Timothy Liu, CTO ve Hillstone Networks Kurucu Ortağı tarafından
Son yıllarda, pandemi ve diğer güçler, çalışma şeklimizde köklü değişikliklere yol açtı. Dağıtılmış iş gücü çok daha yaygın hale geldi ve bu da uzaktan çalışanların görevlerini yerine getirmelerine izin vermek için yazılım ve uygulamalara olan bağımlılığın artmasına neden oldu. İşletmelerin dijital dönüşüme eş zamanlı geçişi bu evrime katkıda bulundu, ancak pandeminin kitlesel kapanmaları büyük olasılıkla dağıtılmış işgücü eğiliminin çoğunun temel itici gücü oldu.
İş uygulamaları, değişen ihtiyaçları karşılamak için çok çeşitli hale gelmiştir ve yerel olarak barındırılan yazılım, hizmet olarak yazılım (SaaS) veya bulutta yerel veya mikro hizmet tabanlı uygulamalar olarak dağıtılabilir. Uygulamaları ve ilgili uygulama verilerini ve mikro hizmetleri entegre etmek, genellikle bir arayüz görevi gören ve birlikte çalışabilirliğe izin veren uygulama programlama arayüzleri (API’ler) aracılığıyla gerçekleştirilir.
Bununla birlikte, halka açık uygulama kullanımındaki patlama, siber suçlular tarafından göz ardı edilmedi. Uygulamalar ve API’leri, hassas finansal ve kişisel bilgilerden yararlanmaya çalışan kötü adamlar için çekici bir odak noktasıdır. Uygulama güvenliği, dağıtım modellerinin çok çeşitli olması ve uygulamaların kendileri tarafından sunulan çoklu saldırı yüzeyleri ve potansiyel güvenlik açıkları nedeniyle daha da karmaşık hale gelir.
Uygulamalara yönelik saldırıların oluşturduğu riskler göz önüne alındığında, güvenlik ekiplerinin geliştirme aşamasından başlayarak yerel ve bulut dağıtımlarına kadar birden çok güvenlik katmanı kullanması yaygındır. Bu ‘derinlemesine savunma’ veya uygulama güvenliği için yaşam döngüsü durumu sistemi, yönetim kurulu genelinde gelişmiş korumalar için savunmaları katmanlayabilir.
Kalkınmada Sola Kayma Eğilimi
Nispeten yeni bir strateji olan ‘sola kaydırma’, uygulama geliştirme aşamasına uygulama güvenliği için daha fazla sorumluluk ve kaynak yerleştirmeyi ifade eder. (Yan not: Bu aşama genellikle uygulama iş akışı çizimlerinin sol tarafında gösterilir, dolayısıyla adı.) Bazen AppSec, DevSec veya DevSecOps olarak da bilinen sola kaydırma taktikleri genellikle uygunluğun doğrulanmasına yardımcı olmak için güvenlik denetimi ve güvenlik açığı taramalarından oluşur. belirli geliştirme standartları ile Temel bilgilere ek olarak, geliştirme ekipleri bazen diğer testlerin gözden kaçırabileceği güvenlik açıklarını belirlemek için hem kimliği doğrulanmamış hem de kimliği doğrulanmış kullanım durumları için insan veya otomatik sızma testleri ve taramaları kullanır.
Yine de, stratejiyi sola kaydırmak için strateji tasarlamak gerçek bir hokkabazlık eylemi olabilir. Güvenlikle ilgili sorumluluğu geliştiricilerin kendilerine zorlamak, geliştirme süreçlerinin hızını önemli ölçüde geciktirebilir. Öte yandan, bu sorumlulukları bir güvenlik ekibine devretmek, güvenlik testlerinin ortaya çıkardığı sorunları çözmek için geliştiricilere güvenmelerine neden olur. Gittikçe daha fazla otomasyon destekli testler devreye giriyor; ancak yalnızca otomasyona bağımlılık kendi başına riskler getirebilir.
