Owasp Kim?

Açık Web Uygulama Güvenliği Projesi (OWASP), web uygulama güvenliği alanında ücretsiz olarak kullanılabilen makaleler, metodolojiler, belgeler, araçlar ve teknolojiler üreten çevrimiçi bir topluluktur. Owasp gönüllülük esasıyla her üç (3) ila dört (4) yıllık periyotlar ile en güncel on (10) web aplikasyon zafiyetlerini yayınlamaktadır.

Şimdilik taslak olmasına rağmen güzel ve ilgi çekici Top 10 listesi yayınladı. Bu listeye göre teknik insanların daha da teknik olması gerekeceğini, siber güvenlik kavramlarının yavaş yavaş değişeceğinin göstergesi olacağını görmekteyiz.

Şimdi gelin yayınlanan 2017 top 10 listesi ile 2021 top 10 listesini karşılaştıralım.

Listeleri karşılaştırdığımızda;

  • 2017 listesinde 5. Sırada olan Broken Access Control (Bozuk Erişim Kontrolü) 2021 listesinde 1. Sıraya yükseldiğini görmekteyiz. Broken Access Control özetle, yetkisi olmayan kullanıcın birtakım işlemler yapabilmesine olanak sağlayan tehlikeli bir zafiyet ve saldırı çeşididir.
  • 3. Sırada olan Sensitive Data Exposure (Hassas Verilere Maruz Kalma) 2021 listesinde 2. Sıraya yükseldiğini görmekteyiz. Fakat dikkat edilmesi gereken bir nokta var ki oda var olan zafiyet ismi yerine Cryptographic Failures ( Şifreleme Hataları) olarak isimlendirilmiştir. Odak noktası kriptografiyle (veya bunların eksikliğiyle) ilgili hatalardır. Bu genellikle hassas verilerin açığa çıkmasına neden olur.

Konuyu daha da açmak ve neden zafiyet ismi değiştiğini soracak olursanız;

Örneğin, parolalar, kredi kartı numaraları, sağlık kayıtları, kişisel bilgiler ve ticari sırlar, özellikle bu veriler gizlilik yasaları, AB’nin Genel Veri Koruma Yönetmeliği (GDPR) veya yönetmeliklerin getirdiği sorumluluklar. Finansal veri koruması kapsamındaysa ekstra koruma gerektirir. PCI Veri Güvenliği Standardı (PCI DSS) vb. durumların önem kazanmasıdır.

Tüm bu veriler için aşağıdaki gibi soruların cevap bulmasını sağlayacak bir zafiyet çeşidi olarak artık hayatımıza girmiş bulunmaktadır.

  • Herhangi bir veri açık metin olarak aktarılıyor mu? Bu, HTTP, SMTP ve FTP gibi protokollerle ilgilidir. Harici internet trafiği tehlikelidir. Yük dengeleyiciler, web sunucuları veya arka uç sistemler arasındaki tüm dahili trafiği doğrulamak gerekecektir.
  • Varsayılan olarak veya daha eski kodda kullanılan eski veya zayıf şifreleme algoritmaları var mı? Bunlara bakılması gerekecektir.
  • Varsayılan şifreleme anahtarları kullanımda mı, zayıf şifreleme anahtarları oluşturuldu mu veya yeniden kullanılıyor mu, uygun anahtar yönetimi var mı?
  • Şifreleme uygulanmıyor mu? Örneğin, herhangi bir web tarayıcısı güvenlik yönergesi veya başlığı eksik mi?
  • Web tarayıcısı (ör. uygulama, posta istemcisi) alınan sunucu sertifikasının geçerli olup olmadığını doğrulayabiliyor mu?
  • 2017 listesinde 4. Sırada olan XML External Entities (Xml Harici Varlıklar) ve 2017 listesinde 6. Sırada bulunan Security Misconfiguration (Güvenlik Yanlış Yapılandırması) 2021 listesinde 5. Sırada tek bir Security Misconfiguration başlık çatısı altına girdiğini görmekteyiz.
  • 2017 listesinde 7. Sırada olan Cross Site Scripting (Siteler Arası Komut Dosyası Oluşturma) ve 2017 listesinde 1. Sırada bulunan Injection (Enjeksiyon) 2021 listesinde 3. Sırada tek bir Injection başlık çatısı altına girdiğini görmekteyiz.

Tüm başlıkları açıklamak yerine, 2021 Owasp Top 10 listesinin bizce en vurucu noktasına dikkat çekmek gerekirse, 4. Zafiyet olarak karşımıza gelen Insecure Design (Güvensiz Tasarım) ilgi odağımız haline gelmektedir.

Peki, Neden?

Çünkü, siber güvenliğin en temel unsurlarından biridir. Temeli sağlam olmayan bina bir gün çöker. Bina örneğindeki gibi kurumlar daha en başında güvenlik mimarilerini doğru kurgulamaz ise günün birinde veri sızıntıları, çalışan sistemlerin durdurularak ekonomik anlamda zarara uğraması vb. durumları yaşamaya mahkûm olacaktır.

Bizlerin de felsefesinde var olan sürdürebilirlik kavramı burada devreye girmektedir. Kurgunuzun en başında çok iyi bir güvenlik mimarisi tasarlasınız da teknolojinin gelişme hızına bağlı olarak yapmış olduğunuz mimariler hızlı bir şekilde eskiyecektir. Dolayısı ile siber saldırı potansiyeline dönüşecektir. Bu sebeple güvenli tasarımların sürdürülebilir olması gereklidir. Sürdürülebilir olabilmesi için de kurum içi ve outsource olarak MSSP kurguları planlanmalı ve hayata geçirilmelidir.

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

< Önceki Sonraki >