Önlenebilecek 7 Uygulama Güvenliği Riski

1. Giriş#

Uber, MGM Resorts, CircleCI, Ticketmaster ve diğer birçok işletme dahil olmak üzere büyük şirketler, saldırganların kullanıcı hesap sistemlerine yetkisiz erişim sağlamasının ardından Eylül 2022'den Mayıs 2024'e kadar güvenlik ihlalleriyle karşı karşıya kaldı. Saldırılar, yüz milyonlarca dolardan fazla hasara neden olurken 600 milyondan fazla kullanıcının kişisel verilerini açığa çıkardı ve o dönemin eski kimlik doğrulama sistemleri bu güvenlik ihlallerini önleyebilirdi.

Hikaye, sofistike sıfır gün (zero-day) açıklarına veya siber güvenlik saldırganlarının saldırılarını gerçekleştirmek için bilinmeyen güvenlik açıklarını kullandığına dair hiçbir kanıt sunmuyor. Bu örnekler, kuruluşların güvenlik ihlallerini önlemede nasıl başarısız olduğunu ortaya koymaktadır. Çoğu, MFA yorgunluğu (MFA fatigue) saldırılarının farkındaydı ancak bunlara karşı korunmada başarısız oldu; parola tabanlı sistem zafiyetlerini kabul ettiler ancak kullanmaya devam ettiler.

2. Eski Kimlik Doğrulama Hataları#

Zayıf veya eski kimlik doğrulama sistemleri, saldırganlar için yaygın bir giriş noktasıdır. Kuruluşlar, kimlik avı koruması sağlayan yerleşik geçiş anahtarı kimlik doğrulama sistemlerine erişime sahip olmalarına rağmen, güvenlik ihlallerinin çoğu saldırganların çalınmış veya daha önce kullanılmış parolaları elde etmesiyle başlar. 2023 MGM Resorts ihlali, saldırganların yardım masası BT desteğine ulaşmak için vishing kullanmasıyla başladı; bu da onların kimlik bilgilerini sıfırlamasına, ardından fidye yazılımı dağıtmasına ve yedi günlük sistem kesintisine neden olmasına olanak sağladı.

MGM ve diğer kuruluşların güvenlik sistemleri, parolaları SMS tabanlı iki faktörlü kimlik doğrulama (2FA) ile birlikte kullanıyordu; bu da sosyal mühendislik saldırılarına ve kimlik bilgisi hırsızlığına karşı koruma sağlayamadı. Kuruluşlar, güvenlik tehditlerini anlamalarına rağmen daha iyi kimlik doğrulama sistemleri kuramadılar, mevcut sistemleri ve iş süreçleri değişiklik yapmalarını engelledi.

Açık anahtar kriptografisi (public-key cryptography) ve biyometrik kimlik doğrulama kullanan geçiş anahtarları, bu saldırıların başarılı olma riskini önemli ölçüde azaltabilirdi. Geçiş anahtarları, kullanıcının uzaktan erişim veya yardım masası desteği aracılığıyla sıfırlama kodlarını paylaşarak bunları sıfırlayamaması nedeniyle parolalardan daha güvenlidir ve bu durum sosyal mühendislik saldırılarına karşı koruma sağlar. Geçiş anahtarlarının güvenliği, hesap kurtarma süreçlerinin uygun şekilde güvence altına alınmadığı ve cihazlara kötü amaçlı yazılım bulaştığı belirli saldırı yöntemlerine karşı hala savunmasız kalmaktadır.

3. Oturum ve Çerez Tabanlı Saldırılar#

Saldırganlar çerezleri elde etmeye odaklanırlar çünkü bunlar sisteme erişim sağlamaya ve tüm kimlik doğrulama prosedürlerini atlatmaya yardımcı olur. 2022 CircleCI ihlali, bir çalışanın dizüstü bilgisayarındaki bilgi çalan (infostealer) kötü amaçlı yazılımın aktif oturum çerezlerini nasıl kolayca çalabileceğini göstererek bunu vurgulamaktadır. Bunları kullanan saldırganlar, iki faktörlü kimlik doğrulamayı atlattı ve üretim sistemlerine erişim kazandı.

Oturum çerezleri, taşıyıcı (bearer) belirteçleri ile erişim kontrollerini aşmanın bir aracı olarak hizmet eder ve hassas veri ifşasını kolaylaştırır. Bu tür aksilikleri önlemek için kuruluşlar, oturumları belirli cihazlara bağlamak için kriptografik yöntemler kullanarak kullanıcıları oturum hırsızlığından koruyan Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC) uygulayabilir. Bu, diğer bilgisayarlardan çalınan çerezlerin kullanılmasını imkansız hale getirir. DBSC sistemi, çeşitli cihazlarda çalışan bilgi çalan kötü amaçlı yazılımlara karşı etkili bir koruma sunar ancak kötü amaçlı yazılım başlangıçta kaydedilen cihaza bulaştığında saldırıları durduramaz.

