Yaygın Güvenlik Açıkları Türleri ve Bunları Düzeltme Yolları

Yayınlanan: 2022-07-11

Microsoft'un Exchange Server'ındaki bir güvenlik açığı, ABD'deki 60.000'den fazla özel şirketi etkileyen çok sayıda siber saldırıya katkıda bulundu. Ve sadece bir ay önce, bir havacılık şirketi olan Bombardier, üçüncü taraf dosya aktarım uygulamasındaki zayıflıklar nedeniyle çalışanlarının ve tedarikçilerinin verilerini ihlal etti.

BT sisteminizi bilgisayar korsanlarının radarına sokabilecek birçok güvenlik açığı türü vardır. Sebebi ne olursa olsun, kötü kodlama uygulamalarından kusurlu harici bileşenlere kadar birçok şirket ifşa olur. Bu sorunu azaltmak için işletmeler, kendi yazılımlarını ve ağlarını değerlendirmek ve harici satıcı bileşenlerinin güvenlik risklerini değerlendirmek için KG ve test hizmetlerinden yararlanır.

Peki, şu anda hangi güvenlik açığı türleri sisteminizi siber tehditlere maruz bırakıyor olabilir? Güvenlik açıkları nasıl ortaya çıkıyor? Ve onları nasıl azaltabiliriz?

Bir yazılım güvenlik açığı nedir ve nereden kaynaklanır?

Güvenlik açığı, yanlışlıkla maruz kalma, kasıtlı saldırı veya yeni bileşenlerle çakışma yoluyla izinsiz giriş veya veri kaybı riskini artıran istenmeyen bir sistem veya bileşen özelliğidir. Böyle bir güvenlik açığı bir tasarım hatası, bir uygulama hatası, bir yanlış yapılandırma vb. olabilir.

Daha fazla ilerlemeden önce, bir güvenlik açığı, bir istismar ve bir tehdit arasındaki farkı açıklayalım.

  • Dışarıdan herhangi bir çaba olmadan sistemde bir güvenlik açığı var
  • Açıklardan yararlanma, izinsiz giriş yapanların bir saldırı başlatmak için mevcut bir sistem zayıflığını kullanma şeklidir.
  • Tehdit, bir veya birden fazla istismarın bir sisteme sızmak için bir güvenlik açığı kullandığı gerçek olaydır.

Güvenlik uzmanları, yazılım yamaları, donanım değiştirme ve sistem yeniden yapılandırmasını kullanarak keşif üzerine güvenlik açıklarını ortadan kaldırabilir. Son kullanıcıları güvenlik uygulamaları konusunda eğitmek ve tüm bileşenleri güncel tutmak, güvenlik açıklarını da önleyecek ve en aza indirecektir. Ek olarak, güvenlik ekiplerinin, sistemler geliştikçe yeni zayıflıkların ortaya çıktığını akıllarında tutmaları gerekir. Bu nedenle, işletmelerin yazılımlarını, donanımlarını ve ağlarını ortaya çıkan güvenlik açıkları için sistematik olarak taramaları ve keşfedilmeden ve kullanılmadan önce düzeltmeleri gerekir.

ABD hükümetinin Ulusal Güvenlik Açığı Veritabanı (NVD) 2022'nin ilk çeyreğinde 8.000'den fazla yeni giriş yayınladığından, yeni güvenlik açıkları hızla ortaya çıkmaya devam ediyor. Bu hızlı tempo ile birçok işletme, yıllarca ayak uyduramamakta ve açık zayıflıklar bırakmaktadır. sistemler. Yazılım açıkları üzerine yapılan bir araştırma, 2020'de yapılan saldırıların %75'inin en az iki yıllık açıklardan yararlandığını, %18'inin ise 2013'te bildirilen zayıflıklara dayandığını ortaya koydu!

Güvenlik açıkları yazılımlara ve ağlara nasıl girer?

Araştırmaya göre, yazılım satıcıları tarafından geliştirilen uygulamaların %75'i Open Web Application Security Project (OWASP) Top 10 standartlarına uymuyor. Bu standartlar halka açıktır. Peki, neden bu kadar çok kişi hala güvenli bir uygulama üretemiyor? İşte ana nedenler:

Güvenlik açığı bulunan üçüncü taraf kodu ve diğer bileşenler. Geliştirme sürecini önemli ölçüde hızlandırdığından, üçüncü taraf bileşenlerini yeniden kullanmak yaygın bir uygulamadır. Ancak, kullanıcılar bu parçaların güvenliğini hafife alma ve genellikle kapsamlı bir değerlendirme yapmadan dağıtma eğilimindedir. Aynısı, Stack Overflow gibi kaynaklardan güvenliğini değerlendirmeden kopyalayıp yapıştırma kodu için de geçerlidir.

Güvensiz kodlama uygulamaları. Son araştırmalar, güvenliğin çoğu geliştirici için radarda bile olmadığını gösteriyor. 1.200 geliştiricinin tutumunu araştıran bir deneyde araştırmacılar, kod yazarken yalnızca %14'ünün güvenliği bir öncelik olarak gördüğü sonucuna vardılar. Ayrıca, birçok kuruluşun, geliştiricilerinden sıkı son tarihler altında hızlı kod üretmelerini talep ettiğini, bunun da kapsamlı güvenlik değerlendirmesi için yer bırakmadığını ve kod açıklarına neden olduğunu unutmayın.

