Savunulabilir bir İnternet inşa edebilir miyiz? Uzmanlar, 2023 yılında İnternet'in ve desteklediği bulut uygulamalarının güvenliğini artırmak için daha iyisini yapmamız gerektiğini söylüyor. Çok daha iyi.
2022'nin başında şirketler, pek çok uygulamanın yaygın bir bileşeni olan Log4j kütüphanesindeki kritik bir güvenlik açığını bulmaya ve azaltmaya çalıştı. Takip eden 12 ay boyunca Log4Shell'de yaşanan sıkıntılar, çoğu şirketin İnternet'e yönelik uygulamalarını oluşturan tüm yazılım bileşenlerini bilmediğini, yapılandırmaları düzenli olarak kontrol edecek süreçlere sahip olmadığını ve geliştiricileri arasında güvenliği entegre etme ve teşvik etmenin yollarını bulma konusunda başarısız olduklarını vurguladı.
Sonuç? Bir yazılım güvenliği firması olan Sonatype'in baş teknoloji sorumlusu Brian Fox, pandemi sonrası uzaktan çalışmanın artmasıyla birlikte birçok şirketin uygulamaları kilitleme yeteneğini kaybettiğini ve uzaktan çalışanların ve tüketicilerin her köşeden gelen siber saldırılara karşı daha savunmasız olduğunu söylüyor.
"Fiziksel çevre güvenliğine sahip olduğunuzda çevre savunması ve eski davranışlar işe yaradı - temelde herkes ofise gidiyordu - ancak giderek artan oranda evden veya kafeden çalışan bir iş gücünüz olduğunda bunu nasıl sürdüreceksiniz?" diyor. “Bu korumaları ve savunmaları ortadan kaldırdınız.”
2022'nin sonuna yaklaşırken şirketler; güvenli olmayan uygulamalara, savunmasız yazılım bileşenlerine ve bulut hizmetlerinin oluşturduğu geniş saldırı yüzey alanına karşı mücadele etmeye devam ediyor.
Yazılım Tedarik Zincirindeki Açıklar Devam Ediyor
Yazılım tedarik zinciri saldırılarına rağmen 633'de yüzde 2021 büyüdü, şirketler hala bilinen savunmasız bağımlılıkları ayıklamak gibi basit güvenlik kontrollerini bile gerçekleştirecek süreçlere sahip değil. Örneğin Mart ayında Sonatype şunu buldu: İndirilen Log41j bileşenlerinin %4'i güvenlik açığı bulunan sürümlerdi.
Bu arada şirketler altyapıyı giderek buluta taşıyor ve daha fazla Web uygulamasını benimsiyor; ortalama bir şirketle API kullanımları üç katına çıkıyor 15,600 API kullanılıyor ve API trafiği geçen yıl dört katına çıktı.
Akamai güvenlik teknolojisi ve stratejisi direktörü Tony Lauro, giderek bulanıklaşan bu altyapının, kullanıcıların insani hata yapma olasılığını kurumsal altyapıya yönelik doğal saldırı vektörü haline getirdiğini söylüyor.
"Talihsiz gerçek şu ki, kuruluşta ne olursa olsun ve onu ne kadar iyi kilitleyip güvence altına alırsanız alın, kullanıcılara saldırma fırsatı vardır" diyor. "Fidye yazılımı ve kötü amaçlı yazılım, kimlik avı ve dolandırıcılıklarla, arka uç güvenli olsa bile kullanıcıdan yararlanabilirler."
Uygulamalara Yönelik Siber Tehditler Daha Büyük Görünüyor
Siber güvenliğin son otuz yılda ne kadar az ilerleme kaydettiğini gösteren bir örnek görmek için şirketlerin kimlik avından başka bir yere bakmalarına gerek yok. Sosyal mühendislik tekniği neredeyse e-posta kadar uzun süredir var, ancak şirketlerin büyük çoğunluğu (%83) başarılı bir e-posta tabanlı kimlik avı saldırısına maruz kaldı Kimlik avı kolayca kimlik bilgilerinin toplanmasına ve ardından Web uygulamalarının ve bulut altyapısının tehlikeye atılmasına yol açar.
Banco Santander'in küresel siber güvenlik araştırması başkanı Daniel Cuthbert, bu ayki toplantıda, basit tekniğin uygulama güvenliğinin birden fazla katmanını aşabileceğini ve saldırganlara hassas verilere, sistemlere ve ağlara erişim sağlayabileceğini söyledi. Black Hat Avrupa güvenlik konferansı.
"Bir şeye tıklayabilmeli ve onun başka birine ters bir kabuk fırlatmasına izin vermemelisin" diye yakınıyordu. "Sormak bu kadar mı zor?"
Saldırganlar aynı zamanda ağın ucunda çalışan güvenlik kontrollerinin birçoğunu aşacak şekilde uygulamaları hedeflemeye de odaklanıyor.
Mayıs ayındaki Black Hat Asia konferansında araştırmacılar, Web uygulaması güvenlik duvarlarını (WAF'ler) aşan gizli saldırılar Aksi takdirde korunan uygulamalara ve bunların veritabanlarına kötü amaçlı yükler dağıtmak. Aralık ayında siber güvenlik firması Claroty, JSON kullanarak daha genel saldırılar gerçekleştirdiğini gösterdi. Beş büyük WAF'ı atlayınAmazon Web Services ve Cloudflare'inkiler de dahil. Aynı ay, bir çift araştırmacı Spring Boot'un savunmasız bir sürümünü kullandı Akamai'nin WAF'ını atlatmak için.
