Bu yazımızda 2021 yılında yayınlanan en güncel listenin üzerinden geçip F5 BIG-IP Advanced WAF modülü ile bu güvenlik açıklıklarından nasıl korunabileceğimizden bahsedeceğiz.

OWASP Top 10 – 2017 Listesinde Hangi Kategoriler Vardı?

4 yıl önce yayınlanan ve bir çok saldırı tipinin geçmişte olduğu gibi günümüzde de değişmediğini bizlere gösteren OWASP Top 10 listesi olan 2017 ‘ye göz atalım.

• A1 Injection
• A2 Broken Authentication
• A3 Sensitive Data Exposure
• A4 XML External Entities (XXE)
• A5 Broken Access Control
• A6 Security Misconfiguration
• A7 Cross-Site Scripting
• A8 Insecure Deserialization
• A9 Using Components with Known Vulnerabilities
• A10 Insufficient Logging & Monitoring

OWASP Top 10 – 2021 Güvenlik Açıklıkları Nelerdir?

Çalışma alışkanlıklarının değişmesi ile güncellenen 2021 OWASP TOP 10 listesine göz atacak olursak;

• A1 Broken Access Control
• A2 Cryptographic Failures
• A3 Injection
• A4 Insecure Design
• A5 Security Misconfiguration
• A6 Vulnerable and Outdated Components
• A7 Identification and Authentication Failures
• A8 Software and Data Integrity Failures
• A9 Security Logging and Monitoring Failures
• A10 Server-Side Request Forgery

OWASP Top 10 – 2021’de Neler Değişti?

Bu sene yayınlanan listede, 2017 listesinden farklı olarak eklenen 3 yeni kategori dikkat çekiyor. İlk yayınlandığı 2003 tarihinden bu yana bazı atak tiplerinin hala listede olduğunu düşünürsek, 3 değişiklik bize şimdi ve özellikle gelecekte yeni saldırılara hazır olmamız gerektiğini göstermiştir.

Injection, XSS , Broken Access Control gibi atak tipleri, OWASP ‘ın yayınlanan ilk listesinden bu yana yerini korumaktaydı. 2017 ve 2021 de açıklanan OWASP listelerinin karşılaştırmasını aşağıda görebilirsiniz.

Öncelikle listeye 2021 yılında yeni eklenen saldırı tiplerinden bahsedersek;

A4-Insecure Design

Listede yeni yer bulmasına rağmen 4. Sırada yer alıyor.  OWASP ‘ın kuruluş amacı özellikle geliştiricileri ve web güvenliği uzmanlarının güvenli tasarım kaideleri gibi konulara uymalarını sağlamak ve firmalardaki yazılım geliştirme kültürünün güvenli geliştirme temelleri üzerine kurulmasına yardımcı olması içindir. Bu saldırı tipi için özellikle F5 AWAF ile birlikte gelen Bot koruması ve L7  Behavioral DDoS korumasının açılmasını önermekteyiz. İstek öncesi Bot denetlemesi seçeneği ile, sunucularınıza yük yaratılmadan gerçek kullanıcı ve Bot ayrımını yapabilirsiniz.

F5 AWAF Bot Defense ile ilgili sorunuz olması durumunda bizlere iletişim sayfamızdan ulaşabilirseniz teknik ekibimiz sizlere yardımcı olmaktan mutluluk duyacaktır.

A8-Software and Data Integrity Failures

Listede 8. sırada bulunan Software and Data Integrity Failures, 2017 listesinde yer alan Insecure Deserialization saldırı tiplerini de kapsayan, yazılım güncellemeleri, CI/CD süreçlerini de içeren saldırı kategorisidir. Hem yazılım geliştirme hem de sistem bakım süreçlerinin düzene uygun yapılması hedeflenmektedir. Bu kategoride aşağıdaki güvenlik açıklıkları için zafiyetler yer almaktadır.

• Cache Poisoning
• Code injection
• Command execution
• Denial of Service

Bu saldırı tipleri için F5 WAF modülünde aşağıdaki imza setlerini aktifleştirmeniz gerekmektedir.  Bu atak imzalarının yanı sıra content profilleri de (XML-JSON) kullanılabilir.