Hızla değişen siber saldırı ortamı. Saldırganlar sürekli olarak uygulamaların güvenliğini ihlal etmenin yeni yollarını keşfediyor. Bu nedenle, daha önce bağışık olduğu düşünülen parçalar bugün savunmasız hale gelebilir. BT ekibi, güvenlik açıkları için uygulamaları ve ağları sistematik olarak değerlendirmezse ve tüm yazılımları güncel tutmazsa, zayıflıkların ortaya çıkmaya başlaması an meselesidir.

Güvenlik açığı türleri sınıflandırması

Güvenilir ve ayrıntılı bir güvenlik açıkları listesi sunan OWASP ve CWE olmak üzere iki platform vardır. Listelerini, ortaya çıkan herhangi bir zayıflığı içerecek şekilde güncellerler. Her iki kaynak da programcıları, testçileri ve mühendisleri eğitmek için kullanılabilir.

OWASP kar amacı gütmeyen küresel bir topluluktur ve düzenli olarak OWASP ilk 10 yazılım güvenlik açıkları listesini yayınlar. Ortak Zayıflık Numaralandırması (CWE), yine özel bir topluluk tarafından geliştirilen yazılım ve donanım güvenlik açıklarının bir bileşimidir ve 25 giriş içerir.

Bu makalede vurgulamak istediğimiz en belirgin 18 güvenlik açığı, etki alanına göre sıralanmıştır. Bunlar kendilerini bulut, IoT tabanlı yapılandırmalar ve mobil uygulamalar gibi herhangi bir BT sisteminde gösterebilir.

1. Güçlü şifreleme uygulamalarının olmaması

Şifreleme bir siber saldırıyı durdurmasa da, depolama platformu ihlal edilse bile hassas verilerin güvende kalmasını sağlamak çok önemlidir. Saldırganlar, şifrelerini çözene kadar şifrelenmiş verileri kötüye kullanamazlar; bu da, ihlal edilen işletmeye, etkilenen tarafları bilgilendirmek ve kimlik hırsızlığına karşı önlemler hazırlamak gibi gerekli önlemleri alması için zaman tanır.

Araştırmalar, birçok şirketin USB çubuklar, dizüstü bilgisayarlar ve masaüstü bilgisayarlardaki verileri şifrelemek için acil bir planı olmadığını gösteriyor. Veri koruma düzenlemelerinden bahsetmişken, GDPR açıkça şifreleme gerektirmez, ancak bunu veri güvenliği için “uygun teknik ve organizasyonel önlemler” olarak tanımlar.

IBM, Veri İhlalinin Maliyeti raporunda, şifrelemenin veri ihlallerinin ortalama maliyetini azaltabilecek en etkili faktörlerden biri olduğuna dikkat çekti.

2. Hassas verilere maruz kalma

İhmalkar bir çalışan tarafından kamuya açık bir veri tabanına veya bir web sitesine yüklediğinde, insan hatası nedeniyle veriler açığa çıkabilir. Ancak bu güvenlik açığı türü, yetkisiz bir çalışanın hassas verilere erişmesine ve bunları değiştirmesine fiilen izin veren dahili süreçler tarafından da desteklenebilir.

Bir siber güvenlik firması olan Egress, ABD kuruluşlarının %83'ünün e-posta, dosya paylaşımı, işbirliği yazılımı ve mesajlaşma uygulamaları yoluyla hassas verileri yanlışlıkla ifşa ettiğini ortaya çıkaran bir anket yaptı.

3. Yetersiz taşıma katmanı koruması

Bu tür güvenlik açığı, istemci ve sunucu uygulaması arasındaki bilgi alışverişi ile ilgilidir. Bu tür bilgiler, kullanıcı kimlik bilgileri ve kredi kartı ayrıntıları dahil olmak üzere hassas veriler içerebilir. Veri aktarımı güvenli olmadığında, iletişim kesilebilir ve saldırganlar verilere erişebilir ve zayıf algoritmalar kullanılıyorsa şifrelemeyi çözebilir.

4. Yanlış yapılandırılmış sistem bileşenleri ve riskli etkileşimler

Bileşenleri ve aralarındaki etkileşimleri yanlış yapılandırmak, sıklıkla karşılaştığımız bir başka güvenlik sorunudur. Örneğin, bir BT sistemi kurarken, yönetici, üreticinin varsayılan ayarlarını geçersiz kılmayı ve dizin listelerini devre dışı bırakmayı unutarak sistemi açıkta bırakır. Başka bir örnek, dış cihazlara erişimi kısıtlamayı unutmak.

Etkileşimlerden bahsetmişken, uygulamaların doğrulanmadan ve meşru olduğu kanıtlanmadan önce sıfır güven yaklaşımını benimsemeleri ve her girdiyi riskli olarak görmeleri tavsiye edilir. Bu, saldırganların bir uygulamaya güvenilmeyen verileri bulaştırdığı siteler arası komut dosyası çalıştırma gibi saldırılardan kaçınmaya yardımcı olacaktır.

