Savunulabilir bir İnternet kurabilir miyiz? Uzmanlar, 2023’te İnternetin ve desteklediği bulut uygulamalarının güvenliğini artırmak için daha iyisini yapmamız gerektiğini söylüyor. Çok daha iyi.
2022’nin başında şirketler, birçok uygulamanın yaygın bir bileşeni olan Log4j kitaplığındaki kritik bir güvenlik açığını bulmak ve hafifletmek için uğraştı. Takip eden 12 aylık Log4Shell sıkıntıları, çoğu şirketin İnternet’e dönük uygulamalarını oluşturan tüm yazılım bileşenlerini bilmediğini, yapılandırmaları düzenli olarak kontrol edecek süreçleri olmadığını ve geliştiricileri arasında güvenliği entegre etmenin ve teşvik etmenin yollarını bulamadıklarını vurguladı.
Sonuç? Bir yazılım güvenlik firması olan Sonatype’ın baş teknoloji sorumlusu Brian Fox, uzaktan çalışmadaki pandemi sonrası artışla birlikte, birçok şirketin uygulamaları kilitleme yeteneğini kaybettiğini ve uzaktan çalışanların ve tüketicilerin her köşeden gelebilecek siber saldırılara karşı daha savunmasız olduğunu söylüyor.
“Çevre savunması ve eski davranış, fiziksel çevre güvenliğiniz olduğunda işe yaradı – temelde herkes bir ofise giriyordu – ancak giderek evden veya bir kafeden çalışan bir iş gücünüz varken bunu nasıl sürdüreceksiniz?” diyor. “Bu korumaları ve savunmaları kaldırdınız.”
2022’nin sonuna yaklaşırken şirketler, güvenli olmayan uygulamalara, savunmasız yazılım bileşenlerine ve bulut hizmetlerinin oluşturduğu geniş saldırı yüzey alanına karşı mücadele etmeye devam ediyor.
Yazılım Tedarik Zincirinin Açık Delikleri Devam Ediyor
Yazılım tedarik zinciri saldırılarına rağmen 2021’de %633 büyüdü, şirketler, bilinen savunmasız bağımlılıkları ayıklamak gibi basit güvenlik kontrollerini bile yapacak süreçlere hâlâ sahip değil. Örneğin Mart ayında Sonatype, indirilen Log4j bileşenlerinin %41’inin savunmasız sürümler olduğunu tespit etti.
Bu arada, şirketler altyapıyı giderek daha fazla buluta taşıyor ve daha fazla Web uygulaması benimsiyor, API kullanımlarını üç katına çıkarıyor, ortalama bir şirket 15.600 API kullanıyor ve API trafiği geçen yıl dört katına çıkıyor.
Akamai’de güvenlik teknolojisi ve strateji müdürü Tony Lauro, giderek daha fazla bulutlanan bu altyapının, kullanıcıların insan yanılma olasılığını kurumsal altyapıya yönelik doğal saldırı vektörü haline getirdiğini söylüyor.
“Talihsiz gerçek şu ki, kuruluşta ne olup bittiğinin ve onu ne kadar iyi kilitleyip güvenceye aldığınız önemli değil, kullanıcılara saldırma fırsatı var” diyor. “Fidye yazılımı ve kötü amaçlı yazılım, kimlik avı ve dolandırıcılık ile, arka uç güvenli olsa bile, kullanıcıdan yararlanabilirler.”
Uygulamalara Yönelik Siber Tehditler Yalnızca Daha Büyük Görünüyor
Siber güvenliğin son otuz yılda ne kadar az ilerleme kaydettiğinin bir örneğini görmek için şirketlerin kimlik avından öteye gitmesine gerek yok. Sosyal mühendislik tekniği neredeyse e-posta kadar uzun süredir var, ancak şirketlerin büyük çoğunluğu (%83) 2022’de başarılı bir e-posta tabanlı kimlik avı saldırısına maruz kaldı. Kimlik avı kolayca kimlik bilgilerinin toplanmasına ve ardından Web uygulamalarının ve bulut altyapısı.
Banco Santander’in küresel siber güvenlik araştırma başkanı Daniel Cuthbert, bu ayki Black Hat Europe güvenlik konferansında basit tekniğin birden fazla uygulama güvenliği katmanını atlayabileceğini ve saldırganların hassas verilere, sistemlere ve ağlara erişim sağlayabileceğini söyledi.
“Bir şeye tıklayabilmeli ve başka birine ters bir mermi göndermesine izin vermemelisiniz,” diye yakındı. “Sormak bu kadar mı zor?”
Saldırganlar ayrıca, ağın ucunda çalışan birçok güvenlik denetimini geçecek şekilde uygulamaları hedeflemeye odaklanıyor.
Mayıs ayındaki Black Hat Asia konferansında araştırmacılar, normalde korunan uygulamalara ve bunların veritabanlarına kötü amaçlı yükler göndermek için web uygulaması güvenlik duvarlarını (WAF’ler) geçerek saldırıları gizlice gerçekleştirmenin yollarını özetledi. Aralık ayında, siber güvenlik firması Claroty, Amazon Web Services ve Cloudflare’ninkiler de dahil olmak üzere beş ana WAF’yi atlamak için JSON kullanan daha genel saldırılar gösterdi. Aynı ay içinde, bir çift araştırmacı, Akamai’nin WAF’sini atlamak için Spring Boot’un savunmasız bir sürümünü kullandı.
