Çoğu kuruluş için web uygulaması güvenliği, Açık Web Uygulaması Güvenlik Projesi (OWASP) İlk On Web Uygulaması Güvenlik Riskini ele almak üzere tasarlanmış çözümlerle başlar[1]. Bu riskler SQL enjeksiyonu ve siteler arası komut dosyası oluşturma (XSS) gibi en yaygın web uygulaması saldırı vektörlerini içerir. Bununla birlikte OWASP, "uygulamalar için ciddi bir risk teşkil eden" sınırsız dosya yükleme[2] gibi düzinelerce ek güvenlik açığını da kataloglamaktadır.
OPSWAT Kısa süre önce yayınlanan 2021 Web Uygulama Güvenliği Raporu, ankete katılan şirketlerin neredeyse tamamının (%99) dosya yüklemelerinden kaynaklanan kötü amaçlı yazılımlara ve siber saldırılara karşı çeşitli derecelerde koruma sağlama konusunda endişeli olduğunu ortaya koyuyor. Kuruluşlar dosya yükleme portallarını form ve uygulama gönderme ya da içerik paylaşma ve üzerinde işbirliği yapma gibi çeşitli nedenlerle kullanmaktadır. Dosya yükleme portalına sahip kuruluşların yarısından fazlası (yüzde 51) günde 5.000'den fazla dosya yükleme işlemi gerçekleştirmektedir. Bu hacim (3. taraf kaynaklardan gelen gönderimler de dahil olmak üzere) bilgisayar korsanlarının faydalanabileceği geniş bir saldırı yüzeyi sağlamaktadır.
OPSWAT Dosya Yükleme Güvenliği için 10 En İyi Uygulama önermektedir, ancak dosya yükleme portallarına sahip kuruluşların yalnızca yüzde 8'i bu on uygulamanın tamamını hayata geçirmiştir. Dosya yükleme portallarına sahip kuruluşların yarısından fazlası bu en iyi uygulamaların yarısından daha azını uygulamıştır. Bu durum, özellikle hedefli saldırılardaki hızlı artış göz önüne alındığında, web uygulama güvenliği stratejilerinde önemli bir kör noktadır.
Siber saldırıların sürekli gelişen ve giderek daha sofistike hale gelen doğası büyük bir zorluktur. Kuruluşlar geleneksel 'kutuyu işaretle' savunmalarına güvenemezler. Yarım yamalak önlemlere güvenmek yanlış bir güvenlik hissi verir ve kritik altyapı koruması için hayati önem taşıyan sıfır güven yaklaşımıyla uyumlu değildir. Bunu akılda tutarak, çürütülmesi gereken birkaç yaygın web uygulaması güvenlik efsanesine bakalım.
Efsane #1: Web My Secure Çünkü Bir Web Uygulaması Firewall (WAF) Var
GERÇEK: Çoğu kuruluş için web uygulama güvenliği bir WAF ile başlar; ne yazık ki birçok kuruluş için de orada biter. WAF'lar web hizmetlerine giden HTTP trafiğini izler ve kontrol eder, bu da onları OWASP Top Ten'i ele almak için ideal hale getirir, bu yüzden bu kadar popüler bir web uygulaması güvenlik çözümüdür. Bununla birlikte, bir WAF'ın HTTP trafiğini yönetme işlevi aynı zamanda bir sınırlamadır, çünkü bir web uygulaması aracılığıyla yüklenen dosyalar gibi diğer trafik türlerinde daha derin inceleme sağlayamaz. Bu da herhangi bir saldırının ya da içinde barındırılan kötü niyetli yükün tespit edilmeden geçip gitmesine açık kapı bırakır.
Efsane #2: My Dosya Yüklemeleri Secure Çünkü Yüklenebilecek Belirli Dosya Türlerini Sınırlandırıyorum
GERÇEK: Belirli dosya türlerini sınırlandırmanın en iyi uygulama olduğu doğrudur çünkü birçok dosya türü kötü niyetli yürütülebilir dosyalar içerebilir - aslında dosya yükleme portallarına sahip kuruluşların yaklaşık üçte ikisi zaten bunu yapmaktadır. Örneğin, bir kuruluş müşterilerine belge paylaşma sürecini kolaylaştırmak için dosya yükleme olanağı sunabilir - bu durumda .exe dosyalarını engellemek mantıklı olacaktır. Ancak, .doc ve .pdf gibi yaygın belge dosyalarını engellemek ters etki yaratacaktır. Yine de bu en yaygın belge dosyası türleri bile istismara açıktır; makrolar kötü amaçlı yükleri indirebilecek kötü amaçlı kodları kolayca gizleyebilir. Kuruluşların CDR (Content Disarm and Reconstruction) gibi önleme tabanlı bir teknoloji kullanmaları çok daha iyi olacaktır; bu teknoloji bir belgenin münferit bileşenlerinden kötü niyetli olanları ayıklayarak 'tüketilmesi güvenli' bir dosya sunar.