Bu yön özellikle bulut tabanlı çözümlerle ilgilidir. Bir araştırma, sunucu yanlış yapılandırmalarının iki yıl içinde 200 bulut ihlaline katkıda bulunduğunu bildirdi. Başka bir araştırma, bulut güvenliği ihlallerinin yaklaşık %70'inin hatalı mimariyle başladığını gösteriyor. Örnek olarak, yanlış yapılandırılmış bir AWS depolama paketi, 2019'da ABD'de 750.000 doğum belgesi başvurusunu açığa çıkardı.

5. Zayıf sunucu tarafı kontrolü

Bu güvenlik açığı türü, bazı kullanıcıların tarayıcısının, kullanıcının bilgisi olmadan sunucuya yetkisiz eylemler gönderdiği siteler arası istek sahteciliği gibi, zayıf kimlik doğrulamasından saldırılara olanak tanıyan güvenlik yanlış yapılandırmalarına kadar, sunucu tarafında yanlış gidebilecek her şeyi ifade eder.

Örneğin, bir veritabanı sunucusundaki bir yanlış yapılandırma, verilerin basit bir web araması yoluyla erişilebilir hale gelmesine neden olabilir. Yönetici kimlik bilgileri içeriyorsa, davetsiz misafirler sistemin geri kalanına erişebilir.

6. Uzaktan kod yürütme

Bu, sisteminiz tarafından sunulan yazılım güvenlik açıklarının, davetsiz misafirlerin cihazlarınızda internet üzerinden kötü amaçlı kod yürütmesine olanak tanıdığı anlamına gelir. Örneğin, bir çalışan üçüncü taraf bir web sitesindeki bir e-posta bağlantısını tıkladığında, bu kurulumun arkasındaki bilgisayar korsanı, kurbanın bilgisayarına kötü amaçlı yazılım enjekte eder ve oradan kontrolü ele alır. Dışarıdan biri hassas verilere erişebilir veya makineyi kilitleyebilir ve fidye talep edebilir.

7. Bilinen işletim sistemi tabanlı güvenlik açıkları

Her işletim sisteminin kendi yazılım güvenlik açıkları listesi vardır. Bazı listeler herkesin görmesi için çevrimiçi olarak yayınlanmaktadır. Örneğin, Windows 10'un en önemli 10 OS zayıflığının listesi burada ve OS X için ilgili liste burada. Bu noktaları gözden geçirmek ve saldırılara açıkları en aza indirmek için bunları ele almak güvenlik ekiplerine bağlıdır.

8. Komut dosyalarını virüs denetimi olmadan çalıştırma

Bu, belirli web tarayıcılarında bulunan yaygın bir güvenlik açığı türüdür. Örneğin Safari, açık kullanıcı izni olmadan "güvenilir" komut dosyalarının çalıştırılmasına izin verir. Bilgisayar korsanları, "güvenli" bir komut dosyasıyla karıştırılabilecek kötü niyetli bir kod parçasını çalıştırmaya çalışarak bu zayıflıktan yararlanma eğilimindedir. Neyse ki, bu "özelliği" devre dışı bırakmak çoğu zaman mümkündür.

9. Zayıf kimlik doğrulama

Davetsiz misafirler, kullanıcıların kimlik bilgilerini kaba zorlayarak erişim elde edebilir. Bu, özellikle “123456” şifresi 23 milyondan fazla kişi tarafından kullanıldığında çok kolaydır. Bu, aynı zamanda yaygın ve hacklenmesi oldukça kolay olan “admin”, “password” ve “qwerty” gibi şifrelere ek olarak verilir.

Bu tür yazılım güvenlik açığı insan yapımı olarak kabul edilir, ancak işletmeler çalışanları daha güçlü seçenekler seçmeye ve kimlik bilgilerini yeterince sık değiştirmeye zorlayacak önlemler uygulayabilir. Zayıf kimlik bilgilerinin sistem güvenliğinde oynadığı rol düşünüldüğünde bu çok önemlidir. İstatistikler, güvenlik ihlallerinin %80'inin zayıf parolalar tarafından etkinleştirildiğini ve kullanıcıların %61'inin birden çok hizmet için tek bir güvenlik ifadesi kullanma eğiliminde olduğunu gösteriyor.

10. Bilinen güvenlik açıklarına sahip bileşenleri kullanma

Kitaplıklar, API'ler, veri kümeleri ve çerçeveler gibi üçüncü taraf bileşenlerini dağıtmak, sisteminizin çalışır durumda olması için gereken çabayı önemli ölçüde azaltabilir. Ama aynı zamanda güvenlik açıkları da getirebilir. Hassas verilere erişime açık herhangi bir arka kapı bırakmadıklarından emin olmak için dikkatli olmak ve bu bileşenleri değerlendirmek önemlidir.

Üçüncü taraf görüntüleri indirmek ve kullanmak bile tehlikeli olabilir. 2021'de, 20 milyon indirme hacmine sahip 30 Docker Hub görüntüsü, kripto madenciliği kötü amaçlı yazılımlarını yaymak için dağıtıldı.

11. Güvensiz tasarım

Bu, 2021'de OWASP'ta ortaya çıkan nispeten yeni bir güvenlik açığı türüdür. Kuruluş, en başından itibaren zayıflıkları ortadan kaldırmak için güvenli tasarım kalıpları, tehdit modelleme ve referans mimarisi talep ediyor.

