Web sitenizi güvenlik açıklarına karşı tararsanız yüzlerce açık kapı keşfedebilirsiniz. AppTrana tarafından korunan 1.400 web sitesindeki AppSec araştırmamız, 2023’ün ikinci çeyreğinde 33.000 kritik, orta ve yüksek güvenlik açığını ortaya çıkardı.
Daha endişe verici olan ise bu güvenlik açıklarının %31’inin 180 günden fazla açık kalması ve 1729’unun kritik veya yüksek olarak sınıflandırılmasıdır.
İdeal çözüm, sistemi güvenlik açıklarına karşı yamamaktır. Güvenlik açıklarını düzeltmeden bırakmanın sonuçlarının net bir şekilde anlaşılmasına rağmen, birçok kuruluş bu güvenlik açıklarını düzeltmede yavaş davranıyor.
Tüm güvenlik açıklarını aynı anda yamalamak birçok nedenden dolayı pratik değildir. Bu gibi durumlarda bir sonraki en iyi çözüm sanal yamalamadır.
Yama Uygulanmamış Güvenlik Açıkları ve Bunların Gerçek Dünyadaki Sonuçları
Ponemon Enstitüsü’nün yaptığı bir araştırmada, ihlale uğrayan şirketlerin %60’ı, uzlaşmanın nedeni olarak bilinen güvenlik açıklarını düzeltmedeki başarısızlıklarını gösterdi.
Örneğin, tarihin en bilinen veri ihlallerinden biri, yama sürecinin gözden kaçırılmasının doğrudan bir sonucuydu – Equifax Veri İhlali (2017).
2017 yılında, en büyük kredi raporlama kuruluşlarından biri olan Equifax, yaklaşık 147 milyon kişinin hassas bilgilerinin açığa çıkmasına neden olan büyük bir veri ihlalinin kurbanı oldu. İhlalin, yama uygulanmamış bir Apache Struts web uygulaması çerçevesi güvenlik açığından kaynaklandığı düşünülüyor.
Benzer şekilde, yamalı Apache Log4j güvenlik açığı (CVE-2021-44228), saldırganların günlük mesajları aracılığıyla kötü amaçlı kod yerleştirmesine olanak tanıdı. Yaygın etki Java tabanlı uygulamaları etkileyerek uzaktan kod yürütülmesine, veri ihlallerine ve sistem güvenliğinin ihlal edilmesine yol açtı.
Diğer iyi bilinen örnekler, ProxyLogon, ProxyShell ve ProxyNotShell dahil olmak üzere Microsoft’un Exchange sunucularında gözlemlenen toplu güvenlik açıklarıdır.
Bu güvenlik açıkları, siber suçluların Exchange sunucusu e-posta hesaplarını ihlal etmeleri, hassas bilgileri çalmaları ve yama yapılmamış sistemleri kontrol etmeleri için sürekli olarak ağ geçitleri görevi görüyordu.
Çözüm: Sanal Yama
Güvenlik açıklarını düzeltmek için bir uygulamanın veya sistemin kaynak kodunu değiştirmeyi içeren geleneksel yamalamanın aksine, sanal yamalama, temeldeki kodu değiştirmeden uygulanır.
Sanal yamalama, web uygulaması trafiğini inceleyerek ve aktarım sırasında saldırıları engelleyerek uygulamayı korur. WAF düzeyinde bir bariyer oluşturur ve uygulamayı her türlü kötü niyetli faaliyetten korur.
Sanal yama uygulamasının birincil avantajı, yazılım satıcılarının resmi yamaları henüz mevcut olmasa veya uygulanması mümkün olmasa bile, bilinen güvenlik açıklarına karşı anında koruma sağlama yeteneğidir.
Diğer faydalar şunları içerir:
• Arıza Süresinin Önlenmesi: Yüksek kullanılabilirlik gerektiren ve kesinti süresini karşılayamayan kritik sistemler, sanal yamalama ile korunarak kesintisiz operasyonlar sağlanır.
• Maliyet-eetkili: Sanal yamalama, güvenlik açıklarının acilen kapatılmasıyla ilgili acil harcamaların en aza indirilmesine ve hatta ortadan kaldırılmasına yardımcı olur.
• Korunmuş Yama Döngüleri: Bu yaklaşım, bir kuruluşun düzenli yama uygulama döngülerinin korunmasını destekleyerek yapılandırılmış ve tutarlı bir güvenlik duruşu sağlar.
Bu avantajlar sanal yamalamayı işletmeler için ideal bir seçim haline getiriyor. Tehditlere karşı koruma sağlamak için ekstra bir güvenlik katmanı ekler.
2023 yılı 2. Çeyreği uygulama güvenlik durumu raporumuzda yer alan bulgulara dayanarak, AppTrana’nın 1.400 web sitesinde 1,1 milyar kötü amaçlı isteği engellediğini tespit ettik.
Bunlardan isteklerin %41’i AppTrana’nın temel güvenlik kuralları kullanılarak durduruldu, %59’u ise her uygulamanın özel gereksinimlerine uyacak şekilde tasarlanmış özel kurallar kullanılarak engellendi.
Yönetilen Hizmetler: Karmaşıklıkların Giderilmesi
Sanal düzeltme ekinin etkinliği yaygın olarak kabul edilse de, hatalı pozitif durumların tespit edilmesi için uygulamaların izlenmesine ilişkin ek sorumluluk getirmektedir. Tanımlanan güvenlik açığının yanlış alarm olup olmadığını nasıl anlarsınız?
Güvenlik uzmanı desteği olmadan bunu yönetemezsiniz. Bu nedenle şirket içi kaynakları olmayan birçok kuruluş, yönetilen WAF’a yöneliyor.
Yönetilen hizmetler ekibi, güvenlik operasyonlarıyla ilgili karmaşıklıkları ele alan uzmanlık ve destek sunarak işletmelerin temel yetkinliklerine odaklanmasına olanak tanır.
Her uygulamanın AppTrana’ya katılım sürecinin bir parçası olarak, bir çözüm mühendisliği ekibi, ilk 14 gün içinde yanlış pozitiflerin veya yanlış yapılandırmaların bulunmadığını garanti etmek için dağıtımı denetler. Bu taahhüt, hizmetin bir parçası olarak sürekli hatalı pozitif izleme olanağı sunarak dağıtım sonrasını da genişletir.
Çözüm
Bir saldırgan bir güvenlik açığı bulursa, bir sonraki adımı genellikle bu güvenlik açığından yararlanmak olur. Güvenlik açığı yönetimi, sanal düzeltme eki uygulama ve yönetilen hizmetler arasındaki yolculuk, ihlallere karşı güçlü bir savunma sunar. Siber tehditleri engellemek ve işletmenizin kârını proaktif bir şekilde güvence altına almak için bu stratejileri benimseyin.