Sonsuza kadar sürecek gibi görünen kötü bir film gibi, SQL enjeksiyon (SQLi) saldırıları da 1990’ların sonlarından beri varlığını sürdürüyor. Çeşitli faktörler nedeniyle, web uygulaması güvenlik açıklarının üçüncü en yaygın kaynağı olmaya devam ediyorlar. Bunun nedenleri arasında insan hatası, olgun kod içermeyen yeni teknolojiler ve geliştiricilerin kontrolünü azaltan açık kaynak kodunun artan kullanımı yer alıyor.
Sorun o kadar ciddi ki Mart 2024’te CISA ve FBI üreticilere ve diğerlerine ortak bir uyarı yayınladı: SQLi açıklarını ortadan kaldırma konusunda ciddileşmenin zamanı geldi. Ajanslar, korumaları yalnızca teknik bir özellikten ziyade bir iş gereksinimi olarak oluşturan Tasarım Yoluyla Güvenli bir çerçeve önerdi.
Ne yazık ki yeni bir SQLi saldırıları dalgası ortaya çıkıyor ve geçmişte olduğundan farklı bir yol izliyor. 2025 yılına kadar uygulamaların %70’ine ulaşması beklenen robotik süreç otomasyonu (RPA) da dahil olmak üzere, düşük kodlu ve kodsuz (LCNC) platformlarda geliştirilen yazılımlar, farklı bir risk türünü temsil ediyor. Yazılım şirketlerindeki CISO’ları ve profesyonel geliştiricileri uyarmak bir şeydir. Vatandaş geliştiricilere hitap etmek başka bir şey.
LCNC platformlarındaki SQLi güvenlik açıkları
Yazılım geliştirmedeki bu evrimi, risk size ait olmak üzere göz ardı edin. LCNC platformları güçlü ve son derece çekici yetenekler sunar. Üretkenliği artırır, maliyetleri düşürür ve yeniliği teşvik ederler. Ancak LCNC uygulamalarının ve RPA’ların, riskleri destekleyen teknik faktörler hakkında çok az bilgisi olan veya hiç bilgisi olmayan profesyonel kodlayıcılar değil, vatandaş geliştiriciler tarafından oluşturulduğunu unutmamak çok önemlidir.
LCNC ve RPA’lar SQLi saldırıları için verimli zeminlerdir. Bu arada, büyüyen bir iş yazılımı ve geliştirme araçları ekosistemi LCNC’yi destekliyor. Bunlara Microsoft Power Apps, Mendix, Salesforce, UiPath, ServiceNow, AppEngine ve Automation Anywhere dahildir. Giderek artan bir şekilde, bu uygulamaları oluştururken hiçbir profesyonel geliştirici veya güvenlik analisti nihai uygulamaya asla dokunmayacak, test etmeyecek veya değerlendirmeyecek.
LCNC geliştirmesi, bilgisayar korsanlarının bir LCNC uygulaması veya RPA tarafından işlenen herhangi bir harici veri kaynağından yararlanmasına olanak tanıyan, çoğunlukla tanınmayan bir harici saldırı yüzeyi oluşturur. Bazı örnekler arasında müşteri desteğine gönderilen e-posta mesajlarının işlenmesi, hatta sosyal medya gönderileri ve şirketin akışlarından otomatik olarak toplanan yanıtlar yer alır.
Sunucuyu dizeyi komut olarak çalıştırması için kandırmak amacıyla bu harici girişlerde bir SQLi saldırısı gizlenebilir. Bu gizli talimatlar verileri değiştirmek, işlemek ve çalmak için kullanılabilir; ve bazı aşırı durumlarda sahte hesaplar oluşturup veritabanı sunucusunun kontrolünü bile ele geçirebilirsiniz.
İster kredi kartı işlemleri için ister dahili otomasyon için iş açısından kritik bir uygulama olsun, LCNC uygulamalarındaki SQLi, kuruluş için gerçek dünya riskidir.
Büyüyen endişe
Ne yazık ki, mevcut AppSec yığınları LCNC güvenliğini ele alacak şekilde tasarlanmamıştır ve vatandaş geliştiriciler SQLi riskini ele almak için nadiren eğitim alırlar.