Güvenli tasarım, tehditleri sürekli olarak değerlendiren ve kodun sağlamlığını sağlayan bir metodolojidir. Bilinen saldırı yöntemlerine karşı sistematik testleri teşvik eder. Güvenliği, bir eklenti veya sahip olunması güzel bir özellik olarak değil, yazılım geliştirmenin önemli bir parçası olarak görür.

12. API'lerdeki güvenlik hataları

Uygulama programlama arayüzleri (API'ler), bir BT sisteminin önemli bir parçası olan yazılım bileşenlerinin birbirleriyle etkileşime girmesine izin verir. Ancak, zayıf güvenlik önlemlerine sahip API'ler, bozuk kimlik doğrulama ve izin kodu enjeksiyonu ve diğer kötü amaçlı uygulamalar gibi birden çok boşluk açabilir.

Örneğin, bilgileri kullanıcılara sunmadan önce filtrelemek için istemci tarafına dayanan, pervasızca oluşturulmuş bir API, verileri açığa çıkarabilir ve bu verileri elde edilebilir hale getirebilir. Hassas veriler sunucu tarafında filtrelenmelidir. İşte bu güvenlik açığı türüne başka bir örnek: Bir API, gelen isteklerin sayısını kısıtlamıyorsa, Hizmet Reddi (DoS) saldırıları için fırsat açabilir.

Aşağıda, değerlendirmeniz için API ile ilgili en önemli 10 güvenlik açığının OWASP listesi verilmiştir. Güvensiz API'ler, geçtiğimiz yıllarda birçok saldırıya kapı açtı. Kötü niyetli bir aktör, 700 milyon kullanıcının verilerini indirmek için platformun kimlik doğrulaması gerektirmeyen API'sini kullandığı için kötü niyetli bir örnek LinkedIn'den geliyor. Benzer bir API ihlali kullanarak, bir davetsiz misafir 1,3 milyon Clubhouse kullanıcısı hakkında bilgi aldı ve bir hacker forumunda yayınladı.

13. Yetersiz kimlik doğrulama

Zayıf kimlik doğrulama önlemleri, bilgisayar korsanlarının hesapları sıfırlamak veya bir hesap ele geçirme saldırısı başlatmak için "şifremi unuttum" seçeneğinden yararlanmasına olanak tanır. Kimlik doğrulama sorusu kullanıcının doğum tarihi veya evcil hayvan adı gibi bir şey olduğunda davetsiz misafire yardımcı olur, çünkü bu sosyal medya sayesinde herkese açık bilgilerdir. Çok faktörlü bir kimlik doğrulama sürecinin ardından güvenliği artıracaktır. Ne yazık ki araştırmalar, ABD şirketlerinin yalnızca %26'sının bu güçlü kimlik doğrulama yöntemini kullandığını gösteriyor.

14. Yetersiz izleme ve günlükler

Günlükler, sistem olayları, ağ etkinlikleri ve kullanıcı eylemleri hakkındaki verileri depolar. Güvenlik ekipleri, günlükleri izleyerek yakın zamanda gerçekleşen tüm etkinlikleri gözlemleyebilir ve şüpheli olayları belirleyebilir. Günlükler sistematik olarak gözden geçirilmezse, bu, yazılım açıklarının ve kötü niyetli etkinliklerin algılanmadan kaldığı bir bilgi boşluğu yaratır.

15. Süper kullanıcı ayrıcalıkları

Bir kullanıcı ne kadar az veriye erişebilirse, güvenliği ihlal edildiğinde hesabının vereceği zarar o kadar az olur. Bununla birlikte, bazı işletmeler hala ihmalkar bir şekilde sol ve sağ süper kullanıcı ayrıcalıkları veriyor ve çalışanların günlük görevlerini yerine getirmek için ihtiyaç duydukları şeylere erişimini kısıtlamakta başarısız oluyor. Bir davetsiz misafir yönetici düzeyinde bir hesabı ele geçirirse, virüsten koruma yazılımını ve güvenlik duvarını devre dışı bırakabilir, zararlı uygulamalar yükleyebilir, dosyaların sahipliğini alabilir vb.

Araştırmaya göre, veri ihlallerinin %74'ü ayrıcalıklı kimlik bilgilerinin kötüye kullanılmasıyla başlıyor.

16. Eski yazılım

Çoğu işletme, güvenli bir sistemin anahtarının zamanında yazılım güncellemesi olduğunun farkındadır. Ancak, görünüşe göre sadece birkaçı bu uygulamayı gerçekten takip ediyor. Cybernews, yazılım güncelleme sıklığını araştıran yakın tarihli bir çalışma hakkında rapor veriyor. Bu araştırma 18 aylık bir süre boyunca yürütüldü ve incelenen web sitelerinin %95'inin aslında bilinen güvenlik açıklarına sahip eski yazılımlarda çalıştığını keşfetti. Araştırma ekibi ayrıca ortalama bir yazılım ürününün en son yamasının dört yıl gerisinde kaldığını da keşfetti.

Ayrıca Kaspersky, eski yazılımları çalıştıran şirketlerin bir ihlal durumunda muhtemelen %47 daha fazla maliyete maruz kalacağını belirledi.

