Uygulama Güvenliği, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Akamai: Hızlı Dijitalleşme, Kusurlu Kod Geçen Yıl 14 Milyar Saldırıya Yol Açtı
Rashmi Ramesh (rashmiramesh_) •
13 Haziran 2023
Akamai’nin yeni bir raporuna göre, bilgisayar korsanları e-ticaret sektörünü 15 ayda 14 milyar saldırıyla vurarak web uygulaması ve API istismarları için hedefler listesinin başına getirdi.
Ayrıca bakınız: Genişleyen Saldırı Yüzeyleri? Buluttaki Güvenlik Açıklarını Bulun ve Kapatın
Araştırmacılar, e-ticaret şirketlerine yönelik saldırıların hacminin öncelikle endüstrinin dijitalleşmesinden ve bilgisayar korsanlarının amaçlanan hedeflerinin web uygulamalarında yararlanabilecekleri çok çeşitli güvenlik açıklarından kaynaklandığını söyledi.
Neden E-Ticaret?
1 Ocak 2022’den itibaren web saldırılarını analiz eden araştırmacılar, e-ticaret şirketlerinin kişisel tanımlanabilir bilgiler ve ödeme hesabı ayrıntıları gibi hassas verileri depolamasının sektörü “en çok saldırıya uğrayan sektörlerden biri ve siber suçlular için kazançlı bir hedef” haline getirdiğini söyledi. , 31 Mart 2023’e kadar.
Perakende, otel ve seyahat firmaları 13 sektör arasında listenin başında yer aldı ve 14,5 milyar saldırıya – yani Akamai tarafından incelenen tüm saldırıların üçte birinden fazlasına – maruz kaldı. Yüksek teknoloji sektörü yaklaşık 9 milyar saldırı ile ikinci, finansal hizmetler ise yaklaşık 7 milyar saldırı ile üçüncü sırada yer aldı. Akamai Danışmanlık CISO’su Steve Winterfeld, ticaretin “bu kadar büyük ölçüde” birinci sırayı almasını beklemiyordu.
Winterfeld, Information Security Media Group’a “Ticaret genellikle DDoS, kimlik avı ve web saldırıları için ilk üçte yer alıyor, ancak uygulama ve API cephesinde gerçekten darbe alıyorlar. Bu, tüm sektörlerde geçerli” dedi.
Ticaret sektöründeki işletmeler, hem sunucuları hem de istemcileri etkileyen “karmaşık ve dinamik bir saldırı yüzeyine” sahiptir. Satış noktası terminalleri ve web uygulamalarını ve API’leri kullanan IoT cihazlarını içerdiğinden, sektörün altyapısının güvenliği karmaşıktır. Rapora göre, genellikle güvenlik açıklarıyla dolu açık kaynak kitaplıklarından yararlanan üçüncü taraf satıcı komut dosyalarının kullanılması, başka bir risk katmanı ekliyor.
E-ticaret firmalarının karşılaştığı zorluklardan biri, pandemi sırasında uygun denetim ve hata düzeltme olmaksızın işi ilerletmek için web uygulamalarını ve API’leri yayınlamak için acele etmeleridir. Rakipler, zayıf kodlama, tasarım kusurları ve güvenlik açıklarından yararlanarak sektörü çok daha yüksek bir riske soktu.
“En büyük teknolojik dönüşüm değişikliklerinden biri API’lere geçiş ve tehdit de buna odaklanıyor. Müşteri taleplerine ve alışveriş trendlerine hızlı bir şekilde yanıt vermek, kalite ve güvenliği korumayı zorlaştırdı, ancak müşteri deneyimi için kritik öneme sahipler. Önemli Winterfeld, güvenli kodlama kültürüne ve geliştirme hattına bağlanan güvenlik araçlarına sahip olarak siber güvenliği dahil ederken sürtüşmeyi ortadan kaldırmak için” dedi.
Acı noktaları
Riskler artarken güvenlik bütçeleri artmaz. Araştırmacılar, “Güvenlik ve BT ekipleri, çevre ve müşteri bilgilerini koruma baskısı hissediyor, ancak güvenlik bütçeleri sınırlı. Bu ekipler, daha azıyla daha fazlasını yapmak zorunda kalıyor.”