Başka bir deyişle, SQLi saldırıları hükümetin ticari yazılım satıcılarına yönelik uyarılarına rağmen yakın zamanda azalmayacak. Vatandaş geliştiriciler LCNC platformlarına yöneldikçe saldırıların sıklığı ve şiddeti büyük olasılıkla artacaktır. Nedeni? Vatandaş geliştiricilerle güvenli bir yazılım geliştirme yaşam döngüsü (SSDLC) genellikle pencereden dışarı atılır.
Sorun dört kritik faktör etrafında dönüyor:
- Hızlı uygulama geliştirme sürecinde geleneksel güvenlik önlemlerinin eksikliği.
- Ek koruma katmanlarına ihtiyaç duymadan platform güvenlik özelliklerine aşırı güvenme.
- LCNC platformlarının bu tür saldırılara karşı doğası gereği güvenli olduğu yönündeki yanlış kanı.
- SQLi hatalarından kaçınmak için profesyonel yazılım mühendisleri yetiştirmeye yatırım yapmak pratik olsa da, bu metodolojiyi vatandaş geliştiricilere uygulamak pratik değildir.
Riskleri ortadan kaldırmak için CISO’lar ve diğer güvenlik profesyonelleri sorunu fark etmeli ve boşlukları dolduracak adımlar atmalıdır. Güvenli geliştirme yaklaşımını yalnızca ticari yazılımlara uygulamak yeterli değildir.
LCNC uygulama güvenliğini oluşturma
Tüm bu zorluklara rağmen, vatandaş geliştiricilerin ve otomasyon mühendislerinin LCNC ve RPA araçlarını kullanmasına izin verirken tasarım gereği güvenlik ilkelerinin uygulanmasını sağlamak mümkündür. Doğru yaklaşım, iş üretkenliğini artırabilir ve LCNC geliştirme ortamlarını güvenli hale getirebilir.
Bir LCNC güvenlik programı üç alana odaklanmalıdır:
- Yönetim. Yedekli veya güncel olmayan uygulamaları tanımlayan ve sıkı kontroller gerektiren canlı uygulamaları ve otomasyonu ayıran bir envanter tutmak önemlidir.
- Uyma. Bir kuruluş, örneğin PCI-DSS, GDPR ve HIPAA ihlalleriyle ilgili PII sızıntısı gibi sorunları araştırmalıdır. Vatandaş geliştiricileri genellikle uyumluluk gereksinimlerinden veya LCNC’nin nasıl risk oluşturabileceğinden habersizdir.
- Güvenlik. Varsayılan yapılandırmalar genellikle güvenlik uzmanı olmayan vatandaş geliştiriciler tarafından kullanıldığından erişim kontrolünü, kimlik doğrulamayı ve yetkilendirmeyi anlamak hayati önem taşır.
LCNC SQLi risklerini azaltmaya yönelik en iyi uygulamalar
İyi haberler var. CISO’lar daha güvenli LCNC geliştirme ortamları oluşturabilir. Ancak vatandaş geliştiricilere odaklanmak gerekiyor. Etkili bir program beş temel alanı kapsar:
- Keşif. Mevcut tüm LCNC uygulamalarında geniş ve derin görünürlük elde etmek hayati önem taşımaktadır.
- Monitör. Bir kuruluşun uygulamaları ve otomasyonu taraması, üçüncü taraf bileşenlerini analiz etmesi ve veri kullanımını tanımlaması ve sınıflandırması gerekir.
- Üstesinden gelmek. Geliştirme süreçlerini yönetmek için kapsamlı bir çerçeve oluşturun. Buna vatandaş geliştiriciler için adım adım rehberlik oluşturulması da dahildir.
- Algıla ve yanıt ver. Uygulamalara ve otomasyonlara güvenlik açıkları getiren kusurları tespit etmek ve bunların derhal düzeltilebilmesi için vatandaş geliştirici faaliyetlerini izleyin.
- Ölçek. Politikaları ve süreçleri denetlemek ve uygulamak da dahil olmak üzere görevleri kolaylaştırmak ve otomatikleştirmek için güvenlik araçlarını kullanın.
Sonuçta CISO’ların elindeki görev, SQLi’ye daha fazla sayıda kaynak aktarmak değil, doğru kaynakları göreve odaklamaktır. LCNC iş dünyasında ilgi görmeye devam ederken, daha gelişmiş bir güvenlik çerçevesi hayati önem taşıyor. En iyi uygulama yaklaşımını benimsediklerinden emin olmak CISO’lara kalmıştır.