Yama uygulanmamış güvenlik açıkları, tüm veri ihlallerinin %60’ından sorumludur. İç Güvenlik Bakanlığı, yama uygulanmayan kusurlardan kaynaklanan ihlallerin oranının %85’e kadar çıkabileceğini tahmin ediyor.
Zamanında yama uygulama, güvenlik açıklarını yönetmenin önemli bir yönüdür ancak her koşulda her zaman başarılamaz.
Indusface’in State of Application Security 2022 raporu bulguları, bir WAF aracılığıyla “sanal yama” kullanarak karmaşık saldırıları engelleyebileceğinizi gösteriyor.
AppTrana WAF tarafından 800 milyondan fazla saldırı, binlerce güvenlik açığı 180 gün boyunca açık olmasına rağmen engellendi.
Yama uygulanmamış güvenlik açıklarının devam eden tehdidi
Öncelikle yama uygulanmamış güvenlik açıklarının ne olduğu ile başlayalım. Yama uygulanmamış güvenlik açıkları, henüz yama uygulanmamış sistemler, uygulamalar, ağlar veya cihazlardaki kusurlar, zayıflıklar ve yanlış yapılandırmalardır.
Bilinmeyen güvenlik açıkları oldukları için yama yapılmadan mı bırakılıyorlar? Hayır. Düzeltme eki uygulanmamış kusurların tümü sıfır gün güvenlik açıkları değildir. Saldırganlar için bilinen, yama uygulanmamış açıklardan yararlanmak, sıfır gün tehditleri geliştirmekten çok daha kolaydır. Bu nedenle, yamalanmamış kusurlar hem bilinen hem de bilinmeyen güvenlik açıkları olabilir.
Yama uygulanmamış güvenlik açığı sorununun ciddiyetini anlamak için gerçekler ve rakamlar
- Vakaların %60’ında şirketler güvenlik açıklarına yamalar uygulanmadığı için ihlallere maruz kaldı. İhlal kurbanlarının %62’si, ihlal gerçekleşene kadar güvenlik açıklarından habersizdi! [source:comparitech]
- Yama uygulanmamış tüm güvenlik açıklarının %64’ü, 2002 ile 2018 yılları arasındaki mevcut yamalardaki bilinen hataları içeriyordu. [source:packetlabs.net]
- Gözlenen tüm kusurların %57’si 2+ yaşında ve %17’si 5+ yaşında. [source:itsecurityguru]
- Bilinen tüm yama uygulanmamış güvenlik açıklarının %1,5’i 1999 yılına, yani 2 yıldan eskiye dayanmaktadır!
- Siber saldırıların %80’i 3+ yıl önce bildirilen kusurları kullanırken, %20’si 7+ yıl öncesine ait kusurları kullanıyor. [source:bitdefender]
WannaCry fidye yazılımı örneği
2017’nin WannaCry fidye yazılımı saldırıları, saldırganların kuruluşlara zarar vermek için yamalanmamış bilinen kusurları nasıl kullandığını gösteriyor. WannaCry saldırıları, dünya çapındaki en eski fidye yazılımı saldırılarından biriydi. 2017’nin başındaki saldırıda yaklaşık 200.000 cihaz vuruldu. O zamandan beri birkaç kurban daha oldu. Etkilenen işletmelerde aksamalara ve mali zarara neden oldu.
Saldırganlar, 2013’ten beri SMBv1 ağ paylaşım protokolündeki bir güvenlik açığından yararlandı. Protokol 2013’te kullanımdan kaldırıldı. Yalnızca SMB’nin sonraki sürümlerinin etkinleştirildiği veya SMBv1 isteklerini engelleyen sistemler bu saldırıdan kurtuldu. SMBv1’den gelen istekleri kabul eden sistemler risk altındaydı.
Bir kuruluş neden bilinen güvenlik açıklarını yamasız bırakır?
Yama uzun ve zahmetli bir süreçtir – Kalıcı düzeltmelerin geliştirilmesi, kritik güvenlik açıkları için bile ortalama 60 gün sürer. Hatta bazı durumlarda 150 günden fazla sürebilir. Tek bir yamanın bile mimari genelinde dağıtılması ortalama 12 gün sürer.
Her gün, dünya çapında 300 yeni yama yapılmamış kusur duyuruluyor. Geliştiricilerin her şey için düzeltmeler geliştirmesi imkansızdır. Kuruluşların her şeyi yamalamak için zamanı, bant genişliği ve kaynakları yoktur.