4. Bozuk Yetkilendirme#

Saldırganlar uygulamadaki erişim kontrolünü ihlal ettiklerinde, izinlerini dikkate almadan yatay (lateral) olarak hareket edebilirler. Yetkilendirme açıklarından kaynaklanan güvenlik riski yüksek olmaya devam ediyor çünkü saldırganlar, birden fazla ağ ihlali sırasında sistem bileşenleri arasında gezinmek için yetersiz erişim kontrollerini başarılı bir şekilde kullandılar.

IDOR (Güvensiz Doğrudan Nesne Referansı) güvenlik açıklarını belirlemek için uygulama geliştiricileri, temel erişim yönetimi yapılarını saptamak amacıyla kavram tabanlı tehdit modellemesi kullanmalı ve hizmet hesabı izinlerini doğrulamak için kod inceleme (code review) süreçleri uygulamalıdır.

En az ayrıcalık (least-privilege) modeli yerine karmaşık rol atamaları ve izin yönetimini tercih etmek, kuruluşları yetkilendirme sorunlarına karşı savunmasız bırakabilir. Karmaşık rol atamaları, müşteriye dönük uygulamalarda hassas bilgilere ve işlevlere yetkisiz erişime yol açabilir. Güvenli bir yetkilendirme çerçevesi olmayan kuruluşlar, verilerini yetkisiz erişime ve işlemlere karşı koruyamaz.

B2C güvenlik sorunlarındaki artışla birlikte, tehlikeye giren tek bir hesap, birden çok kullanıcı hesabına önemli ölçüde zarar verebilir. Kuruluşlar, ayrıcalıklı erişim yönetimi uygulayarak, çalışanlarına ve müşterilerine yalnızca işlerini yapmaları için gereken en az erişimi verebilirler. Buna ek olarak, düzenli kavram tabanlı tehdit modellemesi ve kod incelemesi, risklerin ve güvenlik açıklarının kolayca tespit edilmesine yardımcı olabilir.

5. Güvensiz Yapay Zeka Entegrasyonları#

Üretken yapay zeka (GenAI) ve büyük dil modellerinin (LLM) uygulamalara hızlı entegrasyonu, geleneksel kontrollerin bu değişiklikleri algılama yeteneğini geride bırakarak öngörülmeyen bir güvenlik riskine neden oldu. 2024 Snowflake ihlali, tehdit aktörlerinin çok faktörlü kimlik doğrulama uygulamayan Snowflake müşteri ortamlarına girmek için bilgi çalan kötü amaçlı yazılım saldırılarından elde edilen çalınmış kimlik bilgilerini nasıl kullandığını göstermektedir. Saldırı, Ticketmaster'ın 560 milyon müşteri kaydı ile AT&T ve Santander Bank'ı içeren 165'ten fazla kuruluşu tehlikeye attı.

Kuruluşlar genellikle yapay zekayı BT ortamının temel bir parçası olarak kabul etmekte başarısız olurlar, bu da modeller, vektörel veri depoları ve yapay zeka ardışık düzenleri (pipelines) gibi yapay zeka kaynaklarını yanlış yapılandırma ve siber saldırı risklerine karşı savunmasız bırakır. Çoğu kuruluş, yetkisiz kişilerin dahili tespit olmadan kimlik bilgilerine dayalı saldırılar gerçekleştirebildiği "gölge yapay zeka" (shadow AI) nedeniyle yapay zeka sistemlerini etkili bir şekilde izlemekte zorlanır.

Kuruluşlar, girdi doğrulama, izolasyon ve sürekli izleme gibi temel kontrolleri diğer BT altyapılarına yaptıkları gibi yapay zeka sistemlerine de uygulasalardı bu güvenlik olayları önlenebilirdi. Kuruluşlar, tüm yapay zeka kaynaklarının eksiksiz bir envanterini sağlayan Yapay zeka güvenlik araçları kullanarak yanlış yapılandırmaların belirlenmesini ve düzeltilmesini otomatikleştirebilirler.

6. Bulut ve Çalışma Zamanı Ortamı Yanlış Yapılandırmaları#

Açığa çıkan depolama paketleri (storage buckets), aşırı izin veren güvenlik grupları ve açığa çıkan kapsayıcılar (containers) dahil olmak üzere buluttaki yanlış yapılandırmalar güvenlik olaylarıyla sonuçlanabilir. 2022 ePallet ihlali, yanlış yapılandırılmış bir Amazon S3 paketinin, araçlarını kullanan diğer işletmelerin hassas müşteri verilerini açığa çıkarabileceğini gösterdi. Saldırganlar hassas bilgilere erişmek için iki ana vektör kullandı: korumasız depolama paketleri ve etkisiz erişim kontrollerine sahip güvenlik grupları.

