liderlerinin, uçtan uca güvenliği sağlamak için doğru iç ve dış kontrollere sahip olması gerekir ve güvenlik duvarı gibi tek bir savunma türü, bir iş sürecinin tehlikeye atılmasını önlemek için yeterli değildir.
Çok katmanlı bir yaklaşımla başlayın
Özellikle ticaretin yoğun olduğu dönemlerde iş mantığı saldırıları giderek yaygınlaşırken, BT liderlerinin onları uzak tutmak için çok katmanlı bir güvenlik yaklaşımı benimsemesi gerekiyor.
Potansiyel zayıf noktaları ve olası istismar alanlarını belirlemek için uygulamanızın iş akışları, süreçleri ve beklenen kullanıcı davranışı dahil olmak üzere iş mantığınızı gözden geçirerek başlayın.
Gelişmiş uygulama güvenliği seçeneklerinin uygulanması, yetkilendirmenin bozulması gibi risklerin belirlenmesine yardımcı olacaktır. Ayrıca potansiyel bir BLA’ya işaret edebilecek şüpheli etkinlikleri tespit etmek için uygulama kullanım kalıpları da dahil olmak üzere son kullanıcı davranışını izleyin ve analiz edin.
Diğer savunmalar arasında, bir saldırı durumunda hasarı en aza indirmek amacıyla API’lerinizin kapsamını (ve bunlara hangi rollerin erişebileceğini) sınırlamak için erişim kontrolü; ve gelişmiş bot koruması ve API güvenliği çok önemlidir.
“Gelişen bu tehditlere etkili bir şekilde karşı koymak için işletmelerin proaktif ve çok katmanlı bir güvenlik yaklaşımını benimsemesi gerekiyor. Örneğin kuruluşlar Web Uygulaması Güvenlik Duvarları, Bot Koruması ve API Güvenliğinin güçlü bir kombinasyonunu benimsemelidir. Fraser, bu savunma katmanlarını proaktif bir şekilde uygulayarak, İş Mantığı Saldırılarının oluşturduğu gelişen tehdit ortamına karşı dayanıklılıklarını önemli ölçüde artırabilir.
Bu çok katmanlı yaklaşım, Güney Avustralya’daki SA Power Networks tarafından benimsendi. Web uygulamalarını korumak için halihazırda mevcut olan bir WAF ile SA Power Networks’teki ekip, başka bir büyük Avustralya şirketindeki bir ihlalin nedeninin açığa çıkan API’ler olduğunu inceledi.
SA Power Networks, bu tür bir saldırıya açık olmayı önlemek için mevcut teknolojilerini değerlendirdi ve OpenAPI aracılığıyla API’leri yayınlamak için geliştirme gerektirmeden veya yoğun kaynak kullanan bir iş akışı ekleyerek güvenlik ekiplerine API görünürlüğü sağlayan Imperva API Security for Cloud WAF’ı devreye aldı.
“Imperva’nın iyi yanlarından biri, bir API’nin kimliği doğrulanmazsa size neyin eksik olduğunu ve bunu nasıl düzeltebileceğinizi söylemesidir. POC’yi çalıştırdık, kimliği doğrulanmamış birkaç uç noktanın listesini döndürdü ve bu da onu ilgili ekiplere, uygulama ekiplerine, destek ekiplerine geri götürüp bu işi halletmemize olanak sağladı” dedi Siber Güvenlik Uzmanı Nikil Kathiravan. SA Power Networks’ta.
SA Power Networks’teki ekip gibi BT liderleri de iş süreçlerini analiz etmeye zaman ayırarak ve API’ler dahil kapsamlı uygulama güvenliğine yatırım yaparak BLA’lardan bir adım önde kalabilir.
Güvenlik açıklarını tarayabilen, davranışları izleyebilen ve web sitelerini, uygulamaları ve API’leri BLA faaliyetlerinden koruyabilen çok katmanlı bir yaklaşım önemlidir. Bilinen saldırı imzalarına uymasa bile saldırı etkinliğini etkili bir şekilde tanımlayabilmek için WAF platformlarının bot yönetimi ve API güvenlik çözümleriyle güçlendirilmesi zorunludur.
Daha fazlasını imperva.com’da öğrenin