• Buffer Overflow
• Command Execution
• Denial of Service
• Server Side Code Injection

A10-Server-Side Request Forgery

Bu yılın listesinde ki son yeni saldırı tipi, Server-Side Request Forgery. Tam olarak istenilen veri toplanamamış olsa da, OWASP bu saldırı tipine dikkat çekmek için listeye eklemiştir. Hem ağ hem de uygulama katmanını hedef alan SSRF atakları için basitçe ağ güvenlik duvarı ürününüzde ki kuralları gözden geçirmeniz önerilmektedir. F5 AFM (Advanced Firewall Manager) ile kural yaratmak ve yönetmek oldukça pratiktir. Uygulama katmanında ise F5 AWAF koruması ile önlendirmeler kontrol edilmeli. Kullanıcı tarafından gönderilen tüm giriş verileri kontrol edilmeli ve filtreden geçirilmelidir. F5 AWAF ‘da yarattığınız Policy üzerinde Meta karakter kontrolü ve SQL Injection korumaları yapabilirsiniz.

OWASP 2017 Listesinden Geçerliliğini Koruyan Ataklar Nelerdir?

A1-Broken access control

Kullanıcının, hesabına tanımlanandan daha fazla yetkiye sahip olmasıyla gerçekleştirilen atak tipleridir. Kullanıcıların erişim ve yetki kontrolleri için F5 AWAF üzerinde öncelikle imzalar aktif edilebilir. Eğer daha yüksek düzeyde koruma istenirse URLs flow enforcement ile kişinin sadece doğrulandıktan sonra belirtilen adreslere erişimi sağlanabilir. Doğrulama ve yetkilendirmenin F5 üzerine alınması istenirse F5 APM (Access Policy Manager) modülünden faydalanılabilir.

A2-Cryptographic failures

Müşteri veya kurum için hassas olan veriler saklanırken mutlaka şifrelenmelidir. Bu bilgiler çalınsa dahi saldırganların anlamlandıramayacağı veri bütününden oluşmalıdır.  Öncelikle kullanıcı ve sunucu arasında ki haberleşmenin şifreli olması gerekmektedir. F5 üzerinde güvenli Client ve Server SSL profilleri tanımlanmalıdır. Referans için alttaki belgeye göz atabilirsiniz.

K14783: Overview of the Client SSL profile (11.x – 15.x)

Eğer F5 AWAF lisansına sahipseniz, sizin için çok kritik veri içeren servislere atanmış policy ler üzerinde Dataguard özelliğinin açılmasını önermekteyiz. Belirlenen desene uygun veri çıkışı olursa F5 WAF bu cevabın saldırgana ulaşmasını engelleyecektir.

A3-Injection

Uzun zamandır listenin değişmeyen ataklarından Injection Saldırılar HTTP/HTTPS protokolünden gelse dahi son olarak Apache Log4j açığında gördüğümüz gibi farklı protokolleri hedef alabilirler. HTTP isteklerinin içerisinden LDAP veya SMTP sunucularını hedef alan ataklar yapılabilir ve veritabanınızda ki hassas bilgilere ulaşılabilir. Injection ataklarının savunması tek bir koruma ile değil birden çok farklı korumanın harman edilerek uygulamanızın koruması ile sağlanabilir.

Injection saldırıları için AWAF üzerinde devreye alabileceğiniz korumalar ;

• Attack Signatures
• Evasion techniques
• Disallowed meta characters in parameters
• HttpOnly cookie attribute enforcement

A5-Security misconfiguration

2017 listesinde A4:2017-XML External Entities (XXE) ismiyle yer alan bu açıklık kategorisi 2021 yılında bu kategoriye dahil olmuştur.

Bir web uygulamasında harici koruma çözümlerinin kullanılmasından da önemli, uygulama geliştiricilerin ve sistem sorumlarının uyması gereken bazı kurallar vardır. İlgili saldırılar hatalı yapılandırılan servislerden kaynaklanabilir. Bu yüzden uygulamanızın üzerinde çalıştığı servisin yapılandırmasını mutlaka gözden geçirmeli ve gerekirse tecrübeli kurumlardan destek almalısınız. Zaman içinde karşımıza çıkan sorunlarda sıkça gördüğümüz servis yapılandırmaları eksik veya hatalı olduğunda hem güvenlik açıklarına davet çıkarılıyor hem de cihaz kaynaklarını tam anlamıyla kullanılamıyor.