Temel Uyumluluk Taraması (Compliance Scanning), bu saldırıların iki ana kaynaktan, yani kullanıcıya özgü verilerin bulunduğu herkesin erişebildiği depolama alanından ve açığa çıkan sanal yönetim bağlantı noktalarından (ports) kaynaklandığını göstermektedir. Kuruluşlar bu yanlış yapılandırmaları uyumluluk için kısa vadeli çözümler olarak görebilirler ancak çoğu güvenlik ihlal noktaları haline gelir.

Yanlış yapılandırmaların belirlenmesi ve düzeltilmesi, saldırganların güvenlik açıklarından yararlanma riskini önemli ölçüde azaltan sürekli bulut güvenlik duruş yönetimi (CSPM) veya çalışma zamanı güvenlik denetimleri aracılığıyla devamlı olarak yapılmalıdır. Kuruluşlar yanlış yapılandırmaları bulmak için otomatik tarama ve izleme araçlarını kullanabilir ve izleme platformu daha sonra bunları düzeltebilir.

7. SDLC'de Eksik Güvenlik#

Güvenlik işlevleri yazılım geliştirme sürecine uygun şekilde entegre edilmediğinde güvenlik açıkları üretim sürecine girer. Bir kripto girişiminin CI/CD ardışık düzenindeki yanlış yapılandırılmış GitHub eylemi, saldırganların 800 ABD doları değerinde kripto para madenciliği yapmasına yardımcı olarak AWS kimlik bilgilerini sessizce paylaşıyordu.

SAST/DAST, güvenli kod incelemesi ve bağımlılık taraması yaygın güvenlik açıklarını belirleyebilir. Bunlar enjeksiyon saldırılarından güvensiz serileştirmeyi kaldırmaya (insecure deserialization) ve güvensiz doğrudan nesne referanslarına kadar değişebilir, ancak güvenliğe hiç dikkat edilmediğinde bu sorunlar devam eder.

Güvenliğin yazılım geliştirme yaşam döngüsüne (SDLC) entegrasyonu, geliştiricilerin güvenlik açıklarını tespit edip çözmelerini ve bunları üretime dağıtımdan önce web uygulamalarına uygulayabilmelerini sağlar. Bu sorunların önlenmesi, kuruluşların otomatik tarama, bağımlılık yönetimi ve güvenli kod incelemeleri gibi üç temel güvenlik uygulamasını hayata geçirmesini gerektirir.

8. Yetersiz İzleme ve İyileştirme Süreçleri#

Kuruluşlar, uyarı göstergelerini tanıyamadıkları ve sistem anormallikleri için tanımlanmış düzeltme (remediation) süreçlerinden yoksun oldukları için büyük ölçüde güvenlik ihlalleri yaşamaya devam ediyor. Işığında bulunduğumuz 2022 Uber ihlalinin gösterdiği gibi, bilgisayar sistemlerini tutarlı bir şekilde izlemeli ve güvenlik ihlalleri için mevcut sektör standartlarını izleyerek net bir yanıt prosedürü oluşturmalıdırlar. Güvenlik olaylarının kapsamlı günlükleri (logs) olmadan, kuruluşlar kimlik bilgisi doldurma (credential stuffing), olağandışı cihaz erişim girişimleri veya anormal token işlemlerini izlemekte zorlanırlar.

Topladıkları bilgilerin güvenlik hakları kötüye kullanımının erken tespiti için yeterli ayrıntıdan yoksun olması nedeniyle kuruluşlar, kimlik doğrulama ve oturum açma girişimlerini algılamayı veya kullanıcı kayıt olaylarını kaydetmeyi zor bulmaktadır.

Kuruluşun sistemleri, gizlilik odaklı telemetri ve otomatik, algoritmik yanıt prosedürleri aracılığıyla anormal olayları tanımlar ve yönetir. Yapay zeka algılama ve yanıt yetenekleri, kuruluşların güvenlik olayları arasındaki ilişkileri belirlemesine ve ihlallerin oluşmasını durdurmasına yardımcı olacaktır.

9. Sonuç#

MGM, Snowflake, Uber ve CircleCI ihlallerini incelemenin en sinir bozucu kısmı, bu olayların önlenebileceğini anlamaktır. Olay kaçınılmaz hale geldi çünkü mevcut teknoloji, güvenlik odaklı işletmelerin kimlik doğrulama sistemleri için halihazırda kullandıkları gerekli yeteneklerden yoksundu.