Akamai'den Lauro, şirketlerin WAF'lara nasıl güvenecekleri konusunda daha taktiksel davranmaları gerektiğini söylüyor. WAF'ın henüz yamalanmamış veya henüz yamalanamayacak güvenlik açıklarından yararlanılmasını engellemek için kullanıldığı "sanal yamalama" olarak adlandırılan önemli bir yetenektir. Ancak pek çok şirketin kötü tasarlanmış uygulamaları korumak için WAF'ları kullandığını söylüyor.
"Bu güvenlik açığına İnternet'ten nasıl saldırılabileceğini tanımlamanız gerekiyor ve sanal yamalar bu konuda yardımcı oluyor, ancak ağa girdikten sonra bir saldırgan olarak yapacağım ilk şey bu sıfır günlerin bazılarını aramak olacaktır. ve bunları yana doğru hareket etmek için kullanın” diyor.
Geleceğin AppSec'i Yenilik Gerektiriyor
Yazılım tedarik zincirini güvence altına alarak yazılımın temel bileşenlerini korumaya yönelik çabalar, yakın gelecekte inovasyonun önemli bir kaynağı olacaktır. Uzmanlar, bu ilerlemelerin uygulanmasının zaman aldığını ve sihirli değnekler olmadığını ancak çok daha güçlü yazılım geliştirme ve son ürünle sonuçlanabileceğini söylüyor.
Örneğin geliştiricilere, kendi yazılımlarına aktardıkları bileşenler hakkında Scorecard gibi sistemler aracılığıyla daha fazla bilgi sağlamanın önemli güvenlik faydaları vardır. Puan kartı, yazılımda ikili kod bulunup bulunmadığı, tehlikeli geliştirme iş akışlarına sahip olup olmadığı veya imzalı sürümlere sahip olup olmadığı gibi çeşitli yazılım projesi özelliklerini kontrol eder. Sadece bu bilgi belirleyebilir Bir projenin %78 doğrulukla savunmasız olup olmadığıAçık Yazılım Güvenliği Vakfı'na (OpenSSF) göre.
Yazılım güvenliği firması Chainguard'ın baş güvenlik bilimcisi John Speed Meyers, her yazılım bileşeninin imzalanmasına olanak tanıyan Sigstore'un, geliştiricilerin tedarik zincirlerini anlamalarına ve güvence altına almalarına yardımcı olacak başka bir teknoloji olduğunu söylüyor.
"Yazılım tedarik zincirindeki tehlikeleri önlemenin temel yapı taşı, dijital imzaların yaygın kullanımıdır" diyor. "Bu, yazılım tedarik zincirinden ödün verilmesi olasılığının azaltılmasına ve meydana geldiğinde patlama yarıçapının azaltılmasına yardımcı oluyor."
Şirketler Siber Güvenli Uygulama Seçimi Yapabilir
Yazılım geliştirme sürecindeki bu ilerlemeler daha güvenli yazılımlara yol açabileceği gibi dil seçimi de önemli bir fark yaratabilir. Bellek açısından güvenli diller arabellek taşmaları ve serbest kullanım sonrası güvenlik açıkları gibi zararlı yazılım kusurları sınıflarının tamamını ortadan kaldırabilir.
Örneğin Google, C ve C++ yerine Java ve Rust gibi bellek açısından güvenli dillerin kullanılmasının, güvenlik açıklarının sayısının üç yıl içinde 223'ten 85'e düşmesiyle sonuçlandığını buldu.
Sonatype'den Fox, şirketlerin geliştiricilere yalnızca üretkenlik ve özelliklere odaklanmak yerine, güvenli araç ve çerçeveleri seçme konusunda daha fazla destek ve alan vermesi gerektiğini söylüyor.
"Şirketlerin uyanması ve başa çıkması gereken yeni bir gerçek var; günün sonunda bu değişiklikleri yapması gereken geliştiriciler olacak ve kuruluşlar da onların sorunlarını tanıyıp desteklemeli. ," diyor. "Geliştiriciler kendi araçlarını buluyorlar ve bunun bir sorun olduğunu biliyorlar, ancak şirketten destek alamıyorlar; dolayısıyla geliştiricilerin doğru şeyi yapmak istediği bir dünyada bile şirketleri onları geride tutuyor."
Banco Santander'den Cuthbert, Black Hat Avrupa'nın açılış konuşmasında, yönetici düzeyinde şirketlerin satın alma güçlerini kullanarak tedarikçilerini ürünlerinin güvenliğinden sorumlu tutmaya odaklanmaları gerektiğini söyledi.
"Ürün satın almaya baktığımızda ve yazılım satın almaya baktığımızda gerçek şu ki, bu satıcıların, bu ürünlerin güvenli olduğundan emin olmak için sıfır girdimiz var" dedi. "Bizim bu gücümüz yok ve anlamlı bir etkimiz de yok."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/application-security/internet-appsec-remains-abysmal-requires-sustained-action-in-2023