F5 AWAF üzerinde aktif edebileceğiniz korumalar ;

• Attack Signatures
• URLs flow enforcement
• Allowed Methods
• Disallowed file types

Bir çok saldırının engellemesinde rol oynayan Attack Signatures korumasını burada da listenin 1. sırasına yazıyoruz.

A6-Vulnerable and outdated components

Her şeyi kuralına uygun yapsanız dahi Zero-day ataklar veya henüz yaması çıkmamış açıklar yüzünden hala saldırı tehlikesiyle karşı karşıya olabilirsiniz. Hem işletim sistemi hem de servis düzeyinde mutlaka testlerinizi tamamladıktan sonra yazılımları güncel versiyonlarında kullanmanızı önermekteyiz. F5 AWAF üzerinde yine imza tabanlı bir koruma ile uygulamanızın güvenliğini sağlayabilirsiniz. F5 uygulamaya göre koruma yapmak amaçlı Server Technologies isimli bir özellik geliştirmiştir. Server Technologies sayesinde siz ilgili imzaları devreye almamış olsanız da F5 AWAF size kullandığınız servisle ilgili imza önerileri sunacaktır.

A7-Identification and authentication failures

Kullanıcılarının giriş bilgilerinin çalışması ile saldırı gerçekleştirilir. Kullanıcı bilgileri kimi zaman kullanıcı adı ve şifre kimi zaman ise sadece bir çerez olabilir. Listenin en üst sırasına yazacağımız koruma, MFA (Multi-factor Authentication) dir. BNTPRO olarak yerli ve milli çok aşamalı doğrulama yazılımı Sectrail kolayca F5 APM ile entegre olabilmekte ve kullanıcıların şifresi çalınsa dahi sisteme erişimi engelleyebilmektedir.

Bunun yanında yine AWAF ile kullanıcı giriş işlemleri ve hareketleri takip edilebilir, oturum hırsızlığının önüne geçmek için ise çerezlerin içerikleri korunabilmektedir. Bizim yine sıkça müşterilerimizde kullandığımız hem dinamik hem de statik verilerle çalışabilen Brute Force koruması ve bununla birlikte gelen Captcha özelliğini şiddetle kullanmanızı önermekteyiz.

Uygulamanızda ki giriş sayfalarının Login Page List ve AWAF ile entegrasyonu sonrası loglarda dahi kullanıcı adı/müşteri numarası ile IP adresleri farklı olsa da tam izleme gerçekleştirebileceksiniz.

A9-Security logging and monitoring failures

2017’de Insufficient Logging & Monitoring ismiyle listede yer alan bu açıklıkta  sorun büyümeden harekete geçebilmek için, doğru izleme ortamının kurulması önemlidir. İzleme mümkün olduğunca insandan bağımsız yapılmalı ve yapay zeka destekli ürünler kullanılmalıdır. F5 Networks , bu konuda müşterilerine ücretsiz olarak sunduğu AVR (Application Visibility Reporting) modülü ile de oldukça başarılı bir çözüm sağlamaktadır.

F5 Advanced WAF modülünde ise kullanıcı isteklerini tamamını ya da sadece illegal isteklerin loglarını hem F5 üzerine hem de kurumunuzda kullandığınız SIEM ürününe gönderebilirsiniz.  F5 AWAF (Advanced Web Application Firewall) ise kendi raporlama ve loglama ara yüzüne sahiptir. Tabi ki bu verilerin uzun dönem korelasyonu için mutlaka SIEM ürününe gönderilmesini önermekteyiz.

İllegal istekleri loglayarak kazandığınız görünürlüğü aynı şekilde Bot Defense konfigurasyonunda da elde edebilirsiniz. Bu sayede SIEM ürününde oluşturacağınız özel alarmlar sayesinde çok daha güvenli bir politika oluşturabilirsiniz.

