ne yapar Log4j ve Equifax, Colonial Pipeline ve SolarWinds saldırılarının hepsinin ortak noktası var mı? Her biri, Katman 7 olarak da bilinen uygulama katmanında gerçekleşti. açık sistem arabağlantısı (OSI) modeli. OSI modeli, bilgisayar ağının standart işlevlerini mantıksal olarak ayıran hiyerarşik bir mimari tanımlar. Genel olarak, bir katman, aşağıdaki katmanlar tarafından etkinleştirilen veri ve bağlantı üzerinde çalışır. Uygulama katmanı, katmanların yedinci ve en üst katmanıdır ve açık İnternet ile arayüz oluşturan katman olduğundan, sistemlerinize ve verilerinize erişmek isteyen kötü niyetli aktörler için zengin bir hedeftir.
Örneğin Log4Shell güvenlik açığını ele alalım. 2021 Noelinden hemen önce önemli bir güvenlik açığı açıklandı. Log4j, Java uygulamalarında bulunan açık kaynaklı bir günlük kitaplığı. Log4Shell’in istismar edilebilirliği, sistemlerin, parolaların, kullanıcı verilerinin ve ağların potansiyel olarak istismara açık kalmasına neden oldu. Log4j, Java uygulamalarında neredeyse her yerde bulunan açık kaynaklı bir günlük kaydı yazılımı olduğundan ve güvenlik açığından yararlanmak için çok az uzmanlık gerektirdiğinden, Log4Shell son yılların en ciddi bilgisayar güvenlik açıklarından biriydi. Dünyanın dört bir yanındaki kuruluşlar düzeltmeyi uygulamak için çabaladı ve sonuçları yaklaşık bir yıl sonra hissedilmeye devam ediyor.
Güvenlik açıkları Log4j gibi çok zararlı çünkü uygulama katmanı çok değerli. Uygulama katmanı, kullanıcıların sistemlerle, özellikle veri sistemleriyle arayüz oluşturduğu yerdir. Uygulama katmanı, bilgi erişiminin vektörü olduğu için çok değerlidir.
Kullanıcılar uygulama katmanında bilgi alışverişinde bulunur ve bu dinamik değişim, onu bilgisayar korsanları için bir hedef haline getirir. Uygulama katmanında güvenlik açığı bulunan kodu bulmak ve kullanmak, bilgisayar korsanlarının genellikle aşağıdakiler gibi yaygın güvenlik açıklarını kullanarak meşru kullanıcılardan gelen bilgilere erişebileceği veya bunları kendilerine yönlendirebileceği anlamına gelir. siteler arası komut dosyası oluşturma ve SQL enjeksiyonu. Bilgisayar korsanları, güvenlik açığı bulunan kod yoluyla uygulama katmanını hacklemenin yanı sıra, verileri çalmak için çalınan kullanıcı kimlik bilgilerini, kaba kuvvet saldırılarını veya oturum çiftçiliği tekniklerini kullanır.
İşiniz ne olursa olsun artık her işletme bir yazılım işidir, bu nedenle her işletmenin uygulama katmanı güvenliğine dikkat etmesi gerekmektedir. Uçsuz bucaksız çoğunluk yazılım geliştirme şirketlerinin çoğu, hatta kurum içi kodlama yapanlar bile, ürünlerinde önemli satırlarda açık kaynak kodu kullanır. Tehdit aktörleri, yama uygulanmamış bir sürümü gibi savunmasız ancak yaygın olarak benimsenen açık kaynak kodunu bulabilirse. Log4j, kullanıldığı her yerde ondan faydalanabilirler. Bu nedenle, her zaman bir başarısızlık noktası olacağını kabul etmek yerine uygulama katmanını güvenli hale getirmek çok önemlidir.
Uygulama Katmanının Güvenliği Nasıl Sağlanır?