Efsane #3: My Web Uygulamaları Secure Çünkü Dosya Yüklemelerini Bir Anti-Virüs Motoru ile Tarıyorum
GERÇEK: Bilinen kötü amaçlı yazılımlara karşı tarama yapmak da dosya yükleme güvenliği için en iyi uygulamalardan biridir ve yine dosya yükleme portallarına sahip kuruluşların yaklaşık üçte ikisi bunu zaten yapmaktadır. Ancak kötü amaçlı yazılımlar tek bir AV motorunu kolayca atlatabilir. Ancak birden fazla AV ve kötü amaçlı yazılımdan koruma motorunu entegre etmek zor ve yoğun kaynak gerektirir. OPSWAT araştırması, yüzde 99'dan daha yüksek tespit oranlarına ulaşmak için 20'den fazla AV motoru gerektiğini, ancak kuruluşların yüzde 95'inin 20'den az AV motoruna sahip olduğunu göstermiştir. Farklı AV motorlarının yeni kötü amaçlı yazılımlara karşı tepki süreleri de farklıdır. Hem bilinen hem de bilinmeyen kötü amaçlı yazılımlara karşı önemli bir koruma olan Content Disarm and Reconstruction (CDR), dosyaları tek tek öğelerine ayırır, kötü amaçlı içeriği ortadan kaldırmak için sterilize eder ve işlevsel bir dosyaya geri yükler. Ancak, kurumların yalnızca üçte biri CDR'yi tam olarak kullanmaktadır - AV'den bile daha az.
Secure Web Uygulaması için Dosya YüklemeleriGüvenlik
Web uygulaması güvenliği söz konusu olduğunda, kuruluşların OWASP Top Ten'in ve sadece web uygulaması güvenlik duvarlarının dağıtımının ötesinde düşünmeleri gerekir. Dosya yüklemeleri söz konusu olduğunda, kuruluşların güvenlik ve üretkenliği dengelemesi gerekir - yürütülebilir dosyaları engellemek riski azaltabilir, ancak yaygın belge türlerini engellemek mümkün değildir. Aynı şekilde, kötü amaçlı yazılım taraması yaparken, tek bir AV motoru bilinen saldırıların riskini azaltabilir ancak sıfırıncı gün saldırılarına ve APT'lere karşı hala hassastır.
OPSWAT'in MetaDefender platformu, Dosya Yükleme Güvenliği için kapsamlı çözümler sunar ve eşzamanlı taramaları birden fazla AV ve Deep CDR gibi diğer önemli teknolojilerle entegre ederek kuruluşların Web Uygulama Güvenliği açıklarını kapatmasına yardımcı olur. MetaDefender Multiscanning Bilinen kötü amaçlı yazılımların yüzde 99'undan fazlasını tespit etmek için 30'dan fazla AV motorunu entegre eder. MetaDefender Deep CDR 100'den fazla yaygın dosya türünü sterilize ederek sıfır gün saldırılarını ve APT'leri önler. MetaDefender ayrıca dosya tabanlı güvenlik açıklarını tespit edebilir ve dosya yükleme güvenliği için diğer bazı temel en iyi uygulamalar olan 4.500'den fazla yaygın dosya türünü doğrulayabilir.
Günümüzde web uygulama güvenliğindeki trendler hakkında daha fazla bilgi edinmek için OPSWAT Web Uygulama Güvenliği Raporu 2021 'i okuyun.
Web uygulaması dosya yüklemelerinizin güvenliğini sağlama hakkında daha fazla bilgi edinmek istiyorsanız OPSWAT adresiyle iletişime geçin.
[1] https://owasp.org/www-project-top-ten/
[2] https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload
