Siber saldırıların gücü ve sıklığı son birkaç yıldır giderek artıyor. Siber suçluların elde ettiği yıllık kârın 2025 yılına kadar küresel uyuşturucu ticaretini bile geçeceği tahmin ediliyor. Bu sürekli artışın büyük bir bileşeni, teknoloji ortamımızın artan karmaşıklığıdır.
Örneğin, en önemli web uygulaması güvenlik açıkları, çok çalışan güvenlik ekiplerini atlatan ve boşa çıkaran küçük uyarlamalar görmeye devam ediyor. Bu yükün hafifletilmesi, tüm sektörlerde sağlam bir güvenlik protokolü temeli gerektirir. Aşağıda açıklıyoruz WAF nedir ve benzer sistemler gelişen bir tehdide karşı savunmaya nasıl yardımcı olabilir?
Süper İhlal Yılı
2020, dijital ortamda büyük ölçekli değişimlere sahne oldu. İş ve eğlence hayatında, hem kurumların hem de bireylerin karşılaştığı saldırı yüzeyi daha önce hiç görülmemiş boyutlara ulaştı. Kısmen bulut tabanlı, uzaktan ve hibrit çalışma modellerine geçiş sayesinde, geleneksel güvenlik çeperinin aniden parçalanması, siber suçun kayıtlardaki en kârlı yıllarından birinin temellerini attı. Yasadışı siber suç pazarının yıllık 15%'lik büyüme oranı, 2025 yılına kadar $10,5 trilyonluk bir kâr beklentisiyle, çoğu büyük Batı ekonomisinden çok daha iyi bir performans göstermiştir.
Saldırganların övündüğü yüksek kâr, başarılarının önemli bir göstergesi olan veri ihlalleri ile eşleşiyor. Araştırmacılar 2021 yılında 800'den fazla ihlali analiz ederek 4,6 milyar adet kişisel olarak tanımlanabilir bilgi ve 1,5 milyar kimlik bilgisi çalındı. Bulut ve hibrit veri tabanları giderek daha değerli bilgiler ve kimlik bilgileri için yağmalandıkça, ihlallerin şiddeti de artıyor.
Büyüyen sadece ihlallerin miktarı değil, aynı zamanda bir veri ihlalinin mimarisi de son birkaç yılda önemli ölçüde değişti. Her ihlalde yer alan kişisel ve kurumsal veriler arasındaki örtüşme hiç bu kadar güçlü olmamıştı. 77% uzaktan kumanda çalışanlar sürekli olarak kurumsal olmayan, bireysel cihazlara güvenmektedir. Uzaktan çalışmanın 'Kendi Cihazını Getir' doğası, modern ihlalin av tüfeği tarzı patlama yarıçapının yolunu açmıştır. Kişisel cihazlar kurumsal ağlarda oturum açmak için kullanıldığından, bir ihlal durumunda bireyin verileri de kurumun veri tabanları kadar açıkta kalabilir.
İhlallerin tekrarlanma sıklığı, 'superbreach' olaylarının yükselişini de beraberinde getiriyor. Cit0Day gibi sayısız site siber suçlular için özel hizmetler sunarak hacklenmiş veri tabanlarından ve sızdırılmış kimlik bilgilerinden oluşan geniş bir koleksiyona erişim sağlıyordu. Aylık bir meblağ karşılığında bilgisayar korsanlarına bu erişim hakkı veriliyordu.
Ancak Kasım ayında Cit0Day'in on binlerce kırılmış veritabanı çalındı ve birden fazla hack forumunda ücretsiz olarak sızdırıldı. Eski sızıntıların tek bir süper erişimde paketlenmesi, eski, sızdırılmış kimlik bilgilerinin bile bir intikamla geri alınabileceği anlamına gelir. Ayrıca bu kimlik bilgilerinin nereden çalındığını takip etmek de neredeyse imkansız hale geliyor.
İhlallerin arttığı günümüzde, kuruluşların en yaygın web uygulaması güvenlik açıklarını tanıyarak hem çalışanları hem de müşterileri koruması hayati önem taşıyor.
2023'ün En Önemli Güvenlik Açıkları
OWASP'ın Top 10'u, sektördeki en kötü güvenlik açıklarına ilişkin en derinlemesine kılavuzu sunarken, şüphelenmeyen web uygulaması geliştiricilerini sürekli olarak tökezleten 5 tekrar eden zayıflık vardır.
#1. SQL Enjeksiyonu
SQL, bir cihazın üçüncü taraf bir veritabanına geri dönmesini sağlayan bir dildir. Bu ve benzeri sözdizimi, günümüzün hiper çevik, birbirine bağlı dünyasının temelini oluşturur. Ancak, saldırganlar her zaman bu tür veritabanlarına girmenin bir yolunu ararlar; SQL enjeksiyonu, bir saldırganın veritabanı içinde kötü amaçlı komut dosyaları çalıştırmak için bu dili kullandığını ve sunucunun kendisini daha derin dahili sistemlere açılan bir arka kapıya dönüştürdüğünü görür.
