Yapmamalısın. Zaten güvenlik açıklarını gizliyor olabilir.
Modern web uygulamalarının bu kadar etkili olmasının nedeni modüler doğasıdır. Müşterilerini mutlu edecek tüm farklı işlevleri sağlamak için düzinelerce üçüncü taraf web bileşenlerini, JS çerçevelerini ve açık kaynak araçlarını kullanabilirler, ancak onları bu kadar savunmasız kılan da bu bağımlılık zinciridir.
Web uygulaması tedarik zincirindeki bu bileşenlerin çoğu, onları oluşturan şirket olan üçüncü bir taraf tarafından kontrol edilir. Bu, kendi statik kod analiziniz, kod incelemeleriniz, sızma testleriniz ve diğer SSDLC süreçlerinizde ne kadar titiz olursanız olun, tedarik zincirinizin güvenliğinin büyük bir kısmının, üçüncü taraf bileşenlerini oluşturan kişinin elinde olduğu anlamına gelir.
Zayıf noktalara yönelik devasa potansiyelleri ve kazançlı e-ticaret, finans ve tıp endüstrilerindeki yaygın kullanımlarıyla web uygulaması tedarik zincirleri, siber saldırganlar için cazip bir hedef oluşturuyor. Kullanıcılarının kuruluşlarına sızmak ve ürünlerini tehlikeye atmak için güvendikleri düzinelerce bileşenden herhangi birini hedefleyebilirler. Yazılımlar, üçüncü taraf kütüphaneler ve hatta IoT cihazları, fark edilmeden sistemlere ayrıcalıklı erişim elde etmenin bir yolunu sundukları için rutin olarak saldırıya uğruyor. Saldırganlar buradan Magecart ve web tarama saldırıları, fidye yazılımları düzenleyebilir, ticari ve politik casusluk gerçekleştirebilir, sistemlerini kripto madenciliği için kullanabilir ve hatta onlara zarar verebilir.
SolarRüzgarlar Saldırısı
Aralık 2020’de, ölçeği ve karmaşıklığı açısından pek çok saldırıyı gölgede bırakan bir tedarik zinciri saldırısı keşfedildi. SolarWinds adlı bir şirket tarafından üretilen Orion adlı ağ ve uygulama izleme platformunu hedef aldı. Saldırganlar, altyapısına gizlice sızmış ve erişim ayrıcalıklarını kullanarak bubi tuzaklı güncellemeler oluşturup Orion’un 18.000 kullanıcısına dağıtmışlardı.
Bu müşteriler SolarWinds’in güvenliği ihlal edilmiş güncellemelerini yüklediğinde, saldırganlar sistemlerine erişim sağladı ve haftalarca sistemlerde özgürce hüküm sürmeye başladı. ABD hükümet kurumlarının gizliliği ihlal edildi ve bu da Rusya’nın bir devlet operasyonuna işaret eden soruşturmalara yol açtı.
Bu yıkıcı tedarik zinciri saldırısı web ortamlarında da gerçekleşebilir ve web varlıklarınızı sürekli olarak izleyecek kapsamlı ve proaktif bir web güvenliği çözümüne olan ihtiyacı vurgular.
Standart Güvenlik Araçları Üstünlük Sağlıyor
Standart güvenlik süreçleri SolarWinds’e yardımcı olmadı ve tedarik zincirinizin tamamını izleyemiyor. Gözden kaçıracakları birçok potansiyel risk alanı vardır, örneğin:
- Gizlilik ve güvenlik düzenlemeleri: Üçüncü taraf satıcılarınızdan biri güvenlik ve gizlilik düzenlemelerine uymayan yeni bir sürüm yayınlarsa geleneksel güvenlik araçları bu değişikliği kabul etmeyecektir.
- İzleyiciler ve pikseller: Benzer şekilde, etiket yöneticiniz bir şekilde yanlış yapılandırılırsa, yanlışlıkla kişisel olarak tanımlanabilir bilgileri toplayabilir ve sizi olası (büyük!) cezalara ve davalara maruz bırakabilir.
- Harici sunucular: JS çerçevenizi barındıran harici sunucu saldırıya uğrarsa uyarılmazsınız.
