İşletmeler web uygulama risklerini en aza indirmek için
aşağıdaki stratejileri kullanabilir:
Bilgi Güvenliği prosedürleri oluşturulmalı ve proje
geliştirme süreçlerinin ilk aşamalarına dahil edilmelidir.
Programcılar güvenlik kodlama teknikleri konusunda
eğitilmelidir.
Sadece kalite kontrol testleri uygulamak yerine sürekliliği
olan sağlam bir kalite güvence süreci ve prosedürü
olmalı.
Herhangi bir güvenlik açığını gidermek için yönetimin
katılımıyla kararlı eylem planları olmalıdır.
Canlı ortama uygulanmış uygulamalar sürekli olarak yeni
güvenlik açıkları riskine karşı izlenmelidir.
Son zamanlarda web uygulamalarındaki yenilikçi
uygulamaların kullanımı işletmelerde müşteri ilişkilerinin
artmasında önemli bir rol oynamaktadır. Ancak, bu
yararlarının yanı sıra çeşitli risklerin oluşmasına da sebep
olmakta ve güvenlik açıklarını da beraberinde getirmekte-
dir.
Yeni web uygulamaları platformdan bağımsız ve daha az
işlem gücü gerektiren bulut ve online hizmet kaynakları
ile entegre edilmiştir. Bunların kullanımı zaman ve süreç
maliyetini azaltmakta, müşteri memnuniyeti ve şirket
gelirlerinin de artmasını sağlayabilmektedir. Ancak, web
uygulamalarındaki açık noktalar hassas kurum bilgilerinin,
hizmet kesintileri ve fikri mülkiyet hırsızlığı yoluyla zarar
görmesine sebep olabilmektedir. Belirlenmiş bazı ortak
güvenlik açıkları şunlardır:
Sahte/çapraz sitelerden yapılan ataklar ile kullanıcıya
özel şifre vb bilgilerin çalınması,
Sadece insan kaynağı kullanarak
el yoluyla müdahale edilen web
işlemlerinin yetkisiz kişilerce
otomatik olarak işlenmesinin
sağlanması ve bundan çıkar
sağlanması,
Yazılımdaki açıkları kullanarak
istenmeyen kişilerin yetkilendirme
olmadan veritabanına, veya
parametrelere tabloları gibi çok
önemli yerlere erişmesi (doğrudan
nesne referansı),
Bilgi kaçakları,
Veritabanına casus programlama dili
ile istenmeyen yazılım eklenmesi.
Web Uygulama Güvenlik Stratejileri
CISA
,
Bilgi Güvenliği ve
Risk Yönetimi Müdürü
İlyas
KAYMAKÇI
BİLGİ GÜVENLİĞİ 29