Kurumsal uygulamaların varsayılan olarak bulut altyapısına geçmesiyle, uygulama güvenliği testleri giderek uygulamanın dağıtılmış saldırı yüzey alanında sızma testlerine benzemektedir; bu, hizmet olarak sızma testi (PTaaS) için yeni pazarlar açan bir benzerliktir.
PTaaS sağlayıcıları, ağın kenarlarına odaklanmak yerine, genellikle üç güvenlik açığı vektörüne sahip olan bulut uygulamalarına odaklanıyor: uygulamanın kendisi, uygulamalar arasındaki ara bağlantılar ve uygulamanın zaman içinde değişme şekli. Hızlandırılmış geliştirme ve birleşme ve satın alma gibi olaylar, saldırı yüzey alanını her üç vektör boyunca genişletme eğilimindedir, ancak kalem testi değişikliklere ayak uydurmayı amaçlamaktadır.
Saldırganlar zaten uzaktan yararlanılabilecek güvenlik açıklarını aradıkları için kuruluşların bulut uygulamalarını kilitlemeleri gerekiyor; ortalama firma herhangi bir ayda 11.000 istismar edilebilir güvenlik açığı bulunuyorSaldırıya yönelik bir güvenlik firması olan Bishop Fox’ta danışmanlıktan sorumlu başkan yardımcısı Kelly Albrink diyor.
“Organizasyonlar sınırsız süre ile saldırganlara karşı çıkıyor [and] büyük miktarlarda kaynak kullanıyorlar ve ilk önce en düşük meyveyi seçiyorlar” diyor. “Bu uygulamalar daha karmaşık hale geldikçe ve entegrasyonlar daha karmaşık hale geldikçe, bu durum saldırganlar için fırsatları ve bunları gerçekleştirmenin yollarını genişletiyor. bir uygulamaya veya daha sonra uygulamanın bağlı olduğu sistemlerden herhangi birine girebilirler.”
Bugün Bishop Fox, kalem testini isteğe bağlı değerlendirme ve analiz hizmetleriyle birleştiren Cosmos Uygulama Sızma Testi (CAPT) hizmetini duyurdu.
Bulut dağıtımı, kurumsal uygulamalar için hızla standart haline geldi. 2025 yılına kadar yeni dijital iş yüklerinin %95’i, 2021’de %30’dan, bulutta yerel platformlara dağıtılacak. iş zekası firması Gartner’a göre. Gartner, bu iş yüklerinin çoğunun (2025 yılına kadar %70’e kadar) geleneksel uygulamalar değil, bulut hizmetleri aracılığıyla dağıtılan az kodlu veya kodsuz uygulamalar olacağını belirtti.
Uygulama, Bulut ve Yapılandırma
Cobalt.io’nun baş strateji sorumlusu Caroline Wong, bulut ve bulut altyapısına dağıtılan uygulamalar o kadar iç içe geçmiş durumda ki, kalem testçilerinin yalnızca uygulamanın güvenliğini değil aynı zamanda bulut platformunu ve uygulamanın bulut yapılandırmasını da hesaba katması gerektiğini söylüyor. PTaaS firması.
Wong, “Erişim kontrolü ve yapılandırması ağ ve bulut arasında temel olarak farklıdır ve bu özelliklerin bilinçli olarak test edilmesi gerekir” diyor. “Bulutun benimsenmesi, hem bir şirketin yazılım portföyündeki uygulamaların sayısında hem de bu uygulamaların her birinin değişiklik sıklığında hızlı artışlara yol açıyor.”
Penetrasyon testleri sırasında keşfedilen güvenlik sorunlarının en büyük payı (yaklaşık %40), güvenlik başlıklarının eksikliği ve güvenli olmayan SSL ve TLS şifre kitaplıkları gibi sunucu güvenliğindeki yanlış yapılandırmalardan oluşuyor. Kobalt’ın “Sızma Testinin Durumu 2023” raporu.
Güvenlik açığı açısından bakıldığında Cobalt, depolanan siteler arası komut dosyası çalıştırmanın (XSS), güncel olmayan yazılım sürümlerinin ve güvenli olmayan yönlendirici nesne referanslarının (IDOR) en yaygın güvenlik açıkları olduğunu buldu. Depolanan XSS güvenlik açıklarının neredeyse tamamı (%94) ve IDOR güvenlik açıklarının %85’i orta şiddette veya daha yüksektir.
Ancak raporda, zamanla PTaaS müşterilerinin, en ciddi sorunlar tespit edilip düzeltildikçe, keşfedilen tüm sorunların payı olarak daha az orta, yüksek ve kritik kusur gördüğü belirtildi.
İhtiyaç Duyulduğunda Kalem Testini Artırın
Uygulamalar buluta dağıtıldıkça dinamik uygulama güvenliği testi (DAST) ile PTaaS arasındaki çizgi esasen ortadan kalktı. Bishop Fox’tan Albrink, uygulamanın tanımının birçok açıdan değiştiğini söylüyor. Firmanın müşterilerinden biri firmadan 30 uygulamayı test etmesini istedi ancak kalem testinin kapsamını incelediklerinde bunun, her biri şirketteki farklı bir ekip tarafından yönetilen 30 farklı mikro hizmetten oluşan tek bir uygulama olduğunu belirlediler.
“Genellikle bütünsel bir yaklaşım benimsemenizi öneriyoruz, bu nedenle son kullanıcının görebileceği ve etkileşimde bulunabileceği her şey uygulamanın bir parçasıdır” diyor. “Buna API uç noktaları, ara katman yazılımı, güvenlik duvarı da dahil olabilir, [and] arka uçta düzinelerce başka sistem var ama hepsi tek bir kullanıcı deneyimi aracılığıyla sunuluyor.”
Zaman, uygulamaların değiştiği son eksendir. Cobalt’tan Wong, güvenlik borcunun son derece gerçek olduğunu ve özellikle çevik bir geliştirme grubunda sık sık güvenlik ve nüfuzun gerekli olduğunu söylüyor.
“Kodu haftalık, hatta günlük olarak yayınlayan şirketler için, değişimin hızına ayak uydurmak ve yeni güvenlik açıklarının ortaya çıkma olasılığı muhtemelen yeterli olmayacaktır” diyor. “Her kuruluşun sınırlı bir bütçesi olacak ve bu değişikliklerin, güvenlik harcamalarının saldırı ve savunma güvenlik kontrolleri arasında nasıl tahsis edildiği konusunda bir değişime yol açtığını görüyoruz.”