ICT Media
Şirketler için web uygulamalarındaki riskler, fidye yazılımları kadar ilgi çekmiyor ancak geçtiğimiz yılların en büyük veri sızıntılarından biri, web uygulamaları aracılığıyla yapılan başarılı saldırılardan kaynaklandı. 2017’de kullanılan uygulamalar arasından incelenen onlarca örnekte uygulama başına 11 zafiyet bulundu. Uygulamalardaki güvenlik zafiyetlerinden kaynaklanabilecek zararları gözden kaçırmamak gerektiğinin altını çizen Komtera Teknoloji güvenlik uzmanları, web uygulamalarının bir risk oluşturmasını engellenmesi için önerilerde bulunuyor.
Umursanmayan veya bilinmeyen zafiyetlere sahip web uygulamalarının şirket işlerinde kullanılması, siber saldırılara ve dolayısıyla veri kaybı gibi zararlara davetiye çıkarıyor. Trustwave Spiderlabs’ın 2017 boyunca incelediği web uygulamaları arasında güvenlik zafiyetine sahip olmayan hiçbir web uygulaması bulunamazken, zafiyet sayısının bir uygulamada 154’e bile çıkabildiği gözlemlendi. Siber saldırganlar, web uygulamalarının tasarım, uygulama ve geliştirme aşamalarında yapılan çeşitli insan hatalarını veya ihmallerini fark ederek detaylı bir planlama yapıyor ve hangi tekniklerle saldıracaklarına karar veriyor. Ancak maalesef şirketlerdeki güvenlik ekipleri veya uygulama geliştiricileri bu saldırılara karşı yeterli önlem almıyor. Güvenlik ekiplerinin, öncelikle kullanılan uygulamalardaki eksikliklerin hepsini güncellemelerle kapatarak uygulamaların güvenliğini güçlendirmeleri gerekiyor.
Bilişim güvenliği alanındaki dağıtım ve çözümleriyle pazarda lider konumda bulunan Komtera Teknoloji güvenlik uzmanları, web uygulamalarındaki açıklar kullanılarak yapılan saldırılara karşı şirketinizi güvende tutmanızı sağlayacak 3 önemli yol öneriyor.
1. Zafiyet Taraması ve Güvenlik Testleri
Bir uygulamanın tasarlama, çalıştırma, geliştirme ve güncelleme aşamalarının hepsinde uygulama veri tabanının taranarak test edilmesi, zafiyetlerin nerelerde bulunduğuna ve ne kadar tehlikeli olduklarına dair oldukça faydalı sonuçlara ulaştırır. Bu veriler ile web uygulamaları aracılığıyla yapılacak saldırıları nasıl önleyebileceğinize, gerçekçi bir perspektif ile karar verebilirsiniz.
Fark ettiğiniz güvenlik zafiyetlerinin kaç tanesini onarmaya çalışacağınız sizin risk almaya ne kadar gönüllü olduğunuzla ilgilidir ancak ne kadar zafiyet kalırsa, veri kaybına ve diğer türlü zararlara uğrama ihtimalinin de bir o kadar artacağı unutulmaması gerekir.
2. Güvenlik Duvarları
Web uygulamaları için kullanılan güvenlik duvarları, hassas verilerinizin ve şirketinizde en çok kullandığınız uygulamaların güvenliği için çok doğru bir savunma yöntemidir. Güvenlik duvarları, uygulamalardaki web trafiğini, şüpheli hareketleri ve güvenlik için konulan kuralları denetler. Güncel olmayan özellikleri de tespit etmesiyle gündemde olan saldırı tekniklerinden kaynaklanan bir zarar oluşmadan zafiyetleri ortaya çıkartır.
3. Güvenlik Eğitimleri
Ekibinizdeki uygulama geliştiricilerine, uygulamaları test edenlere, proje yöneticilerinize ve bilgi işlem uzmanlarına yazılımların güvenlik seviyesini artırmaya dair eğitimler vermeniz ve en son siber saldırılar hakkında onları bilgilendirmeniz, ekibinizin bir güvenlik bilincine sahip olmalarını sağlar.
