
Dünya giderek dijital bir formata geçerken, siber güvenlik ve OWASP her zamankinden daha önemli hale geliyor. Sophos tarafından yakın zamanda yapılan bir ankete göre, Amerika’daki işletmelerin %51’i 2020’de bir fidye yazılımı saldırısı yaşadığından özellikle emindir. Bu, modern çağda ve çağda gerçekten var olmaması gereken şaşırtıcı sayıda güvenlik açığıdır.
Uygulamaların piyasaya hızla girmesi, birçok geliştirme ekibinde itici bir faktör haline geldi ve bu bazen siber güvenliğin geri planda kaldığı anlamına geliyor. Aslında, bu nedenle birçok şirket, yalnızca güvenlik ve uyumluluk sorunlarının üstesinden gelmekle kalmayıp, aynı zamanda sıkı bir süre içinde bir ürün piyasaya sürme umuduyla DevOps modelini benimsemeye başladı.
Uygulama Güvenliği
Temel olarak, uygulama güvenliği konusu, tüm uygulamaları daha güvenli hale getirmek için uygulanabilecek çeşitli teknikler, felsefeler ve sertifikalarla çok yönlüdür.
Örneğin, kendisi inanılmaz derecede popüler olan ATT&CK çerçevesi üzerine kurulmuş olan MITRE’nin ortak zayıflık numaralandırmasına (CWE) yapılan son güncellemeyi alın. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından desteklenen tüm amaç, her kategorinin belirli kusurlarını ve bunların nasıl azaltılacağını anlama umuduyla güvenlik zayıflıklarını ve açıklarını kategorilere ayırmaktadır. Aslında, CWE arabellek taşmasından siteler arası komut dosyası oluşturmaya ve hatta yarış koşullarına kadar her şeyi içeren 600’den fazla kategoriye sahiptir.
Özellikle bazı uzmanlar, hem uzaktan çalışma hem de Nesnelerin İnterneti’ndeki (IoT) büyük artış göz önüne alındığında siber saldırıların tırmanacağını tahmin ettiğinden, bu güncelleme de daha erken gelemezdi. İşte tam da bu nedenle siber güvenlik anlayışı bu şirketler için isteğe bağlı değil, çünkü hack araçları daha yaygın hale geliyor. Web’e bağlanan herhangi bir aracın bir tür siber dayanıklılığa sahip olması önemlidir.
Aslında şirketlerin sıklıkla yanıldıkları şey siber dayanıklılık ve siber güvenlik arasındaki bu ayrımdır. Bu biri veya diğeri arasında bir seçim değildir ve soruna mümkün olduğunca çok sayıda kodlama standardı atmak da yeterli değildir. Bunun yerine, şirketler ve geliştiriciler, daha az güvenlik açığıyla kodlamak için Süreli Entegrasyon / Sürekli Teslimat (CI/CD) ardışık düzenlerini kullanmak veya daha güvenilir web barındırma kullanmak gibi siber esnekliği göz önünde bulundurarak uygulamalar geliştirmelidir.
Web ve Bulut Güvenliği
Tahmin edebileceğiniz gibi, modern dünyanın çoğu bulutta barındırılıyor ve bu nedenle bulut güvenliği, verilerin güvende kalmasını sağlamada büyük rol oynuyor. Aslında, bulutta barındırılan uygulama güvenliği, özellikle uygulamanın olası dış güvenlik açıklarına karşı güvende olduğundan emin olmak için genellikle buluta özel bir DevSecOps personeli bulunmadığından bir sorun haline geldi.
Neyse ki, Ulusal Siber Güvenlik Merkezi’nin (NCSC) güvenlik uyumluluğu ilkeleri gibi, bulut için güvenliğe nasıl yaklaşılacağına dair takip edilmesi kolay kurallar belirleyen güvenlik protokolleri var. Aktarılan verilerin korunması, kimlik doğrulama, müşteri ayrımı ve müşterinin hizmeti güvenli bir şekilde kullanmasını sağlama gibi eylemlerin tümü, siber güvenliği ve esnekliği önemli ölçüde artırabilecek temel kavramlardır.
Güvenlik sorumluluğu, web sitesi güvenlik standartlarını da içerir. Kenar koruması ve güvenli bir web ağ geçidi kullanmak gibi web sitesi altyapısını korumanın ve güvenceye almanın birkaç yolu vardır.
Web siteleri için daha iyi bir siber güvenliğe müdahale etme eğilimi, bir web sitesini daha duyarlı hale getirebilecek performans optimizasyonu gibi şeylerdir. Güvenlik zihniyetinin yokluğunda, bir çok soruna yol açabilecek sorunlar meydana gelebilir.
Web güvenliğinin olmamasına katkıda bulunan önemli bir faktör, bu alandaki geliştiricilerin genel kullanılabilirliği ve deneyiminin olmamasıdır. Aslında, yakın tarihli bir ankete göre, geliştiricilerin yaklaşık %60’ı beş yıldan az deneyime sahiptir ve bu bazen şirketlerin yalnızca en modern teknikleri değil, aynı zamanda bazı daha yetenekli kötü niyetli aktörleri de takip etmesini zorlaştırabilir.