Bir örnek vermek gerekirse, Marriott otel zincirinde, yama uygulanmamış bir yazılımdan kaynaklanan bir güvenlik ihlali nedeniyle 500 milyon veri kaydı ele geçirildi.

17. Kaynak kodundaki güvenlik açıkları

Yazılım geliştirme sırasında kod güvenlik açıkları ortaya çıkar. Örneğin, bir program hassas verileri şifrelemeden iletebilir veya gerçekte rastgele olmayan rastgele bir dize kullanabilir. Bu tür hatalar genellikle yazılım test aşamasında yakalanır.

Yakın tarihli bir Güvenli Kod Savaşçısı Anketine göre, katılan geliştiricilerin %86'sı, bir kod yazarken uygulama güvenliğini birinci öncelik olarak görmediklerini kabul ederken, %36'sı bunu son teslim tarihlerine bağlıyor. Anket ayrıca, katılımcıların %33'ünün kodlarını neyin savunmasız hale getirdiğini bile anlamadığını ortaya koydu.

18. SQL enjeksiyonu

Bu güvenlik açığı türü, Structured Query Language (SQL) tarafından desteklenen web siteleri ve uygulamalarla ilgilidir. Saldırganın kullanıcı tarafından sağlanan SQL ifadelerini değiştirmesine ve yorumlayıcıyı istenmeyen komutları yürütmesi ve veritabanına erişim vermesi için kandırmasına olanak tanır. Bu şekilde, davetsiz misafirler hassas alanları değiştirerek/silerek/değiştirerek hassas verileri manipüle edebilir.

Bu, 2019'da yazılım uygulamalarına yönelik saldırıların %65'inden fazlasını oluşturan oldukça eski bir güvenlik açığıdır.

Sisteme özel güvenlik açığı türleri ve bu yazılım açıklarının nasıl önleneceği

Yaygın güvenlik açıklarını vurguladıktan sonra uygulamaya ve sisteme özel zayıflıklara geçelim ve sistemlerinizi bunlardan nasıl koruyacağınızı bulalım.

Bulut

Azure, AWS, GCP veya diğer bulut sağlayıcılarından bağımsız olarak, bulutta olası güvenlik açığı türlerinin kapsamlı bir listesi vardır. Bulut uzmanımız Alexey Zhadov, bu güvenlik açıklarını katmanlara ayırıyor ve bunların nasıl önleneceğine dair ipuçları veriyor.

Sistem katmanı güvenlik açıkları

Yazılımınızın üzerinde çalıştığı bulut hizmeti ne olursa olsun, kaputun altında her zaman bir işletim sistemi vardır. Yalnızca kaynağınız için bir kontrol paneline erişebilseniz bile. Her işletim sisteminin “delikleri” ve “arka kapıları” vardır. İşletim sistemi geliştiricileri, temelleri örtmeye çalışarak sürekli olarak bu zayıflıkları arar. Bu nedenle yazılımınızı güncel tutmanız ve bilinen konularda siber güvenlik alanındaki en son gelişmelerden haberdar olmanız önemlidir.

Ağ katmanı güvenlik açıkları

Her bulut kaynağı bir bulut ağında çalışır. Ve bununla birlikte, kaynağa harici olarak bağlanma imkanı geliyor. Güvenlik ekibinin ağ yapılandırmasının yeterli olduğundan emin olması gerekir. Dağıtmayı planlamadığınız bağlantı noktalarını asla açmayın, bildiğiniz IP'lerin ve çözümünüze bağlanması beklenen ağların beyaz listeye alınmasını kullanın. Bilinen IP'ler dışında herhangi bir yerden RDP/SSH bağlantı noktalarına doğrudan bağlantı açarken dikkatli olun.

Yapılandırma katmanı güvenlik açıkları

Bulut, kullanıcının gereksinimlerine ve hedeflerine göre uygun şekilde yapılandırılmalı ve bu yapılandırma her zaman güncel tutulmalıdır. Yapılandırma yönetimi politikalarını ve prosedürlerini ayarlayın ve şüpheli etkinlikleri izleyin.

İnsan faktörü güvenlik açıkları

Bulut çözümüne erişimi olan son kullanıcıları ve yöneticileri unutmayın. Hesap ele geçirme, herhangi bir BT sistemindeki en yaygın zayıflıklardan biridir. Bir davetsiz misafir, birinin hesap kimlik bilgilerine erişim kazanırsa, sisteme hesabın hakları dahilinde serbestçe girip manipüle edebilir ve saldırıya uğramış kullanıcıdan bir bildirim alana kadar hiç kimse onları durduramaz. Bulut uygulamalarındaki en yaygın güvenlik açıklarının listesi aşağıda verilmiştir:

  • Yanlış yapılandırılmış ağlar ve güvenlik duvarları
  • Yanlış yapılandırılmış bulut depolama
  • Güvenli olmayan API'ler
  • Kötü erişim yönetimi
  • Hesap ele geçirme
  • Kötü niyetli kişiler
  • Sistem güvenlik açıkları
  • Paylaşılan kiracılık güvenlik açıkları
  • Ağa katılmak isteyen kullanıcılar ve cihazlar için çok faktörlü kimlik doğrulama eksikliği

Alexey, şirketlerin bulut sistemlerini korumak için uygulayabilecekleri birkaç basit kural önerir:

