Değişim zamanı
FBI kısa süre önce, dolandırıcılar tarafından uzak pozisyonlara başvururken kullanılan derin sahte videolarda keskin bir artışla ilgili bir kamu tavsiyesi yayınladı. Kimlik hırsızlığı ile birleştiğinde, bu suçlular, uzaktaki işverenlerini iddia ettikleri kişi olduklarına ikna edebilir ve çoğu zaman hassas verilere erişimi olan pozisyonlar elde edebilir.
İK, işe alım uzmanları ve diğer işe alım uzmanları artık yalnızca bir yıl önce uzak pozisyonlar için işe alırken kullandıkları teknikleri kullanamazlar. İşe alım pozisyonunda olanlar, ses ile koordine olmayan dudak hareketi gibi potansiyel ipuçlarını yakalayabilmelidir. Bu, “bu sizin anne babanızın dünyası değil” meselesi değil; “Bu geçen yılın dünyası bile değil.”
Aynı şekilde, web uygulamalarının güvenliğini sağlamak da bir yıl öncekiyle aynı değil. “Web uygulaması” demek bile eskisi gibi değil. API’lerin ve mobil uygulamaların yükselişi ile bir web sitesi varlığının kullanımı, mobil uygulamalara ve IoT’ye geri dönüyor. Kurumsal varlıkları korumak, ağ çevresini korumayı düşünmekten uzaklaştı. Bir web varlığı fikrinden internet/bağlantılı bir konsepte geçmek gerekiyor.
Yıllarca, birinin web varlığını korumanın yolu bir WAF (Web Uygulaması Güvenlik Duvarı) idi. Ağ güvenlik duvarları gibi, WAF’lar, en son bilgi güvenliği haberlerini takip etmekten, kural kümelerini gerektiği gibi ayarlamaktan sorumlu bir veya iki yönetici ile tehdit imzalarına dayalı kural kümeleriyle yapılandırılır (bu, işleri korumak için her zaman ayda birkaç kez geç kalmakla birlikte gelir) güncellenmiş).
Siber tehditlerin ve saldırıların bir tehdit haritasına bir bakış, herkese eksiksiz manuel yaklaşımın bugün ne kadar olanaksız olduğunu düşünmesi için bir neden verecektir. 0 günlük çok yönlü artış, saldırı yüzeyleri, 7/24/365 çalışan otomatik saldırı araçları ve tehdit aktörleri (yalnızca suçlular değil, aynı zamanda hoşnutsuz çalışanlar ve bilgisayar korsanları), manuel güncelleme, yükseltme ve güvenlik süreçleri artık çalışma.
Saldırganların kullanabilecekleri de dahil olmak üzere, mevcut teknolojilerdeki artışla birlikte, yalnızca imzalara dayanan herhangi bir korumanın değiştirilmesi veya iyileştirilmesi gerekiyor. Çoğu olmasa da çoğu WAF, ModSecurity’ye güvenir. ModSecurity veya Modsec, geliştirme ve destek için şimdi açık kaynak topluluğuna, özellikle OWASP’a sunuldu. OWASP, ModSecurity güvenlik duvarlarını güncellemek için kullanılacak Çekirdek Kural Kümesi’ni (CRS) geliştirmeye devam ediyor. CRS, Apache ve IIS/Nginx web sunucuları için özel olarak tasarlanmıştır. Bunların kaç site tarafından desteklendiğini belirlemek imkansız olsa da, Apache ve Nginx’in web’in yaklaşık 2/3’ünü çalıştırdığı tahmin ediliyor.
İmza tabanlı teknolojinin tehlikesi nedir? Geleneksel WAF teknolojisini rahatsız eden bir tehlike 0 gündür. Sıfır gün daha yaygındır ve en azından zamanında değil, tehdit imzalarıyla ele alınmaz. Herhangi bir tehdit için imzalar her 15 dakikada bir kullanıma sunulabilir veya belki de 6 ay kadar uzun sürebilir. Bununla birlikte, güçlü tehdit imza teknolojisi olabilir, özellikle internetin ne kadarının potansiyel olarak eski appsec koruma yöntemlerinde çalıştığını göz önünde bulundurarak, güvenlik stratejisini yeniden düşünmek için 0 gün tek başına bir duraklama sağlar.
Cloudflare’nin DDoS saldırılarına ilişkin raporuna göre, 2022’nin ilk çeyreğinde DDoS saldırılarının yarısından fazlasının 20 dakikaya kadar sürdüğü, %40’ının 10 dakikada, geri kalanının ise 20 dakika ve daha uzun sürdüğü görüldü. İmza tabanlı koruma tek başına bununla başa çıkamaz.
2018 memcached saldırısında, 11211 numaralı bağlantı noktasının engellenmesi gerekiyordu; bu, yalnızca tepkisel olarak gerçekleştirilebilen bir savunma manevrasıydı ve manuel olarak yapıldığında hasarı önlemek için belki de çok geç kalmıştı. Bu daha eski bir saldırı olsa da buradaki avantaj, geçen sürenin profesyonellere A) imza tabanlı korumanın ve B) çok katmanlı bir yaklaşıma dayanmamanın yansımalarını analiz etmeleri ve düşünmeleri için zaman vermiş olmasıdır.