OWASP’ın Önemi
Açık ve basit standartlar, aşırı karmaşık kodlar gibi şeyler için geçerli olduğunda önemlidir. Bazen, kodun güvenli olduğundan emin olma yolunda geliştiriciler, özellikle altında bulundukları muazzam zaman baskısını göz önünde bulundurarak, uygulama geliştirmenin en iyi uygulamalarını da hesaba katmayı unutabilirler.
Açık Web Uygulaması Güvenlik Projesi’nin (OWASP) değerli bir kılavuz haline geldiği yer burasıdır. OWASP, uygulama güvenliği için katı kurallar ve kriterler kümesidir. OWASP kontrol listesi, geliştiricilerin önerilen güvenlik standartlarını daha kolay entegre etmesine yardımcı olurken aynı zamanda güvenliği tehlikeye atabilecek kodlama kusurlarından kaçınmaya yardımcı olur.
OWASP, standartları sağlama konusunda oldukça büyük olsa da, kullandığı farklı yöntemler hakkında kısa bir inceleme:
- Çıktı Kodlaması: Bir kullanıcı tarafından girilen herhangi bir bilgi, olası bir saldırı vektörü olduğundan, işlenmeden önce kodlanmalıdır. Bu, çıktının standart bir test rutini kullanılarak bağlamsal olarak sterilize edilmesi gerektiği anlamına gelir. Aslında, .Net Core yerleşik çıktı kodlamasına sahiptir.
- Giriş Doğrulaması: Bir kullanıcı tarafından girilen verilerin geçerli olduğundan ve herhangi bir saldırı biçimine izin vermediğinden emin olmak önemlidir. Bu genellikle, giriş verilerinin güvenli olduğundan veya bir tür enjeksiyon saldırısına yol açmayacağından emin olan çeşitli listelere karşı kontrol şeklini alır.
- Oturum Yönetimi: Bir web uygulamasına aynı anda birden fazla bağlantının yönetilebilmesini, sağlamak güvenlik için hayati önem taşır. Bu, HTTP’nin yanı sıra yeniden kimlik doğrulamada yeni oturum kimlikleri oluşturma ve oturum hareketsizliği zaman aşımlarına sahip olma gibi diğer tekniklerin rol oynadığı yerdir.
- Kriptografik Uygulamalar: Web’deki herhangi bir şeyde olduğu gibi, verilerin kesin gizliliğini ve bütünlüğünü korumak son derece önemlidir. Bunu başarmak için kriptografik modüllerin güvenli bir şekilde başarısız olması, kriptografik anahtar yönetimi politikaları ve güvenilir bir sistemin kullanılması ve uygulanması dahil olmak üzere iyi kriptografik uygulamalar gereklidir.
- İletişim Güvenliği: Ortadaki adam saldırıları çok yaygındır ve bu noktada verilerin yalnızca dışarıdan müdahaleye karşı güvenli olduğundan değil, aynı zamanda yetkili alıcı tarafından kolayca anlaşılabilir olduğundan emin olmak önemlidir. TLS’nin güçlü bir şekilde uygulanması, protokolün uygun şekilde yapılandırılmasıyla birlikte önemlidir.
- Veritabanı Güvenliği: Geçerli veritabanı kimlik bilgileri ve gereksiz özelliklerin kapatılması, veritabanı güvenlik standartlarının sağlanması için çok önemlidir.
- Bellek Yönetimi: Son zamanlarda bellek sızıntısıyla ilgili çeşitli güvenlik ihlalleriyle birlikte, belleği güvenlikle ilgili konuların ön saflarında tutmak önemlidir. Örneğin, arabellek taşması büyük bir güvenlik açığı olabilir ve aynı durum, bağlantı nesneleri ve dosya tanıtıcıları gibi “ çöp toplama” ya güvenmek için de geçerlidir.
En yeni teknolojiler ile mevcut beceri seviyeleri arasında genellikle bir kopukluk olduğu göz önüne alındığında, programlama ve siber güvenlik söz konusu olduğunda temellere geri dönmek önemli olabilir.
Şifreleme standartlarını güncel tutmak, birçok SecOps uzmanının gözden kaçırabileceği veya yapamayacak kadar meşgul hissedebileceği önemli bir görevdir. Benzer şekilde, kodu basit tutmak genellikle daha deneyimli geliştiricilerin unutmaya meyilli olduğu bir şeydir ve bu, ilgili herkes için ileride sorunlara neden olabilir.
Siber Güvenlik ve OWASP için OZZTECH Çözümü;
Siber güvenlik, dijital hizmetler dünyayı ele geçirmeye devam ettikçe daha da kötüleşen çok yönlü bir sorundur. Bununla birlikte, bu mutlaka dünyanın sonu değildir ve özellikle OWASP aracılığıyla sunulanlar gibi standartların kolay kullanılabilirliği ile iyi bir siber güvenlik kesinlikle elde edilebilir.
Güvenlik geliştiricilerinin belirli beceri setini dikkate almak da önemlidir. Yalnızca güvenlik kimlik bilgilerini korumakla kalmayıp aynı zamanda profesyonel olarak büyümelerine yardımcı olun. Güvenlik söz konusu olduğunda amaç her zaman gerici olmak değil yenilikçi olmaktır.