  • İşletim sistemlerini güncel tutun
  • Ağlarınızı koruyun
  • Kapalı çevrenize erişmek için kale sunucularını kullanın
  • Ağ Güvenlik Gruplarını ve Erişim Kontrol Listelerini Yapılandırın
  • Gereksiz bağlantı noktaları için erişimi kısıtlayın
  • Mümkün olduğunda izleme ve günlüğe kaydetmeyi yapılandırın
  • Tüm kullanıcılar için çok faktörlü erişim kontrolü uygulayın
  • Güvenlik duvarları ve DDoS koruması kullanın
  • Azure Güvenlik Merkezi gibi güvenlik standartlarıyla uyumluluğu kontrol etmek için bulut araçlarını kullanın

internet uygulamaları

Alexey, web uygulamalarına musallat olan yazılım güvenliği sorunlarına da ağırlık verdi. Saldırganlar, bu güvenlik açıklarından yararlanarak uygulamaya ve bir bütün olarak kuruluşa ciddi zararlar verebilir. Web uygulaması güvenlik açıklarından kaynaklanan en yaygın web uygulaması saldırıları şunlardır:

  • SQL enjeksiyonu
  • Siteler arası komut dosyası oluşturma
  • Yol geçişi
  • Uzaktan komut yürütme

Siber suçlular bu saldırıları başarılı bir şekilde başlatırsa, kötü amaçlı yazılım yerleştirebilir, kullanıcı hesaplarını tehlikeye atabilir, kısıtlı bilgilere erişebilir ve daha fazlasını yapabilirler. Peki, yazılım güvenlik açıkları için nasıl test edilir? Alexey, aşağıdaki parametreleri değerlendirmek için web uygulaması güvenlik testi yapılmasını önerir:

  • Giriş doğrulama. Uygulama işlemi nasıl giriş yapabilir ve kötü niyetli girişleri tespit edip engelleyebilir mi?
  • Sunucu yapılandırması. Güçlü bir şifreleme yöntemi kullanıyor mu?
  • Kimlik doğrulama yönetimi. Hangi tür yetkilendirmeler uygulanır? Kullanıcılar zayıf şifreleri tercih edebilir mi?
  • Yetkilendirme seçenekleri. Uygulama, ayrıcalık artışlarına karşı kendini koruyabilir mi?
  • İş mantığı. Kullanıcılar geçersiz veri ekleyebilir mi? Kimlik doğrulama adımlarını atlayabilirler mi? Kullanıcıların uygulamanın ve verilerinin bütünlüğüne zarar vermesi mümkün müdür?

Mobil uygulamalar

Mobil uygulama güvenliğinden bahsederken, uygulamanın yanı sıra cihazın kendisinin sunduğu güvenlik açığı türlerini de göz ardı edemeyiz. Bulut ve mobil uzmanımız Alexey Zhadov, mobil uygulamaları etkileyen yaygın sorunları da paylaştı:

  • Zayıf sunucu tarafı kontrolü
  • Güvenli olmayan veri depolama
  • Yetersiz taşıma katmanı koruması
  • İstenmeyen veri sızıntısı
  • Yetersiz yetkilendirme ve kimlik doğrulama
  • Kötü kriptografi
  • İstemci tarafı enjeksiyon
  • Güvenilmeyen girişler
  • Yanlış oturum yönetimi
  • İkili koruma eksikliği
  • Yanlış işletim sistemi kullanımı
  • Güvenli olmayan trafik ve API çağrıları
  • Kod kurcalama ve jailbreak yapılmış cihazlar
  • Yetersiz günlük kaydı ve izleme
  • Güvenlik yanlış yapılandırmaları

Alexey, mobil uygulamaları güvence altına almak için şirketlerin uygulama tasarımı ve bakımında uygulayabilecekleri bazı basit uygulamalar önermektedir:

Açık kaynak kodu değerlendirmesi: Çoğu mobil uygulama, herkes için mevcut olan açık kaynaklı üçüncü taraf kitaplıkları kullanır. Bu, geliştirme sürecini kolaylaştırır, ancak aynı zamanda potansiyel davetsiz misafirler için arka kapılar açar. Bu nedenle, uygulamaya dahil etmeden önce üçüncü taraf kodunu yazılım güvenlik açıkları için titizlikle test etmek zorunludur.

Güçlü şifreleme uygulamaları: aktarım sırasında verileri şifreleyin ve şifresini çözün. Güçlü bir veri şifreleme tekniği, kaynak kodu, kullanıcı bilgileri ve oturum açma kimlik bilgileri gibi uygulama verileriyle uygulama depolama alanınız güvence altına alınacaktır. Veriler şifrelendikten sonra, bilgisayar korsanları orijinal içeriğe erişim sağlasalar bile bunları yorumlayamazlar.

Kod imzalama sertifikası: geliştiriciler, mobil uygulamaları siber saldırılardan korumak ve kullanıcı güvenini kazanmak için imzalayabilir. Böyle bir imza, uygulama imzalandıktan sonra kodun yorumlanmamasını veya değiştirilmemesini sağlar. Güvenlik ekibi, mütevazi fiyat etiketleri ile birkaç kod imzalama sertifikası seçeneği bulabilir. Bu uygulama hem uygun maliyetli hem de güvenilirdir.

