“Uygulamalardaki Artış” etkin bir uygulama güvenliği risk yönetimi gereksinimini doğuruyor ve bundan kaçmak neredeyse imkansız hale geliyor. Bir tüketici olarak alışverişe gittiğinizde, önemli bir etkinliğe katıldığınızda, sosyal medyada içerik yayınladığınızda ya da radyo dinlerken içerik sağlayıcılarından yeni, özelleştirilmiş uygulamaları yüklemeye teşvik edilirsiniz. Benzer şekilde, tüketicilerin yeni ya da güncellenmiş işlevsellik talepleri de yazılım döngüsü sürelerini kısaltıyor ve yazılım tabanlı oyunlar, sağlık uygulamaları ve sık kullanılan sosyal medya içeriğinin sürekli gelişen sürümlerinin artmasına yol açıyor.
Pazardaki bu durumun bir sonucu olarak kuruluşların yeni uygulamaları hızla tanıtması, rekabette öne geçmesi ve müşteri taleplerini karşılaması gerekiyor. Gartner, 2017’ye kadar mobil uygulama geliştirme hizmetlerine ilişkin pazar taleplerinin BT kuruluşlarının bunları sağlayabilme kapasitesinden en az 5 kat daha hızlı artacağını tahmin ediyor.
Uygulama güvenliği risk yönetimi artık olmazsa olmaz bir hale geldi…
Eskiden daha uzun döngü süreleri ve daha nadir aralıklarla yapılan güncellemeler ortamında kuruluşlar, uygulama güvenliği risk yönetimini “olursa iyi olur” gibi düşünebiliyordu. Ancak yeni uygulamalardaki önemli artış uygulama güvenliği risk yönetimini kritik öneme sahip bir gereksinim haline getiriyor.
IBM’in bu konudaki istatistiklerine göre:
- IBM X-Force verilerine göre 2015 yılında görülen tüm güvenlik açıklarının yüzde 28’i web uygulamalarını hedef alıyor.
- Herhangi bir zamanda casus kodların 11,6 milyonun üzerinde mobil aygıtı etkilediği raporlandı (bir diğer deyişle bu rakam Ohio nüfusuna hemen hemen eşit).
- IBM sponsorluğunda gerçekleştirilen 2015 Ponemon Enstitüsü raporuna göre şirketlerin yüzde 50’si mobil uygulama güvenliğine bütçe ayırmıyor.
Bu artan olası risk alanını vurgulamak için IBM ve Ponemon Enstitüsü tarafından yürütülen yeni bir ankette uygulama güvenliği riskini yönetmedeki etkinliklerini belirlemek için uygulama güvenliği uzmanları ele alındı. Kuruluşların uygulama güvenliğine yaklaşımı ve birçok yaklaşımın yetersiz kalma nedenleri söz konusu olduğunda birtakım şaşırtıcı eğilimler ortaya çıktı.
Uygulamalardaki genişleme ve kısa sürede yayınlama telaşı güvenlik riskini artırıyor…
Güvenlikle ilgili atılan yanlış adımların en önemli nedeninin, uygulamaları kısa sürede yayınlama baskısı olduğu belirtilirken, en son yapılan araştırmaya göre birçok kuruluşun soruna etkin bir biçimde yaklaşmadığı görülüyor.
- Katılanların yüzde 56’sı, şirketlerin yeni uygulamaları hızla yayınlama baskısından etkilendiğini söylüyor: Uygulama geliştiricilerinin, öncelikle iş değerine, kullanıcı deneyimine ve uygulamaların çözmeyi amaçladığı kullanıcıların rahatsız olduğu noktaları ele almaya odaklı olduğu görülüyor. Bu nedenle birçok geliştirici güvenlik açıkları gibi olası “dertlerin” yanı sıra uygulamaların temel amaçlarının ötesinde uygulamaların etkilerinin oluşturduğu “büyük resmi” gözden kaçırıyor.
- Katılanların yüzde 35’i, şirketlerin uygulamayı devreye almadan önce herhangi bir uygulama güvenlik testi yöntemine başvurmadıklarını söylüyor: Uygulama Güvenlik Testi, uygulama yayınından önce şirketlerin olası uygulama güvenliği açıklarını düzeltmelerini sağlıyor. Anket, kritik bir geliştirme döngüsü gereksinimi olmasına karşılık bunun gibi basit güvenlik adımlarının sıklıkla göz ardı edildiğini gösteriyor.
Şirketler üretim aşamasındaki uygulamaları yönetmekte zorlanıyor…
Yayınlama konusundaki acele, yeni uygulamaların pazara sürülme aşamasında güvenlik riskleri doğururken asıl düşünülmesi gereken nokta bu uygulamaların devreye alınmasından sonra ortaya çıkabilecek sorunlardır.
Katılımcıların kullanılmakta olan uygulamaların güvenliğini sağlamak bir yana, bu uygulamaları takip etmekte zorlandığını kabul etmesi ise anketin en şaşırtan bulgularından biri olarak ön plana çıkıyor.
- Katılanların yüzde 69’u şirketlerinde etkin olan bütün uygulamaları ve veri tabanlarını bilmiyor: Ne yazık ki yüzde 69 bir yazım hatası değil. Geliştirme ekipleri, kuruluşlarında devreye alınmış olan uygulamaları takip edemiyor ya da kurumsal sistemlerin karşılaştığı olası riskleri tam anlamıyla özümseyemiyor.
