Uygulama Güvenliği

Güvenli yazılım geliştirme kavramının önemi günümüzde çok iyi anlaşılmış, bu kavram yazılım geliştirme maliyetini, süresini azaltan ve yazılımın kalitesin arttıran bir unsur olarak kabul görmüştür. Ayrıca yazılım kullanımı sırasında ortaya çıkabilecek pek çok güvenlik olayını da kaynağında engellemenin en etkili yoludur. Statik kod analizi Servisleri kaynak kodu inceleyerek, güvenlik açıklarını ve bunların nedenlerini ortaya çıkarır, açıkları önceliklendirir ve giderilmesi için izlenmesi gereken yolları belirler. Kod geliştiricilerinin en iyi uygulamalarla ilgili bilgi sahibi olmasını sağlar. Bu imkanları mobil uygulamalar da dahil olmak üzere tüm kodların incelenmesi için kullanmak mümkündür.

Web tabanlı varlıkların günümüzde ciddi bir saldırı vektörü altında olduğunu bilmekteyiz. Uygulamaların dinamik olarak test veya operasyon fazında zafiyetlerinin taranması ve raporlanması uygulama güvenliğinin önemli bir parçasıdır. Zafiyetlerin keşfedilip doğrulanması ve DevOps süreçlerine ve araçlarına entegrasyon, DAST ile mümkün hale gelmektedir.

Günümüzde uygulama geliştirme döngüsünde açık kaynakların kulanım oranının çok ciddi arttığını görmekteyiz. Kurumlarda uygulama geliştirme GitHub, npm, Maven, Pypi gibi bir çok kaynağın üzerinden indirilen kütüphaneler ve framework'ler üzerine inşa edilmektedir. Açık kaynak kodlu kütüphanelerin ve frameworklerin güvenlik taramalarının yapılması, zafiyet ve risklerinin açığa çıkarılması ve ilgili lisans ihlallerinin denetiminin yapılması ve uygulama geliştirme içerisinde güvenli bir yaşam döngüsü oluşturabilmek için yazılım komposizyon analizi ve açık kaynak güvenliği önemli bir parça haline gelmiştir.

Uygulama geliştirmede "Planlama" DevSecOps kültürünün işletilebilmesini sağlamak için ilk ve önemli adımdır. Güvenlik ekosisteminin planlama fazına adapte edilmesi uygulama geliştirme için "Security By Design" anlayışını kazandırabilmektir. Mevcut risklerin önden tespit edilip başlangıç aşamasında tespit edilmesi ve giderilmesi, DevOps 'un akan süreçlerinde olası bir güvenlik olayını minimize edecektir. Otomatize tehdit modelleme araçları sayesinde akış diyagramları kurgulanarak riskler, uyumluluk zorlukları ve tehditler bir model ile işletilebilmektedir.

Uygulama güvenliğinin temelinde yatan konu başlıklarından birisi de Yazılım Geliştiricelerin güvenlik konusunda bilinç farkındalığını arttırmaktır. Güvenli yazılım geliştirme yaşam döngüsünde geliştiricilerin OWASP Top 10, yeni atak vektörleri gibi temel güvenlik eğitimlerini alması çok kritiktir. Yeni nesil "challenge" platformları sayesinde her yazılım geliştiricinin süreklilik dahilinde güvenlik farkındalığının artmasının yanı sıra motivasyon yönetimi de sağlanabilmektedir.

"Monolitik mimariden mikroservis mimarisine doğru giden bulut çalışma temelli yeni nesil uygulama mimariler günümüz transformasyonun en popüler Servislerinden bir tanesidir. Bu çerçevede kullanılan dockerized ortamlar, Public-Private Cloud mimarileri, kubernetes cluster 'ları güvenlik ekosistemi içerisinde yeni güvenlik problemleri doğurmuştur. Konteynır güvenliğinde bu ortamlarda kullanılan dockerized imajların zafiyet tespiti en temel konu iken gerçek zamanda koşan ortamlarda (runtime) da bu imajların doğurabileceği güvenlik risklerinin de tespiti önemlidir. Mikroservis seviyesinde güvenlik duvarı, IPS, WAF yetenekleri, konteynır alanlara yetkili erişim yönetimi, şifre kasası yönetimi, proses kontrolü, uyumluluk ve regülasyon uyumluluğu gibi bir çok diğer başlık konteynır güvenliği çözüm kümesi içerisinde çözülmek için adreslenmiştir."

Her geçen gün artan web servisleri kurumların iş süreçleri içerisinde önemli bir yere sahiptir. Birçok kurum gün içerisinde dışarıya açtığı web uygulamaları ve web API 'lerine gelen yüzlerce farklı atak ile mücadele etmek durumundadır. Web Uygulama güvenlik duvarları web servislerine gelen trafiği in-line bir şekilde inceler, tespit eder ve zararlı trafiği de engelleme yeteneğine sahiptir. Negatif ve pozitif güvenlik anlayışı ile güvenlik modelleri ile tasarlanabilen WAF Servisleri yeni nesil mikroservis mimarilerine de uygun olarak entegre olması önemlidir.

Kurumların uygulamalarına sadece bilinen ataklar meydana gelmez. Saldırganlar web uygulama ele geçirmek veya istismar etmek için birden fazla farklı yöntem kullanmaktadır. Kimlik hırsızlığı, sahte hesap kullanımı, kişisel verilerin istismar edilmesi, web scraping, BOT kullanımı gibi yöntemler sayılabilir. WAF araçları ile tespit edilmesi zor olan bu atak vektörlerini tespit edebilmek için yeni nesil tespit sistemleri kullanılması etkili olabilmektedir.

"Mobil ve web uygulamaların kurumlar içerisinde ciddi olarak geliştirilmesi ile bu kanallar üzerinden gelen dolandırıcılık aktiviteleri de ciddi oranda artmıştır.

Dolandırıcılık faaliyetlerinde saldırganların siber saldırı vektörlerini ve metotlarını kullanması ile tespit etme mekanizmalarında yeni yeteneklere sahip olması gerekir. OFD teknolojisi, mobil SDK, web JS toplayıcıları sayesinde kullanıcıların zararlı işlem yapmasını (özellikle bankacılık işlemleri) önüne geçmesini sağlayabilmektedir. Tehditlerin tespitinin yanı sıra cihaz profilleme, kullanıcı davranış analitiği, navihgasyon kontrolü ile de diğer dolandırıcılık aktiviteleri tespit edilebilmektedir."