Üretimde Bulut Tabanlı Web Uygulamalarına Dikkat

Yapılan araştırmalar üretim sektöründeki bulut tabanlı web uygulamalarının yüzde 70’inin güvenlik açıklarına sahip olduğunu gösteriyor. Veri sızıntılarının yol açtığı riskler işletmeler ve paydaşları arasında domino etkisi yaratabilecek kadar kritik.

Platformuna kayıtlı yüzlerce uzman araştırmacıyla şirketlerin siber güvenlik testleri ihtiyacını hızlı, hesaplı ve etkin bir şekilde çözen BugBounter.com, yüzde 40’ından fazlasının aktif olarak veri sızdırdığı görülen web uygulamalarının, var olan en yüksek güvenlik risklerinden biri olduğunun altını çiziyor.

Web, mobil ve API tabanlı arayüzler aracılığıyla internete maruz kalan uygulamaların artan yaygınlığının saldırı yüzeyini nasıl artırdığını özetleyen AppSec Stats Flash Volume 3 raporuna göre, bu uygulamalar nedeniyle üretim sektörünün saldırılara karşı özellikle savunmasız olduğunu ve uygulamaların yüzde 70’inde son 12 ayda en az bir ciddi güvenlik açığına rastlandığını belirtildi.

Araştırmacılar, raporun bulguları arasında son üç ayda internete bağlı uygulamalarda bulunan en önemli beş güvenlik riskinin, bilgi sızıntısı, uzun oturum süreleri, siteler arası komut dosyası çalıştırabilme (XSS), yetersiz aktarım katmanı güvenliği (TLS) ve içerik sahtekarlığı olduğunu belirtiyor.

BugBounter.com Kurucu Ortağı Arif Gürdenli, konuyla ilgili şunları söyledi: “Ticaretin ve iş akışlarının her zamankinden de yoğun bir şekilde internet üzerinden yapıldığı açık bir dünyada, bulut uygulamaları küresel ekonominin kritik bir alt yapısı. Bununla birlikte, bulutta bugün daha fazla web tabanlı uygulama ve veri bulunması aynı zamanda daha geniş veri ihlali riski anlamına geliyor: Uygulamalar, web, mobil ve API tabanlı arayüzler üzerinden erişim ile giderek polimorfik yani çok-biçimli hale geldi. Bu da uygulama güvenliği bakış açısını çok boyutlu ve çok detaylı bir hale getiriyor. Üretim sektöründe ihlal riskini azaltmak isteyen kurumların; halka açık uygulamaların envanterini çıkarmak, bunları düzenli olarak farklı yöntemlerle taramak ve üretimi etkileyecek güvenlik sorunlarını gidermek için risk temelli bir yaklaşım benimsemek gibi önlemler alması gerekiyor.”

Tedarik Zinciri Tehditleri

Tedarik zinciri üzerinden gerçekleştirilen saldırılar özellikle büyük zararlar verebiliyor çünkü bunlar, ağırlıklı olarak API tabanlı entegrasyonlar yoluyla her an bağlı olan sistemleri ve iş uygulamalarını etkiliyor.

Bu tehdit, raporun bir başka önemli bulgusuyla birleşiyor: Bir kurumun kritik güvenlik açıklarını düzeltmek için harcadığı ortalama süre 6 ay. Bu da kötü niyetli hackerların sistemlere sızmasını kolaylaştırıyor.

En büyük risk üretim sektöründe

Üretim sektörünün kullandığı web uygulamalarının sahip olduğu güvenlik açıkları, saldırılara karşı daha zayıf. Bunun nedeni, geleneksel olarak bu sektörün çalışma modellerinin doğal olarak internete bağlı kurgulanmamış olması. Endüstri 4.0 ile birlikte gelen teknolojik gelişmeler üretim sektörünün hızla eski sistemlerini ve yazılımlarını dönüştürmesine yol açtı.

Üretimi daha büyük risk altına sokan bir başka faktör de tedarik zincirlerinin artık yazılım odaklı olması. Bu da kurumların tedarik zinciri paydaşlarıyla entegre olmak için başka dahili uygulamaları da açmak zorunda kaldıkları anlamına geliyor. Bu da daha önce istismar edilemeyen ama şimdi istismar edilebilir hale gelen mevcut güvenlik açıklarıyla sonuçlanıyor.