- Katılanların yüzde 46’sı şirketlerinin güvenlik açıklarını düzeltmek için aslında temel güvenlik önlemlerini almadığını söylüyor: Kuruluşlar Dynamic Application Security Testing (DAST), Static Application Security Testing (SAST) ve Interactive Application Security Testing (IAST) gibi temel güvenlik önlemlerini dahi almadığında uygulamalarını nasıl koruyabilir?
Her geçen gün daha çok sayıda uygulamanın tanıtılması ve diğer uygulamaların da daha sık güncelleme gerektirmesiyle bu sorunların daha büyük zorlukları doğuracağı tahmin ediliyor.
Yayın döngüsünü aceleye getirmeyin ve genişleyen uygulama altyapınızın güvenliğini sağlayın…
Son anket sonuçlarının çizdiği resim çok iç açıcı olmasa da kuruluşların yayın döngüsündeki aceleye son vermek ve artan sayıdaki uygulamaların güvenliğini sağlamak için atabileceği bazı basit adımlar var. Özetle, kuruluşların uygulamaları birer birer düzeltmek yerine daha stratejik bir risk yönetimi yaklaşımına geçmesi gerekiyor.
Başlangıç için IBM’in önerdiği birkaç adım aşağıda yer alıyor:
- Resmin tamamına bakın:
- Kuruluşunuz genelinde aktif olarak kullanılan uygulamaları belirlemek için diğer bölümler ve bölgelerle koordinasyon sağlayın. Uygulamaların listesini alın, düzenli olarak güncelleyin ve iyileştirme sürecinizi izleyin.
- Destek süreleri dolan uygulamaları belirleyin ve bunları nasıl koruduğunuzu öğrenin.
- Hala aktif olan, ancak kullanılmayan ya da izlenmeyen uygulamaların envanterini oluşturun. Çoğu durumda bunların kullanım süresi ve kullanıcı erişimi sonlandırılmalıdır.
- Uygulamaları birleştirin:
Ankete katılanların yüzde 65’i kuruluşlarının alt seviyelerinde uygulanan, bölümlendirilmiş güvenlik uygulamaları olduğunu söylüyor.
IBM olarak kuruluş genelinde uygulama güvenliğini daha iyi birleştirmek için aşağıdaki işlemleri öneriyoruz:
- Uygulama kullanımının artmasıyla ilişkili güvenlik riski hakkında yönetimi bilgilendirin. Kritik bir uygulamanın olası ihlalinin kuruluşunuzun marka imajını ve kârlılığını nasıl önemli ölçüde etkileyebileceğini gösterin.
- Kuruluşunuz içinde uygulama güvenliğini etkin olarak yöneten bir bölüm seçin ve en iyi uygulamaları işletme genelinde eğitim programlarıyla birleştirin. Bu bölümün, maliyetleri düşürdüğü ve olası güvenlik açıklarını önemli ölçüde azalttığı alanları bulun.
- Çalışan kadronuzu güçlendirin
Anket, katılanların yüzde 70’inin iş açısından kritik öneme sahip uygulamaların güvenliğinin sağlanması için yeterli sayıda kaynak ayrılmadığını düşündüğünü ortaya koyuyor.
Yapılması gerekenler:
- Uygulama geliştirme ekiplerinizin güvenlik eğitimine yatırım yapın ve geliştiricilerin uygulamaları hızlı, verimli ve bağımsız bir biçimde test etmesini sağlamak için IBM Security AppScan gibi otomatik uygulama güvenliği test çözümlerinden yararlanın.
- Uygulamalarınızın hangisinin gerçekten “kıymetli” olduğunu değerlendirmek için zaman ayırın. Ayrıcalıklı finans, müşteri ilişkileri yönetimi (MİY) ve e-ticaret uygulamaları bunlardan bazılarıdır. Öncelikle bu uygulamaları korumaya odaklanın ve bu uygulamalardaki en önemli güvenlik açıklarında düzeltme/iyileştirme hedefi benimseyin.
- Güvenlik ihlalleriyle ilişkili olası maliyetler konusunda eğiterek yönetim ekibinin bakış açısına yeni bir boyut kazandırın. Bu yaklaşımın izlenmesi, etkin bir güvenlik korumasının maliyet merkezinden çok daha fazlası olduğunu onlara hatırlatacaktır.
- Güvenlik açıklarına çözüm bulun:
Ankete katılanların yüzde 46’sı güvenlik açıklarındaki artışın kuruluşun güvenlik duruşuna etkisini önlediğini itiraf ediyor.
IBM Önerileri:
- Gelişen tehdit verileriyle ilişkili uygulama güvenliği testi teknolojisinden yararlanın. Bu teknoloji yüksek öncelikli uygulama güvenliği açıklarının düzeltilmesinde daha etkin olmanızı sağlayacaktır.
- Çok yüksek hacimde güvenlik açığı bulguları üreten SAST analizini yaptıktan sonra yönetmeniz gereken test sonuçları sayısını ciddi ölçüde azaltan IBM Cognitive Intelligent Finding Analytics yetenekleri hakkında daha fazla bilgi edinin.
- Yönetim ekibinizle birlikte çalışarak işinizde önemli bir etki yaratma olasılığı olmayan riskleri belirleyin.
Kuruluşlar yalnızca uygulama güvenliğine hazırlıklarının tam kapsamını değerlendirdiğinde hızla büyüyen uygulama altyapılarıyla gelen riskleri önceliklendirmeye ve azaltmaya başlayabilir.