Uygulama katmanının güvenliğini sağlamak söz konusu olduğunda, kaynak kodu analizi (SCA), statik uygulama güvenliği testi (SAST) ve dinamik uygulama güvenliği testi (DAST) yapmak için bir araç kombinasyonuna ihtiyacınız vardır.
Geliştirme döngünüz boyunca bu araçları kullanmak, uygulama katmanında kodunuzun güvenliğini sağlamaya yardımcı olacaktır. Kaynak kodu analizi (SCA) araçları, kodunuzu yayınlamadan önce bilinen güvenlik açıklarını düzeltmenize olanak tanıyan herhangi bir uygulamanın veya kapsayıcının açık kaynak bileşenlerini algılayabilir. SCA araçları, uygulamalarınızı ve kapsayıcılarınızı oluşturmak için kullanılan açık kaynak ve üçüncü taraf bileşenlerin eksiksiz bir yazılım malzeme listesini (SBOM) derlemenize de yardımcı olur. Bu bilgilere sahip olduğunuzda, kod tabanınızın nerede düzeltilmesi gerektiğini bulabileceksiniz, çünkü açıklandıkları anda güvenlik açıklarıyla ilgilenmeye hazır olursunuz.
Statik uygulama güvenliği testi (SAST) araçları, geliştirme ve güvenlik ekiplerinizin kod zayıflıklarını erken dönemde keşfetmesine yardımcı olur. SDLC ve hatta geliştiricilere doğrudan IDE’de kodlama çözümleri sunan eklentiler bile sunabilir, böylece kod yazarken güvenlik ve kalite kusurlarını bulup düzeltebilirler.
SAST araçları, ekipleriniz yazarken kodu test ederken, dinamik uygulama testi (DAST) araçları, kötü niyetli aktörlere görünecekleri için uygulamalarınızı dışarıdan test etmenize olanak tanır. Hatta bazı DAST araçları, üretimdeki uygulamaları ayrı bir test ortamına ihtiyaç duymadan güvenle tarayabilir. Ardından, öncelikli bir güvenlik açıkları listesi ve bunları düzeltmeye yönelik rehberlik sunarlar.
Uygulama katmanı veri ihlalleri para, geliştirme süresi ve itibar kaybı açısından pahalıdır. Black Duck SCA, Coverity SAST ve WhiteHat DAST gibi çözümlerle uygulama katmanınızı güvence altına aldığınızdan emin olun. Yazılımınızın içine kodladığınız kadar hızlı bir şekilde güvenlik ekleyerek,İşletmenizin talep ettiği hızda yazılımınıza güvenerek kârlılığınızı yeniden koruyun.
yazar hakkında
Tim Mackey, Synopsys CyRC (Siber Güvenlik Araştırma Merkezi) bünyesinde bir Baş Güvenlik Stratejistidir. Synopsys’e, Red Hat OpenShift ve Kubernetes konteyner düzenleme platformlarına entegre güvenlik tarama teknolojisi getirmek için çalıştığı Black Duck Yazılımı satın alımının bir parçası olarak katıldı. Bir güvenlik stratejisti olarak Tim, dağıtılmış sistem mühendisliği, kritik görev mühendisliği, performans izleme, büyük ölçekli veri merkezi operasyonları ve küresel veri gizliliği düzenlemeleri alanındaki becerilerini müşteri sorunlarına uygular. Bu faaliyetlerden öğrenilen dersleri alır ve RSA, Black Hat, Open Source Summit, KubeCon, OSCON, DevSecCon, DevOpsCon, Red Hat Summit ve Interop gibi dünya çapında bilinen etkinliklerde konuşmalar yapar. Tim aynı zamanda O’Reilly Media tarafından yayınlanan bir yazardır ve USA Today, Fortune, NBC News, CNN, Forbes, Dark Reading, TEISS, InfoSecurity Magazine ve The Straits Times dahil olmak üzere dünya çapında yayınlarda yer almıştır.