#2. Çapraz Site Komut Dosyası
Siteler arası komut dosyası oluşturma (XSS), bir saldırganın meşru web sitelerini son kullanıcının cihazına girmenin bir yolu olarak kullandığını görür. Burada saldırgan, bir uygulama veya tarayıcı tarafından işlendiğinde kullanıcının bilgisi olmadan çalıştırılan bir URL'ye kötü amaçlı bir komut dosyası ekler. Bu kötü amaçlı URL, son kullanıcının cihazını fidye yazılımları ve tuş kaydediciler de dahil olmak üzere kötü amaçlı yazılımlarla dolu saldırgan kontrolündeki bir sunucuya yönlendirebilir.
#3. Yol Geçişi
Uygulama geliştirme bağlamı genellikle hızlıdır ve pazara sunma süresi mümkün olan en kısa süreye çekilmektedir. Saldırganlar her zaman karmaşık uygulamalardaki herhangi bir gözetimden faydalanmaya isteklidir; bunlardan en önemlisi yol geçişine yol açabilir.
Bir uygulama genellikle istemcinin bilgisayarından yerel kaynaklara ihtiyaç duyabilirken, herhangi bir kullanıcı girişi alanı, bir saldırganın dosya referanslı değişkenleri manipüle etme şansını riske atar. Bu, fırsatçı "nokta nokta eğik çizgi (../)" dizileri veya mutlak dosya yolları gibi görünebilir ve bir saldırganın uygulama kaynak kodu da dahil olmak üzere rastgele dosya ve dizinlere erişmesine olanak tanır. Hata mesajları bile bir saldırganın kritik verilerin tam olarak nerede depolandığını tahmin etmesine yardımcı olabilir.
#4. Bozuk Kimlik Doğrulama
Birkaç farklı güvenlik açığını ifade eden daha geniş bir terim olan kırık kimlik doğrulama, bu yıl en ciddi sorunlardan biri olmaya devam ediyor. Bir saldırganın uygulamanın meşru kullanıcılarının kimliğine bürünmesine olanak tanıyarak genellikle bir uygulamanın iç organları üzerinde tam bir serbestlik sağlar. Bozuk kimlik doğrulama, bir uygulamanın kimlik bilgileri veya oturum yönetiminde ciddi bir zayıflık olarak ortaya çıkar.
Oturum kimlikleri, web uygulamalarının her bir kullanıcıyı ve ziyareti nasıl ayırt ettiğini açıklar. Bu, bir uygulamanın o kişiyle nasıl iletişim kuracağının temelini oluşturur. Güvenli bir şekilde yapılandırılmazsa, çerezler gibi oturum kimlikleri çalınabilir ve bir saldırganın savunmasız oturumu ele geçirmesine olanak tanır. Bu, tam gelişmiş kimlik bilgisi hırsızlığı kadar ciddi bir durumdur.
#5. Güvenlik Yanlış Yapılandırmaları
Yüzeyde, kusurlardan, eski yazılımlardan ve yanlış yapılandırmalardan kurtulmak için sadece yama uygulamak bariz bir çözüm gibi görünmektedir. Ancak, güvenlik ekipleri büyük ölçüde bunalmış ve aşırı çalışmaktadır. Kısmen modern kurumsal teknoloji yığınlarının karmaşıklığı ve kısmen de günümüzün geliştirme döngülerinin sürekli çevik yapısı nedeniyle güvenlik, her yamayı hızla uygulamakta zorlanmaktadır. Bu durum son 4 sorunu daha da derinleştirmektedir, çünkü bir yama kamuya açıklandığında saldırganlar esasen bir açıktan haberdar olmaktadır.
Web Uygulamalarını Yama Öncesi Güvenli Tutmak
Geleneksel yama uygulaması bozuldu. Ancak bazı güvenlik araçları, bir yama yüklenmeden önce bile istismar girişimlerini savuşturmaya yardımcı olabilir. Önemli bir örnek Web Uygulaması Güvenlik Duvarıdır (WAF). Bu araç bir uygulama ile halka açık internet arasında yer alır ve pozitif ya da negatif güvenlik modeline göre çalışır. Bunlardan ilki, izin verilen eylemler ve davranışlar listesine dayalı olarak trafiği filtreler. Bu listelerin dışındaki herhangi bir davranış, o eylemin engellendiğini görür ve XSS ve SQL enjeksiyonu örneklerinin ortadan kaldırılmasına yardımcı olur. WAF'ın negatif güvenlik modeliyle çalışan diğer versiyonu, engellenecek belirli faaliyetleri belirtir. Benzer koruyucu nitelikler sunan ve gerçek kullanıcılar üzerinde daha az etkisi olan bu güvenlik biçimi biraz daha fazla bakım gerektirir.
Model ne olursa olsun, bir WAF fırsatçı saldırganların çalışanlara veya müşterilere zarar verme olasılığını önemli ölçüde azaltabilir ve bir kuruluşun güvenlik duruşunu geleceğe yönelik olarak geliştirmesine yardımcı olabilir.
Turkish 
English 
Spanish 
French 
German