Akamai’den Lauro, şirketlerin WAF’lara nasıl güvenecekleri konusunda daha taktiksel davranmaları gerektiğini söylüyor. Sözde “sanal yama” – WAF henüz yamalanmamış veya henüz yamalanamayan güvenlik açıklarından yararlanmayı engellemek için kullanıldığında – önemli bir yetenektir. Yine de çok fazla şirket, kötü tasarlanmış uygulamaları korumak için WAF’leri kullanıyor, diyor.
“Bu güvenlik açığına internetten nasıl saldırılabileceğini belirlemeniz gerekiyor ve sanal yamalar bu konuda yardımcı oluyor, ancak ağın içine girdikten sonra, bir saldırgan olarak yapacağım ilk şey bu sıfır günlerden bazılarını aramak olacak. ve bunları yanal olarak hareket etmek için kullanın” diyor.
Gelecek AppSec Yenilik Gerektirir
Yazılım tedarik zincirini güvence altına alarak yazılımın temel bileşenlerini korumaya yönelik çabalar, yakın gelecekte önemli bir yenilik kaynağı olacaktır. Uzmanlar, bu ilerlemelerin uygulanmasının zaman aldığını ve sihirli değnekler olmadığını, ancak çok daha sağlam yazılım geliştirme ve son ürünle sonuçlanabileceğini söylüyor.
Örneğin Scorecard gibi sistemler aracılığıyla geliştiricilere kendi yazılımlarına aktardıkları bileşenler hakkında daha fazla bilgi sağlamanın önemli güvenlik avantajları vardır. Puan kartı, yazılımda ikili kod olup olmadığı, tehlikeli geliştirme iş akışlarına sahip olup olmadığı veya imzalanmış sürümleri olup olmadığı gibi çeşitli yazılım projesi özniteliklerini kontrol eder. Sadece bu bilgi belirleyebilir %78 doğrulukla bir projenin savunmasız olup olmadığıOpen Software Security Foundation’a (OpenSSF) göre.
Bir yazılım güvenlik firması olan Chainguard’ın baş güvenlik bilimcisi John Speed Meyers, her bir yazılım bileşeninin imzalanmasına izin veren Sigstore’un, geliştiricilerin tedarik zincirlerini anlamalarına ve güvenceye almalarına yardımcı olacak başka bir teknoloji olduğunu söylüyor.
“Yazılım tedarik zinciri ihlallerini önlemenin temel yapı taşlarından biri, dijital imzaların yaygın olarak kullanılmasıdır” diyor. “Bu, yazılım tedarik zincirinden ödün verme olasılığını azaltmaya ve bunlar meydana geldiğinde patlama yarıçapını azaltmaya yardımcı oluyor.”
Şirketler Siber-Güvenli Uygulama Seçimleri Yapabilir
Yazılım geliştirme sürecindeki bu ilerlemeler daha güvenli bir yazılımla sonuçlanabilirken, dil seçimi de önemli bir fark yaratabilir. Bellek açısından güvenli diller, arabellek taşmaları ve kullanım sonrası güvenlik açıkları gibi zararlı yazılım kusurları sınıflarını neredeyse tamamen ortadan kaldırabilir.
Örneğin Google, C ve C++ yerine Java ve Rust gibi bellek açısından güvenli dillerin kullanılmasının güvenlik açıklarının sayısını üç yılda 223’ten 85’e düşürdüğünü buldu.
Sonatype’den Fox, şirketlerin geliştiricilere yalnızca üretkenlik ve özelliklere odaklanmakla kalmayıp, güvenli araçlar ve çerçeveler seçme konusunda daha fazla destek ve hareket alanı sağlaması gerektiğini söylüyor.
“Şirketlerin uyanması ve başa çıkması gereken yeni bir gerçek var ve bu da günün sonunda bu değişiklikleri yapması gereken geliştiricilerin olduğu ve kuruluşların sorunlarını tanıması ve desteklemesi gerektiğidir. ,” diyor. “Geliştiriciler kendi araçlarını buluyorlar ve bunun bir sorun olduğunu biliyorlar, ancak şirketten destek alamıyorlar, bu nedenle geliştiricilerin doğru şeyi yapmak istediği bir dünyada bile şirketleri onları engelliyor.”
Banco Santander’den Cuthbert, Black Hat Europe açılış konuşmasında, yönetici seviyesinde şirketlerin, satıcılarını ürünlerinin güvenliğinden sorumlu tutmaya odaklanmak için satın alma güçlerini kullanmaları gerektiğini söyledi.
“Ürün satın almaya baktığımızda ve yazılım satın almaya baktığımızda, gerçek şu ki, bu satıcıların, bu ürünlerin güvenli olduğundan emin olmak için sıfır girdimiz var” dedi. “Sadece bu güce sahip değiliz ve anlamlı bir etkimiz yok.”