Sonuç olarak, kuruluşların DevOps üretim zaman çizelgelerini gereksiz yere etkilemeden güvenlik duruşlarındaki gizli güvenlik açıklarını ve gecikmeleri ortaya çıkarmak için geliştirme aşaması güvenlik testleri için tatlı noktayı bulması gerekecektir.
Dağıtımda Güvenlik Katmanı
Geliştirme düzeyinde güvenlik süreçlerinin iyileştirilmesi hayati derecede önemli olsa da, uygulama dağıtımında sağlam bir güvenlik duruşunun sağlanması da bir o kadar önemlidir. Alanda, Hillstone Networks’ün W-Serisi WAF’leri gibi Web Uygulaması Güvenlik Duvarları, uygulama güvenliğini sağlamak için yaygın olarak kullanılmaktadır. Çoğu WAF, en azından OWASP İlk 10 uygulama güvenlik açığı listesine karşı savunma yapacaktır; daha gelişmiş WAF’ler, yanlış pozitifleri azaltmaya ve bilinmeyen tehditleri ve saldırıları engellemeye yardımcı olabilecek semantik analiz ve bağlam farkındalığı sağlar.
Bir dizi WAF ayrıca OSI Katman 3’te DoS ve DDoS saldırılarına karşı genişletilmiş savunma sunar ve botnet ve benzeri tehditlere karşı koruma sağlayabilir. Giderek, gelişmiş WAF’lar, DevOps ekipleri tarafından yapılan güvenlik testleri için çapraz kontrol işlevi gören OpenAPI gibi endüstri standartlarını kullanarak API’leri doğrulama yeteneğine sahiptir. API’lerde herhangi bir hata veya güvenlik açığı tespit edilirse, WAF, olası API saldırılarına veya kötüye kullanıma karşı savunmak için güvenlik ilkeleri oluşturabilir.
Kendi içinde bir WAF, tipik olarak, katmanlı bir savunma olarak kabul edilebilecek birden fazla koruyucu tekniği kapsar. Ancak, sunucu koruması olarak bilinen başka bir çözüm türü, ek korumalar ve iyileştirilmiş görünürlük için genellikle bir WAF ile birleştirilir. Hillstone’un sBDS’si gibi sunucu koruma ürünleri, anormal eylemleri ve potansiyel gelişmiş kalıcı tehditleri (APT’ler) algılayarak web, uygulama ve diğer sunucular için geniş güvenlik sunar. Sunucu koruması, Uzlaşma Göstergelerini (IoC’ler) belirlemek için aldatma tekniklerini, yapay zekayı ve korelasyon analizini kullanabilir ve bunları engellemek için özerk eylemler gerçekleştirebilir.
Bir WAF, ilk uygulama savunma hattının yanı sıra daha yüksek uygulama kullanılabilirliği elde etmek için bir Uygulama Teslim Denetleyicisi ile de birleştirilebilir. Ek olarak, Hillstone’un AX-Serisi gibi bir ADC, bir WAF için işleme yükünün büyük bir kısmını hafifletmek için HTTPS trafiğinin şifresini çözme ve yeniden şifreleme yeteneğine sahiptir. SSL boşaltma olarak adlandırılan bu yetenek, büyük ölçüde WAF verimi ve genel performans sağlayabilir.
Bulut için Odaklanmış Savunmalar
Genel, özel ve hibrit bulut mimarileri için uygulama güvenliği standartları diğer dağıtım türlerine çok benzer. WAF’ler, sunucu koruması ve ADC’lerin tümü bulut tabanlı sürümlerde sunulur; ancak bulut uygulamaları, geçici yapıları ve hareketlilikleri açısından farklılık gösterir. Bu, güvenlik bulut tabanlı uygulamaları sonsuz derecede daha zorlu hale getirebilir, ancak bulut iş yükü koruma platformları (CWPP’ler), bulut dağıtımlarının taleplerini karşılamak için özel olarak tasarlanmıştır.