- Üretim öncesi güvenlik açıkları: Üretime geçtikten sonra yeni bir güvenlik açığı ortaya çıkarsa, bunu azaltamayabilirsiniz.
Bu ve diğer birçok durumda standart güvenlik araçları yetersiz kalacaktır.
Log4j Güvenlik Açığı
Bu durumlardan bir diğeri, yaygın olarak kullanılan Log4j Java tabanlı günlük kaydı yardımcı programında sıfır gün güvenlik açığı keşfedildiğinde ortaya çıktı. Dünya çapında işletmelerin, kuruluşların ve bireylerin sahip olduğu milyonlarca bilgisayar, çevrimiçi hizmetlerinde Log4j’yi kullanıyor. Güvenlik açığının 2021’de keşfedilmesinden üç gün sonra bir yama yayınlandı, ancak Sophos’un kıdemli tehdit araştırmacısı Sean Gallagher’ın ifadesiyle:
“Dürüst olmak gerekirse, buradaki en büyük tehdit, insanların zaten erişime sahip olması ve öylece beklemesi ve sorunu çözseniz bile, birisinin zaten ağda olması… İnternet olduğu sürece var olacak.”
Bu güvenlik açığı, bilgisayar korsanlarının Java aracılığıyla saldırıya açık cihazların kontrolünü ele geçirmesine olanak tanıyor. Yine bu cihazları kripto para madenciliği, botnet oluşturma, spam gönderme, arka kapı kurma, Magecart ve fidye yazılımı saldırıları başlatma gibi yasa dışı faaliyetler için kullanabilirler.
Açıklandıktan sonra Check Point, bilgisayar korsanları tarafından başlatılan milyonlarca saldırıyı bildirdi ve bazı araştırmacılar, dakikada 100’ün üzerinde saldırı gözlemledi ve dünya çapındaki iş ağlarının %40’ından fazlasına saldırı girişiminde bulundu.
Web uygulaması tedarik zincirinizin Log4J güvenlik açığı nedeniyle zaten tehlikeye girmiş olabileceği göz önüne alındığında, proaktif bir sürekli izleme çözümüne duyulan ihtiyaç daha da acil hale geliyor.
Bu çözümlerden biri de Reflectiz adında bir web güvenlik şirketidir. Platform, Microsoft’un Bing alanındaki Log4J güvenlik açığını erken bir aşamada tespit etti ve hemen düzeltme ekini uyguladı. Ardından Reflectiz, diğer Log4J güvenlik açıklarını belirlemek için binlerce web sitesini ve hizmeti proaktif olarak taradı. Microsoft’un UET bileşeninde, çeşitli platformlardaki milyonlarca kullanıcıyı etkileyen önemli bir güvenlik açığı bulundu. Reflectiz, Microsoft’u bilgilendirerek ve bulgularını paylaşarak sorumlu açıklama prosedürlerine bağlı kalarak riskleri azaltmak için müşteriler ve potansiyel müşterilerle bilgi alışverişinde bulundu ve onlarla işbirliği yaptı. Log4J etkinliğinin devam eden doğasını vurguluyorlar ve kuruluşların üçüncü taraf güvenlik açıklarını ele alarak web sitelerini güvence altına almalarını savunuyorlar.
Web uygulaması tedarik zincirinizi koruma
Web uygulaması tedarik zincirinizde şirket içi ve üçüncü taraf web bileşenlerinizin etkileşimi, sürekli değişen dinamik bir ortam yaratır. Sürekli değişen bir ortam, web uygulaması tedarik zincirinizin her unsurundaki şüpheli davranışlara karşı sizi uyaran sürekli bir izleme çözümünü gerektirir. Güvenlik ekipleri, sıkı ve sürekli izleme yoluyla şunları yapabilir:
- tanımlamak mevcut tüm web varlıkları ve tespit etmek Web tedarik zincirindeki ve açık kaynak bileşenlerindeki güvenlik açıkları
- Monitör web uygulaması yapılandırmaları ve üçüncü taraf kod ayarları
- Görmek tam risk görünürlüğü güvenlik açıkları ve uyumluluk sorunları
- Monitör web bileşenlerinin hassas verilere erişimi
- Doğrula üçüncü taraf davranışları