Tüm bunları yanında F5 AWAF ile gelen ve Security  ››  Overview : OWASP Compliance menüsünden ulaşabildiğiniz OWASP Compliance Dashboard özelliği, müşterilere uygulamalarını koruma ve ne kadar korunduğu görme açısından fikir verecektir. Policy için hazırlanan bu raporda, koruma yüzdesi düşük olan maddeler için F5 ‘nin ilgili atak tipinin detayında önerdiği ayarlarla koruma seviyesinizi arttırabilirsiniz.

F5 Networks’un OWASP Top 10-2021 listesinde yer alan atak tiplerinin F5 Advanced WAF’da yer alan özellikler ile korunması için hazırlamış olduğu videolardan oluşan OWASP Top 10 -2021 oynatma listemize BNTPRO Youtube adresimizden ulaşıp izleyebilirsiniz.

Configuring F5 Advanced Waf Eğitimi ve daha fazla eğitim seçenekleri için Türkiye’de tek F5 Networks resmi eğitim ortağı olarak bize ulaşabilirsiniz.

Bu cümlenin felsefesi hayatımızın her alanında kendisini göstermektedir.  Kurumların üretimleri , pazarlamaları , satışları , satış sonrası hizmetleri çok iyi olabilir.  Ancak gerek kurum içine gerekse de kurum dışına hizmet veren IT departmanları yeri geldiğinde müthiş bir savunma yaparak maçın kazanılmasında önemli rol oynar.  Artık IT departmanının önemini anlamayan kalmadı diyebiliriz. Bu noktada kullanılan bütçenin doğru alana verimli şekilde aktarılması esas teşkil etmektedir.

Günümüzdeki önemi nedeni ile  F5 Advanced Web Application Firewall’a değinmek isterim. Veri ihlallerinin önde gelen en önemli nedeni web saldırılarıdır. Firmalarda güvenli uygulama ve yama yönetimi  gibi güvenlik çözümleri olmasına rağmen, bir çok uygulama savunmasız veya etkisiz kalabiliyor. F5 Advanced Web uygulama güvenlik duvarları (F5 AWAF) ile güvenlik açıklarını, gidererek uygulamalarınızı veri ihlallerinden korur ve saldırıları durdurabilirsiniz. F5 Advanced WAF aynı zamanda, ileri seviye bot korumasını, uygulama katmanı şifrelemesini, API’leri ve davranış analizini hedefleyen saldırılara karşı korunmanıza yardımcı olur.

Özellikle son zamanlarsa saldırganlar, uygulamalardaki güvenlik açıklarını bot sistemler yardımıyla otomatik tarayarak elde ettikleri bilgiler ile servis kesintisine  (DDoS) neden olacak yaklaşımı benimsemişlerdir.

F5 Networks ; saldırganların  kullandığı bu bot sistemlere karşın , proaktif savunma ile otomatik saldırıları durdurur, bot trafiğini tanımlar, filtreler ve davranışa dayalı tekniklerin bir kombinasyonunu kullanarak bu kötü niyetli botları durdurmaktadır. Böylece saldırıların çoğunu ortadan kaldırabilirsiniz. F5 Advanced WAF sadece uygulamanızı korumaz, kullanıcıyı da sorgulayan bir mekanizmaya dönüşür. Tam katmanlı bir güvenlik sunmayı amaçlar.

Nasıl ki teknoloji evrimleşiyor ise saldırganlar da kendilerini geliştirerek evrimleşiyorlar. İşte bunun için Türkiye’nin tek yetkili F5 eğitim merkezimizde ; uzman ekibimiz ile uygun çözümlerimizi sizlerle buluşturmak için bekliyoruz.  Gerek F5 AWAF eğitimi ihtiyacınız , gerekse de AWAF kullanımınızda verim artışı istemeniz halinde sizlere destek olmak için sürekli çalışıyoruz.  Bizlerin de amacı tıpkı sizler gibi doğru bütçe ile doğru çözümleri buluşturabilmek.

Kerem Varcan

Kıdemli Satış Yöneticisi