Bu rapordaki tüm kuruluşlar, sistemleri ihlal edilmeden önce geçiş anahtarlarını dağıtma imkanına sahipti. Geçiş anahtarları 2022-2024 yılları arasında mevcut ve olgun bir teknoloji iken, Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC) 2024'e kadar yaygın olarak mevcut değildi. Sistem; MFA zorunluluğu, ağ izin listeleri (allowlists), en az ayrıcalıklı IAM ve izleme gibi çoklu bulut güvenlik kontrollerini içeriyordu. Ancak, tam koruma için bu kontrollerin manuel olarak kurulması gerekiyordu.

Bazı kuruluşların güvenlik ekipleri bu kontrolleri destekledi, ancak şirket genelindeki değişime karşı direnci yenmeyi başaramadılar. Sonuç, 600 milyondan fazla kişinin kişisel verilerinin açığa çıkmasına, yasal incelemelere ve yüz milyonlarca doları aşan toplam kayıplara yol açtı.

Kuruluşlar, kimlik bilgilerine dayalı saldırıların giderek artan bir hızla çoğalacağını gösteren araştırmalar yürüttüler, bu nedenle kuruluşların bu kritik güvenlik tehdidini derhal ele alması gerekmektedir. Kuruluşunuzun, diğer kuruluşların sizin güvenlik başarısızlığınızı kendi ihlal soruşturmalarında bir örnek olarak kullanmasından önce mi yoksa sonra mı modern kimlik doğrulama sistemlerini benimseyeceğine karar vermesi gerekmektedir.

Uygulama güvenliği araçları mevcuttur ve karmaşık bir kurulum prosedürü gerektirmeyen basit bir süreç üzerinden otomatik olarak çalışırlar. Yatırım getirisi (ROI) ölçülebilirdir. Güvenlik topluluğu, kimlik doğrulamayı modernleştirmenin temel bir güvenlik kontrolü olduğunu anlamasını sağlayacak aciliyet duygusundan yoksundur. Kuruluşun derhal harekete geçmesi gerekiyor çünkü bir sonraki yardım masası çağrısı, kimlik avı e-postası veya bilgi çalan (infostealer) yazılım yükü yüz milyon dolarlık bir olaya dönüşecektir.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sıkça Sorulan Sorular#

CircleCI ihlali iki faktörlü kimlik doğrulamayı nasıl atlattı?#

2022'deki CircleCI ihlalinde, bir çalışanın dizüstü bilgisayarındaki bilgi çalan kötü amaçlı yazılım, aktif oturum çerezlerini doğrudan çaldı. Oturum çerezleri anında erişim sağlayan taşıyıcı (bearer) belirteçleri işlevi gördüğünden, saldırganlar bunları iki faktörlü kimlik doğrulamayı tamamen atlatmak ve üretim sistemlerine ulaşmak için kullandı.

Güvenlik açısından DBSC ve standart oturum çerezleri arasındaki fark nedir?#

Standart oturum çerezleri, bilgi çalan kötü amaçlı yazılımlar tarafından çalınabilir ve herhangi bir cihazdan yeniden kullanılarak kimlik doğrulama kontrollerini atlatabilir. Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC), bir oturumu onu oluşturan belirli cihaza bağlamak için kriptografik yöntemler kullanır, bu nedenle çalınan çerezler saldırgan tarafından kontrol edilen makinelerden yeniden oynatılamaz (replayed).

Bozuk erişim kontrolü Snowflake ihlalinde neden bu kadar yaygın bir hasara yol açtı?#

Snowflake ihlali, 165'ten fazla müşteri kuruluşunu tehlikeye attı çünkü bireysel kiracı (tenant) ortamlarında MFA zorunluluğu yoktu, yani çalınan bir dizi kimlik bilgisi, tüm müşteri veri depolarının kilidini açabiliyordu. Sadece Ticketmaster'da bu tek kontrol eksikliğinin bir sonucu olarak 560 milyon müşteri kaydı ifşa oldu.

Hangi SDLC güvenlik hatası GitHub Actions kripto para madenciliği olayına yol açtı?#

Bir kripto girişiminin CI/CD ardışık düzenindeki yanlış yapılandırılmış bir GitHub Actions iş akışı, AWS kimlik bilgilerini saldırganlara sessizce sızdırıyordu ve onlar da bunları 800 ABD doları değerinde kripto para madenciliği yapmak için kullandılar. Makale, otomatik SAST/DAST taraması, bağımlılık yönetimi ve güvenli kod incelemelerini, üretim dağıtımından önce bu yanlış yapılandırmayı yakalayabilecek üç uygulama olarak tanımlıyor.