Finansal hizmetler ve sağlık sektörlerinin aksine, alanın asgari düzeyde düzenlenmesi sorunu yalnızca daha da kötüleştirir. Raporda, “Ticaret daha az sıkı bir şekilde düzenleniyor ancak aynı güvenlik olgunluk düzeyine ihtiyaç duyuyor” diyor.
Winterfeld’in şirketi ona sık sık kuruluşun emsalleri ve diğer sektörlerle karşılaştırıldığında nasıl olduğunu sorar. Bu, şirketin risk yönetiminin nerede kapalı olduğuna dair içgörü sağlayabilir, dedi. “Hatırlanması gereken önemli bir alan şudur: Ticareti diğer düzenlenmiş sektörlerle karşılaştırmak daha iyi bir önlemdir. Örneğin finansal hizmetler, saldırılarda ticaretin hemen arkasındadır. Suçlular parayı takip ediyor” dedi.
API ve Web Uygulamaları Güvenlik Riskindeki Temel Eğilimler
Araştırmacılar, Ocak 2022 ile Mart 2023 arasında, bilgisayar korsanlarının saldırıların %56’sında SQL enjeksiyonu ve siteler arası betik kullanımından yerel dosya dahil etme yöntemlerinden yararlanmaya geçtiğini söyledi. LFI, sırasıyla %24,19 ve %12,24 ile gelen XSS ve SQLi saldırılarının neredeyse iki katına çıkarak şu anda en iyi ticaret saldırısı vektörüdür.
LFI saldırı etkinliği, 2021’in ilk çeyreği ile 2022’nin üçüncü çeyreği arasında %300’den fazla arttı.
“Günümüzde saldırganlar, LFI güvenlik açıklarından yararlanmanın ağları hedefler için taramada ve dizin geçişli saldırılara ve daha derin ihlallere yol açan bilgileri açığa çıkarmada daha yararlı olduğunu keşfetti. Araştırmacılar, “SQLi saldırıları esas olarak yalnızca hassas verilere erişime izin veriyor. Bu istismar edilen LFI’ler genellikle saldırı zinciri yoluyla uzaktan kod yürütülmesine yol açabilir” dedi.
LFI güvenlik açıklarına temel olarak hatalı giriş doğrulaması veya uygun şekilde sterilize edilmemiş kod neden olur. Bu, saldırganların “yetkisiz bilgilere erişmesine ve sunucuda yetkisiz ayrıcalıklar almasına izin verebilir, bu da sistemin tamamen tehlikeye girmesine neden olabilir.”
Trenddeki bu değişiklikleri fark etmek, şirketlerin güvenlik kontrollerini nasıl doğrulayacaklarını belirlemelerine yardımcı olduğu için önemlidir.
Rapor, kalem testçilerinin ve kırmızı ekiplerin LFI güvenlik açıklarını ortaya çıkarmaya odaklanmasını ve güvenlik programlarının hem girişimler hem de tavizler hakkında raporlamayı vurgulamasını öneriyor. Raporda, “Bir saldırının tüm yaşam döngüsünü test ederek, SOC süreçlerimizin bunları hafifletebildiğinden emin olabiliriz. MITRE ATT&CK çerçevesinden yararlanmak, siber öldürme zinciri adımlarını ve bunları yürütmek için kullanılan teknikleri incelemek için de bir neden sağlar.” diyor.
Winterfeld, uçta korumanın hem doğrudan saldırıları hem de büyük botlar veya DDoS saldırıları tarafından vurulmayı yönetme becerisini içermesi gerektiğini söyledi. Altyapının saldırıyı hafifletebilmesi ve gerektiğinde saldırıları absorbe edebilmesi gerektiğini de sözlerine ekledi. “Dayanıklılık zorluklarından bazıları müşteri artışından kaynaklanabilir, bu nedenle şirketlerin aynı zamanda yeteneklerini hızla genişletme veya bu artışları desteklemek için bir CDN’den yararlanma becerisine ihtiyacı var.”
E-Ticaret İçin Daha Fazla Sorun
LFI, sektör için en acil endişe kaynağıdır, ancak tek endişe kaynağı değildir.