Veri önbelleği koruması: önbelleğe alınmış veriler, uygulamanın performansını artırmak için daha hızlı yeniden açmaya yardımcı olmak için uygulamadan alınan bilgileri içerir. Veri önbelleği genellikle bir kullanıcının cihazında ek güvenlik önlemleri olmadan depolanır. Bir şifre oluşturmak ve uygulamayı kilitlemek daha güvenli bir uygulamadır. Ayrıca Alexey, önbelleğe alınmış verileri sık sık temizlemenizi ve güvenli bir ağ bağlantısı kullanarak oturum açmanızı önerir.

Güvenli veri depolama: Her uygulama, davetsiz misafirlerin kötüye kullanabileceği verileri içerir. Hem kullanıcıların hem de uygulama geliştiricinin bilgilerini içerir. Bu nedenle, bu verileri yerel depolama birimlerine güvenmek yerine güvenli bir bulut depolama alanında güvenli bir şekilde depolamak esastır.

Kimlik doğrulama ve yetkilendirme teknikleri: Veri hırsızlığını önlemek için çok faktörlü kimlik doğrulamanın ayarlanması esastır. Kullanıcı kimliği, parola, PIN, OTP vb. içerir. Kimliği doğrulanmış kullanıcıların rollerini ve izinlerini doğrulamak için yetkilendirme her zaman sunucu tarafında yapılmalıdır.

Veri silme ve cihaz kilitleme: Bu özellik çoğunlukla kişisel, finansal, sağlık bilgileri gibi gizli verileri içeren uygulamalarda kullanılır. Kullanıcı tarafından birkaç başarısız oturum açma denemesinden sonra uzak verilerin silindiği ve kullanıcı tarafından verinin silindiği bir güvenlik katmanıdır. uygulama otomatik olarak kilitlenir. Ayrıca, kullanıcıların şifreleri için büyük harf, özel karakter, alfabe, sayı vb. yerine bir sıra numarası seçmelerini de yasaklar.

Tersine mühendislik karşı önlemi: Bilgisayar korsanları, uygulamanın işlevselliğini değiştirmek için tersine mühendislik kullanır. Bilgisayar korsanları, uygulamanın kaynak koduna erişim sağlayarak kimlik doğrulama sürecini atlatabilir, konumlarını taklit edebilir ve verileri çalabilir. Çalışma zamanı güvenliğini zorlamak, tersine mühendisliği önlemek için çok önemlidir. Uygulamanın davranışını etkilemek için kod yapısını değiştirerek davetsiz misafirlerin uygulamanın dahili işlevlerini değiştirmesini önler.

IoT çözümleri

Güvenlik açısından IoT çözümlerini benzersiz kılan şey, her cihazın yeteneklerinin kullanım gereksinimleriyle sınırlandırılmış olmasıdır. IoT cihazlarını savunmasız hale getiren fazladan kapasite, bellek veya güç tüketen herhangi bir fantezi güvenlik özelliğini uygulamak için yer yoktur.

IoT uzmanımız Yahor Paloika, bağlı cihazlarda aşağıdaki güvenlik açığı türlerini vurgulamaktadır:

  • Sabit kodlanmış kimlik bilgileri. IoT cihazları, yöneticilerin bazen değiştirmeyi unuttuğu sabit kodlanmış şifrelerle birlikte gelir ve bilgisayar korsanlarına bu iyi bilinen kimlik bilgilerini kullanarak sisteme kolayca girme imkanı verir.
  • Korumasız ağlar. Bazı ağlar, izinsiz giriş yapanların cihaz eklemesine, veri akışını değiştirmek için kurulumu yeniden yapılandırmasına, verileri engellemesine ve sensör okumalarını taklit etmek için kendi verilerini enjekte etmesine izin veren güçlü kimlik doğrulaması uygulamaz.
  • Zayıf güncelleme yönetimi. Birçok IoT cihazı bağımsız olarak çalışır ve güncellemeleri gerçekleştirmek için insan müdahalesine güvenmez. Bu durumda, bir güncelleme yönetim sistemi, otomatik güncellemelerin şifreli bir kanaldan ulaştığından, doğrulanmış bir kaynaktan geldiğinden ve bozulmadığından emin olmaktan sorumludur. Böyle bir sistem zayıfsa, izinsiz giriş yapanların güncellenmiş yazılımı ve bellenimi bozmasına ve cihazın davranışını değiştirmesine izin verecektir.
  • Eski kod modülleri. Artık kullanılmayan eski modülleri ortadan kaldırmayı unutmak, bilgisayar korsanlarına yazılım güvenlik sorunlarını keşfetmeleri ve sisteme sızmak için boşlukları bulmaları için yeterli zaman verir. Bağlı cihazların işlevselliğinin bir parçası olmayan tüm modüller kaldırılmalıdır.
  • Veri koruması. IoT ağı içinde dolaşan tüm veriler şifrelenmelidir ve yalnızca yetkili kullanıcılar buna erişebilir.