Hillstone’un CloudArmour’u gibi bir CWPP, bulut kümelerinin ve ana bilgisayarların güvenlik durumunu görüntüleyen, olası güvenlik açıklarının ayrıntılı görünürlüğünü, ancak daha da önemlisi ortam içindeki bulut uygulamaları arasındaki bağlantıları ve ilişkileri sağlayan birleşik bir pano sunar. Bu birleştirilmiş gösterge panosu, yöneticilerin saldırılara açık olabilecek uygulamaları hızlı bir şekilde tanımlamasına ve olağandışı trafiği, güvenli olmayan kullanıcı veya uygulama eylemlerini ve diğer IOC’leri görselleştirmesine olanak tanır. Bu derin ve eyleme geçirilebilir görünürlük, güvenlik ekiplerinin riskleri tanımasına ve bulut mimarisini daha iyi güvenceye almak için güvenlik mekanizmalarını ayarlamasına olanak tanır.
CWPP’ler, şüpheli eylemler için doğu-batı trafiğini gözlemlemek için mikro segmentasyon teknolojileri sunabilir. Örneğin, uygulamalar ve ana bilgisayarlar arasındaki yetkisiz yanal hareket, botnet’ler ve diğer saldırılar gibi APT’lerin göstergesi olabilir. Yapay zeka ve makine öğrenimi yoluyla uygulama ve bağlamsal farkındalık, bir CWPP’nin olası tehditleri minimum yanlış pozitifle kesin olarak tanımlamasına ve önlemesine olanak tanır.
uyarılar
Bu makalede açıklanan teknolojilerin ve metodolojilerin uygulama güvenlik duruşlarını iyileştirdiği gösterilmiş olsa da, her güvenlik uygulayıcısı ve organizasyonunun farklı öncelikleri ve felsefeleri olması muhtemeldir. Sağlam, katmanlı bir savunma genellikle bir anda değil, zamanla gelişir. Şüphesiz, herhangi bir yeni güvenlik tekniği veya teknolojisi ile üstesinden gelinmesi gereken bir personel eğitimi ve öğrenme boşluğu olacaktır. Ek olarak, güvenlik teknolojilerinin kendilerinin normal olarak, standart ve geçerli trafiği saldırı veya tehlike göstergelerinden ayırt etmek için normal trafiği ve kullanım modellerini ‘öğrenmeleri’ için belirli bir süreye ihtiyaçları vardır.
Bununla birlikte, her büyüklükteki kuruluşun uygulamalarına artan güven ve gelişen siber tehdit ortamı, uygulamanın bulunduğu her yerde uygulama geliştirmeden dağıtıma kadar uzanan çok aşamalı, çok katmanlı bir güvenlik yaklaşımı gerektirir.
yazar hakkında
Timothy Liu, Hillstone Networks’ün Kurucu Ortağı ve Baş Teknoloji Sorumlusudur. Bay Liu, rolünde, şirketin ürün stratejisi ve teknoloji yönünden ve ayrıca küresel pazarlama ve satıştan sorumludur. Bay Liu, 25 yılı aşkın tecrübesi ile teknoloji ve güvenlik sektörünün emektarıdır. Hillstone’u kurmadan önce, NetScreen Technologies’de ScreenOS için VPN alt sistemlerinin ve NetScreen’in satın alınmasının ardından Juniper Networks’ün geliştirilmesini yönetti. Bay Liu aynı zamanda patentli Juniper Evrensel Erişim Kontrolü’nün ortak mimarıdır ve NGFW için Risk Puanlama ve Riske Dayalı Erişim Kontrolü konusunda ek bir patente sahiptir. Bay Liu, kariyeri boyunca Intel, Silvan Networks, Enfashion ve Convex Computer’da önemli Ar-Ge pozisyonlarında hizmet vermiştir. He Liu, Çin Bilim ve Teknoloji Üniversitesi’nden Lisans Derecesine ve Doktora derecesine sahiptir. Austin’deki Texas Üniversitesi’nden.
Tim’e çevrimiçi olarak @thetimliu adresinden ve şirketimizin web sitesi https://www.hillstonenet.com/ adresinden ulaşılabilir.