Düzeltme eki müşterileri rahatsız edebilir – Yama uygulama, mevcut müşterileri etkileyebilecek yeni sorunlar veya uyumsuzluklar da getirebilir. Küçük değişiklikler bile müşterilerin ürünü veya hizmeti kullanma becerisini etkileyebilecek istenmeyen sonuçlara yol açabilir. Bu, bir yama ihtiyacını belirlemeyi, potansiyel etkisini değerlendirmeyi ve kesintiyi en aza indirgemek için uygulamayı içeren titiz bir değişiklik yönetimi süreci gerektirir.
Üçüncü taraf bileşenler için yamalar mevcut değil – Kuruluşlar çeşitli üçüncü taraf yazılımları, bileşenleri ve uygulamaları kullanır. Bazen servis sağlayıcı, yazılım eski olduğu için düzeltmeleri yayınlamayabilir. Ya da hizmet sağlayıcı iflas etmiş olabilir. Ve bu tür bileşenlerin/yazılımın değiştirilmesi, büyük operasyonel kesintilere neden olabilir. Bu durumlarda, kuruluşlar tehditlere maruz kalır.
Yetersiz test nedeniyle yama hatası – Yamalar, ister şirket içinde ister istemci ortamlarında dağıtılsın, doğrulanmalı, dağıtılmalı ve denetlenmelidir. Geliştiriciler genellikle yamaları/güncellemeleri yayınlamak için acele ederler. Böylece, yeterli test yapılmadan yamalar yayınlıyorlar. Bu yama hatasına yol açar.
Sanal yama – Etkili bir dengeleyici kontrol
Güvenlik açıkları 24 saat içinde yamalanabilirse ne olur? Bu da kodunuz ve daha da önemlisi mevcut müşterileriniz üzerinde SIFIR etki ile.
Sanal yama, bunu yapmanızı sağlar.
Bir WAAP veya WAF çözümü tam da bunu yapmanızı sağlar. Ek olarak, WAF’ler ayrıca gelecekteki suistimal girişimlerini engellemek için yeni kurallar, politikalar ve süreçler geliştirmek üzere tehdit istihbaratı akışlarını da içerir.
Indusface, belirlenen ilk 10 güvenlik açığı kategorisini takiben 2022’nin 4. çeyreğinde 1400’den fazla web sitesinde engellenen güvenlik açıklarını kapsamlı bir şekilde analiz etti.
Analizimizin bir parçası olarak, şaşırtıcı bir şekilde 61.000 açık güvenlik açığı keşfettik ve her sitede ortalama 30 güvenlik açığı bulunuyor. Bunların %31’i, 1700’den fazla kritik ve yüksek önem dereceli güvenlik açığı dahil olmak üzere 180 günden uzun süredir açık kaldı.
Bu riskleri azaltmak için güvenlik ekipleri, uygulama güvenlik açıklarını düzeltmeye çalışırken saldırıları engellemek için WAF’ın “sanal yama” yeteneklerinden giderek daha fazla yararlandı.
Sanal düzeltme eki, gerçek kodu değiştirmeden bir uygulama veya sistemdeki bilinen güvenlik açıklarını engellemek için WAF kurallarını kullanan bir güvenlik tekniğidir.
Bir ana örnek: AppTrana’nın belirli uygulamalara dayalı özel kuralları, saldırıların %60’ını engelledi. Temeldeki koda ve açık güvenlik açıklarına bağlı olarak cerrahi olarak yazılan özel kuralların veya özel sanal yamaların önemi budur.
WAF’ler ayrıca, bilgisayar korsanlarının hedeflediği bu güvenlik açıklarını yamalamaya öncelik vermek için girdi olarak kullanılabilecek özel kurallar tarafından engellenen saldırılar hakkında ayrıntılı raporlar sunar.
En iyi uygulama olarak, DAST taramalarını günlük olmasa da haftalık olarak çalıştırmanızı ve her 6 ayda bir sızma testi gerçekleştirmenizi öneririm. Güvenlik açıkları bulunduğunda, hemen WAF’a sanal yamalar uygulayın.
Son olarak, WAF’a eklediğiniz her özel kural uygulamaya küçük bir gecikme (genellikle bir milisaniyeden daha az) ekleyeceğinden, koda yama uygulamak için özel sprint’ler oluşturun.