IoT sistemlerine saldırının yıkıcı bir etkisi olabilir. Örneğin, bir deneyde, bir araştırmacı ekibi Jeep Cherokee'deki IoT cihazlarının yazılımlarına sızabilir ve Jeep'in eğlence sistemi aracılığıyla kötü amaçlı komutlar gönderebilir. Klimayı kurcaladılar, sıcaklığı düşürdüler, ön camları açtılar ve ardından sürücüyü dehşete düşürerek frenleri devre dışı bıraktılar. Neyse ki, bu sadece bir deneydi. Yahor'un IoT sistemlerini korumak için önerdiği bazı ipuçları:

  • IoT ağındaki iletişimi desteklemek ve yerleşik güvenlik eksikliğini gidermek için Aktarım Katmanı Güvenliği (TLS) gibi güvenlik açısından yoğun mevcut bir şifreleme protokolünü kullanın
  • Gerekli şifreleme ve güvenlik seviyesini sağlayan modern bir entegre anahtar ve sertifika yönetimi alt sistemine sahip olun. Ayrıca Yahor, anahtarların ve sertifikaların en az altı ayda bir güncellenmesini önerir.
  • Güçlü parolalar oluşturmak ve bunları sistematik olarak değiştirmek için güvenilir bir parola yönetim sistemi kurun
  • Yalnızca meşru bir kaynaktan gelen güvenli güncellemelerin geçmesine izin verecek ve bozuk değişiklikleri zorlama girişimlerini engelleyecek bir güncelleme yönetim sistemi uygulayın

yapay zeka çözümleri

Yapay zeka (AI) ve makine öğrenimi (ML) çözümlerini bu makalede bahsedilen sistemlerin geri kalanından önemli ölçüde farklılaştıran bir yön vardır - bu tür modellerin genellikle tahmin yapmak için eğitildiği ve bu eğitim sürecinin birkaç tane tanıttığı gerçeğidir. güvenlik açıkları türleri. Yapay zeka uzmanımız Maksym Bochok, en popüler zayıf noktaları vurguladı:

  • Saldırgan, eğitim veri kümesini değiştirebilir ve modeli sahte kurallar öğrenmeye ve yanlış tahminler yapmaya zorlayabilir.
  • Makine öğrenimi mühendisleri, çevrimiçi buldukları önceden eğitilmiş modelleri tercih edebilir ve bu modeller zaten kötü amaçlı olabilir. Örneğin, Truva atı virüsü veya diğer kötü amaçlı yazılımları içerebilirler.
  • Davetsiz misafir algoritmanın kendisini ele geçirebilir ve modelin davranışını değiştirmek için kodu, ağırlıkları ve diğer parametreleri ayarlayabilir.

Ayrıca, AI genellikle IoT ve bulut gibi diğer teknolojilerle birleştirilir ve bu da onu bu sistemler tarafından sunulan güvenlik açığı türlerine karşı duyarlı hale getirir.

Yapay zeka sistemlerinin güvenliğini sağlamak için uzmanımız aşağıdakileri önerir:

  • Önceden eğitilmiş modelleri ve dış veri kümelerini kullanırken, bunların kötü amaçlı yazılım içermediğini doğrulayın.
  • Hiç kimsenin eşleşen kuralları veya yanlılığı vb. değiştirmediğinden emin olmak için algoritmalarınızı istenen çıktı için sistematik olarak test edin.
  • Veri kaymalarını izleyin (giriş verilerindeki değişiklikler)
  • Davetsiz misafirler, modeli istenen çıktıya döndürmek için potansiyel olarak tehlikeli veriler ekleyebileceğinden, aykırı değerleri tespit edin
  • Eğitim veri kümenizde olası aykırı değerleri arayın
  • Counterfit gibi genel AI güvenlik değerlendirme araçlarını kullanın. Algoritmaların güvenilir ve sağlam olmasını sağlamaya yardımcı olacaktır.
  • Mevcut veri koruma araçlarından yararlanın ve saklanıp kullanıldığında gizli verileri koruyun. Bir örnek, harici bir güvenlik duvarı görevi görebilen Imperva aracıdır.

Son bir notta

Başarılı bir işletmeyseniz, birisinin fidye istemek veya itibarınıza zarar vermek için sisteminize sızma/girmeye çalışması ihtimali yüksektir. Bilgisayar korsanları sürekli olarak istismar edilecek boşluklar ararken, BT ekibiniz riskleri azaltmak için çalışıyor. Bu yarışı kazandığınızdan emin olmak için, sisteminizin durumunu değerlendirmenize ve nasıl iyileştirebileceğiniz konusunda önerilerde bulunmanıza yardımcı olacak deneyimli bir güvenlik ve test şirketine danışın.

Bu arada, farklı güvenlik açığı türlerinin uygulamalarınızı açığa çıkarmasını önlemek için sisteminizin yapılandırmasına dikkat edin, tüm yazılımlarınızın güncel olduğundan emin olun ve çalışanlarınızı güvenli uygulamalar konusunda eğitin.

Mevcut sisteminizin güvenliği konusunda şüpheleriniz mi var? Veya güvenliği göz önünde bulundurarak bir uygulama oluşturmak mı istiyorsunuz? ITRex ekibine bir satır bırakın! Güvenlik uzmanlarımız, donanımınızı ve yazılımınızı güvenlik açıkları için test edecek ve iyileştirmeler önerecektir.

İlk olarak 6 Temmuz 2022'de https://itrexgroup.com'da yayınlandı.