CISA ve FBI, binlerce kuruluşu etkileyen yazılımlardaki SQL ekleme güvenlik açıklarını gidermek için Tasarım Yoluyla Güvenli Uyarısı'nı yayınladı.
Ticari yazılım çözümlerinde kalıcı bir kusur sınıfı, SQL enjeksiyonu veya SQLi güvenlik açıklarıdır.
Her ne kadar SQL açıkları on yıldan beri bilinip belgelenmiş olsa da ve uygulanabilir hafifletme yöntemleri mevcut olsa da, yazılım üreticileri bu kusura sahip olan ve çok sayıda kullanıcıyı tehlikeye atan ürünler yaratmada ısrar etti.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Tasarım Yoluyla Güvenlilik, üreticilerin kötü niyetli siber aktörlerin kusurlardan yararlanmasını önlemek için ürünleri nasıl tasarlayıp oluşturduğunu ifade eder.
Bu hafifletmenin başlangıçtan itibaren, özellikle tasarım aşamasında dahil edilmesi ve geliştirme, sürüm ve güncellemeler yoluyla devam ettirilmesiyle müşterilerin siber güvenlik ve kamu riski yükü azaltılır.
“SQL güvenlik açıkları (CWE-89 gibi) hala yaygın bir güvenlik açığı sınıfıdır. CISA ve FBI raporda, CWE-89'un 2023'teki hem en tehlikeli hem de inatçı yazılım zayıflıkları açısından ilk 25 listede yer aldığını belirtti.
SQL Enjeksiyon Güvenlik Açıklarının Özellikleri
Kullanıcı girişi doğrudan bir SQL komutuna enjekte edildiğinde, bir SQL enjeksiyon güvenlik açığı ortaya çıkar ve tehdit aktörlerinin rastgele sorgular çalıştırmasına olanak tanır.
Yazılım geliştiricilerinin en iyi güvenlik uygulamalarını ihmal etmesi, kullanıcı tarafından sağlanan verilerin veritabanı sorgularıyla birleştirilmesine yol açar ve bu da SQLi güvenlik açıklarının temel nedenidir.
Başarılı bir SQLi kullanımı, bir veritabanının ve içindeki verilerin kullanılabilirliğini, gizliliğini ve bütünlüğünü tehlikeye atacağından feci sonuçlara yol açabilir.
Özellikle, kötü niyetli siber aktörler hassas verileri alabilir ve SQLi açıkları nedeniyle bir veritabanındaki verileri değiştirebilir, kaldırabilir veya kullanılamaz hale getirebilir.
SQL Enjeksiyon Güvenlik Açıkları Nasıl Ortadan Kaldırılır
Bu tür bir güvenlik açığından kaçınmak için geliştiricilerin, yazılım ürünlerini tasarlarken ve geliştirirken SQL kodunu kullanıcı tarafından sağlanan verilerden izole etmek için parametreli sorgularda hazırlanmış ifadelerden yararlanmalıdır.
Yazılım geliştiricileri, SQLi açıklarını sistematik olarak ortadan kaldırmak için tüm uygulamalarında parametreli sorguların kullanımını zorunlu kılmalıdır.
Ortak uyarıda şu ifadeler yer alıyor: “CISA ve FBI, teknoloji üreticilerinin üst düzey yöneticilerini, SQLi ihlallerine karşı duyarlılığını belirlemek için kodlarının resmi bir incelemesini yapmaya çağırıyor ve tüm teknoloji müşterilerini, satıcılarına böyle bir inceleme yapıp yapmadıklarını sormaya teşvik ediyor.”
Tasarım Açısından Güvenli Yazılım Geliştirmenin Üç Temel İlkesi
- Müşteri Güvenliği Sonuçlarının Sahipliğini Alın
Yazılım üreticilerinin, yazılım geliştirmede hazırlanan ifadelerin parametreli sorgularla kullanılması yönündeki yaygın uygulamayı uygulamaları önerilir.
Yazılım üreticilerinin üst düzey yöneticileri, güvenlik açıklarını değerlendirmek için resmi kod incelemelerinden başlayarak müşterilerinin güvenliğine ilişkin sorumluluğu kabul etmelidir.
- Radikal Şeffaflığı ve Hesap Verebilirliği Benimseyin
Yazılım üreticileri, ürünleriyle bağlantılı güvenlik açıklarının türlerini izlemeli ve CVE girişimi aracılığıyla müşterilere bunlar hakkında bilgi vermelidir. Üreticilerin CVE kayıtlarındaki tüm bilgilerin doğru olduğundan emin olmaları gerekir.
- Bu Hedeflere Ulaşmak İçin Organizasyon Yapısı ve Liderlik Oluşturun
Açıklanan bir şirket hedefi olarak liderler, uygun teşvik programlarını oluşturmalı ve güvenliği desteklemek için gerekli yatırımları yapmalıdır.
Üreticiler, CISA ve FBI tarafından, yalnızca taktiksel koruma önlemleri almak yerine tüketicilerin güvenliğini sağlamadaki rollerini stratejik olarak yeniden değerlendirdiklerinin kanıtı olarak kendi güvenli tasarım yol haritalarını yayınlamaya teşvik ediliyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.