Magecart ve web skimming saldırıları, ödeme endüstrisi standardı PCI DSS’nin en son sürümünde yeni gereksinimleri garanti edecek kadar güçlü olmaya devam ediyor. Araştırmacılar, Magecart’ın, bilgisayar korsanlarının, ödeme sayfası gibi birinci veya üçüncü taraf komut dosyalarına kötü amaçlı kod enjekte etmek için bir e-ticaret platformu komut dosyasındaki bir güvenlik açığından yararlandıkları bir tür web kayması saldırısı olduğunu söyledi. Bunu, müşteri ödeme ayrıntılarını ve kişisel olarak tanımlanabilir bilgileri elde etmek için yaparlar.
“Belirlediğimiz ve hafiflettiğimiz saldırılardan birinde, saldırgan, kodu birinci taraf bir kaynağa yerleştirdi ve ödeme sayfasındaki ödeme formuna bilgilerini girip gönderen kullanıcılar, ayrıntılarına (örneğin, CVV, kredi kartı numarası ve adı) bir C2 sunucusuna gönderildi” dedi araştırmacılar.
British Airways davasında saldırganlar, şirketin ödeme sayfasındaki üçüncü taraf komut dosyalarını kötüye kullanarak ödeme bilgileri gibi gizli kullanıcı verilerini çalmalarına izin verdi. Bu saldırı 350.000’den fazla müşteriyi etkiledi ve 20 milyon sterlinlik Genel Veri Koruma Yönetmeliği cezasıyla sonuçlandı.
Sunucu tarafı şablon enjeksiyonu, sunucu tarafı istek sahteciliği ve sunucu tarafı kod enjeksiyonu gibi saldırı vektörleri de popüler hale geldi ve veri hırsızlığına ve uzaktan kod yürütmeye yol açabilir.
Araştırmacılar, tüketicilerin %60’ının güvenliği ihlal edilmiş bir web sitesinden satın almayacağını söylediği bir Arcserve anketine atıfta bulunarak, “Bu da, çevrimiçi satışları engellemede ve bir şirketin itibarına zarar vermede rol oynuyor olabilir” dedi. önceki 12 ay.
SSTI, sıfır gün saldırıları için favori bir bilgisayar korsanıdır. Araştırmacılar, kullanımının “Log4j de dahil olmak üzere son yıllardaki en önemli güvenlik açıklarından bazılarında” iyi belgelendiğini söyledi. Bilgisayar korsanları, Log4j ile ağırlıklı olarak ticaret şirketlerini hedef aldı ve tüm istismar girişimlerinin %58’i alanda gerçekleşti.
Hafnium suç grubu, Microsoft’un Exchange Sunucularına saldırmak için kullandıkları SSRF’leri yaygınlaştırdı ve bildirildiğine göre ticaret dahil 60.000 kuruluşu etkileyen bir tedarik zinciri siber saldırısı başlattı. Rapora göre Hafnium, web sunucularına komutları çalıştırmak için SSRF güvenlik açığını kullandı.
Raporda, “Ne yazık ki, Microsoft Exchange kullanıcıları bu saldırıdan kaynaklanan yeni fidye yazılımı saldırıları gönderdiğinden, bu yaygın Hafnium saldırıları sadece başlangıç” diyor.
Ticaret şirketleri, ödeme işleme, sohbet robotları ve ölçüm izleme gibi müşteri hizmetleri odaklı işlevler eklemek için üçüncü taraf komut dosyalarını kullanır. Araştırmacılar, üçüncü taraf komut dosyalarını kullanmanın savunmasız oldukları anlamına gelmediğini, ancak şirketlerin üçüncü taraf komut dosyası kodunun ve potansiyel güvenlik açıklarının geliştirilmesi ve test edilmesi konusunda çok az görünürlüğe sahip olduğunu söyledi. Üçüncü taraf komut dosyaları, “saldırılar için daha fazla kör nokta ve yol oluşturan” diğer üçüncü taraflardan gelen kodları da kullanabilir.
Bilgisayar korsanları, dolandırıcılık yapmak veya ödeme ayrıntılarını çalmak için bu kusurlardan yararlanabilir. Araştırmacılar, “Ayrıca, komut dosyası yönetimiyle ilgili olarak PCI DSS 4.0 çevresindeki gereksinimleri karşılamada artan zorluklar anlamına geliyor” dedi.
ABD’de gizlilik, veri yerelleştirme ve yeni ortaya çıkan esneklik düzenlemeleri var ve yeni tehdit eğilimlerine dayalı olarak PCI DSS gibi standartlarda güncellemelere tanık oluyor. Ancak Winterfeld, uyum sorunlarının artmaya devam edeceğini söyledi.