Daha yakın zamanlarda Log4j güvenlik açığı oldu. 9 Aralık 2021’de Apache’yi etkileyen 0 günlük istismar keşfedildi. Herhangi bir yamanın teslim edilmesi 13 Aralık’a kadar sürdü. Bu makale, hiçbir şekilde güvenlik açığının büyüklüğünü veya sorunu azaltmak için yapılan büyük çalışmayı itibarsızlaştırma girişimi değildir. Log4j güvenlik açığı, doğrudan kural kümelerinden daha fazlasına duyulan ihtiyacı yeniden öne çıkarıyor.
Uygulama güvenliğinin yanı sıra kuruluşların API’leri korumak için özel savunmalara da ihtiyacı vardır. Toplu olarak, şunlara karşı korumamız gerekir:
- Hassas kimlikler veya belirteçler elde etmek için kaba zorlama API’leri
- Hesap Devralma (diğer adıyla Kimlik Bilgileri Doldurma)
- Hassas API’leri hedefleme (ör. hediye kartı ve kredi kartı doğrulama) ve çalınan kartları doğrulamaya çalışma
- Kötü amaçlı otomasyon ve botlar
- Kötü amaçlı veya izin verilmeyen trafik kaynakları – örneğin Tor veya VPN
- İçeriden Bilgi Tehdidi (ayrıcalık yükseltme için içeridenler tarafından kötüye kullanılan kullanıcı yönetimi API’leri)
- Çok sayıda izin değişikliği gerçekleştirme
- Güncel olmayan veya yama uygulanmamış üçüncü taraf çerçeveler veya kitaplıklar kullanan API’ler ve enjeksiyon sorunları (komut yürütme, XSS, SQL Enjeksiyonu)
- Çalınan içeriğe veya kaynak tükenmesine yol açan yüksek hızlı istekler
- DDoS
Teknolojik yaklaşımın da otomatik ve akıllıca uyarlanması ve güncellenmesi gerekir. ‘Akıllı CIO’dan Mark Bowen şunları söyledi: “Saldırganlar kötü amaçlı yazılımları el işi yapmazlar; mevcut kötü amaçlı yazılımları, imza tabanlı savunmaları ortadan kaldıracak kadar değiştirirler. Kötü amaçlı yazılım imzaları, bilinen bozuk dosyaların karmalarını oluşturarak çalışır, bu nedenle en küçük değişiklik bile eşleşmeyi engeller.” API saldırıları, ilk etapta önceden tanımlanmış kötü amaçlı yazılımlara bile dayanmaz.
Modern web uygulaması ve API korumaları, müşteri ve kurumsal varlıkları daha iyi korumak için yapay zeka liderliğindeki ve makine öğrenimi (ML) modellerinden yararlanmayı gerektirir. Bu gelişmiş ve gelişen teknolojiler, her yerde bulunan Nginx sunucularını korumak da dahil olmak üzere, imza tabanlı tehdit korumasına uygulanabilir alternatiflerdir.
Ayrıca güvenlik uzmanları için giriş engelini de azaltırlar. Bu, kuruluşlar için bir nimet çünkü uygulanan donanım konusunda uzmanları işe almak zorunda değiller. Ve mevcut çalışanların, yönetmek ve sürdürmek için yeni teknolojide uzmanlaşması gerekmez.
Bir kuruluş, bu cihazların (fiziksel veya sanal) bir buzdolabı gibi çalışmasını ister – kişi onu satın almak ve bir cihaz uzmanı olmak zorunda kalmadan basitçe çalışmasını sağlamak ister. Ve ancak bir şeyler ters giderse (kabul edelim, her şey bozulursa) uzmanla iletişime geçilmesi gerekir.
Düz ML ile ilgili bir sorun, bağlamı belirleme yeteneğinden yoksun olmasıdır (örneğin, baş aşağı görüntüler, benzer ana hatlar). Bu eksiklik, Bağlamsal Makine Öğrenmesine (CML) yol açmıştır. Bu, ML’nin daha geniş dünyasında çok fazla bir sorun olmasa da, uygulama güvenliğinin kritik bir yönüdür.
CRS ve diğer imza tabanlı araçlar esnek kural kümeleri sağlarken, CML web uygulamalarını ve API’leri daha iyi korumak için gerçek zamanlı değişiklikler sağlar.
Uygulamada, öncelikle bütçe eksikliğinden ve aynı zamanda eğitimli personel gibi diğer kaynakların eksikliğinden dolayı eski – veya yakında modası geçecek – cihaz ve teknolojiyi sürdürmek zorunda kalabilirsiniz. Geleceğe bakmak ve planlama, uygulama ve API güvenliğinde hayati faktörlerdir. Saldırı ve güvenlik ortamı hızla ve sık sık değişir, bu nedenle tehdit bilgi tabanı günde birden çok kez değişir ve eski savunmalar – zamanları ve yeni teknolojileri devlerin omuzlarındayken – ya artık uygulanamaz ya da yakında uygulanacaktır.
Appsec alanında, hızlı tempoya ayak uydurmak için para ödüyor (ve iş ve istihdam güvenliği sağlıyor). AI ve CML gibi modern teknolojilerden yararlanmak, bir kuruluşun bakım yükünü ekipmana kaydırarak maliyetlerini düşürmesini veya sürdürmesini ve personelin daha üst düzey geliştirme, mühendislik, planlama işlerini yapması için alan bırakmasını mümkün kılacaktır. , eğitim ve işletmelerinin verilerini ve itibarını koruma.