Siber saldırganlar; bu uygulamaların bankacılık, e-ticaret ve iletişim gibi çeşitli alanlarda işlediği kişisel müşteri verilerine kolayca erişebilmektedir. Buna ek olarak, uygulamaların yüzde 48'inin yetkisiz erişime açık olduğu, yüzde 17'sinin ise bir siber saldırıda tamamen ele geçirilmesine neden olabilecek zafiyete sahip olduğu yapılan araştırmalar sonucunda tespit edilmiştir. Uygulama güvenliği, sonradan akla gelen, diğer daha acil güvenlik sorunlarının gerisinde kalan bir düşünce olarak görülme eğilimindedir. Mozilla'nın web siteleri üzerinde yaptığı bir araştırmaya göre; web sitelerinin yüzde 93'ünde XSS(siteler arası komut dosyası çalıştırma) zaafiyeti tespit edilmiştir. Yine aynı araştırmaya göre; veri sızıntısı, parmak izi ve kaba kuvvet saldırılarının ortak sorunlar arasında yer aldığı belirtilmektedir.

Siber Suçlular Kötü Amaçlı Yazılımları Yaymak İçin Web Uygulamalarından Nasıl Yararlanıyor?

Siber suçluların web uygulaması güvenlik açıklarından yararlanarak, kötü amaçlı yazılımları kurumsal ağlara bulaştırmak ve yaymak için web uygulamalarını kullanmaktır. Örneğin birkaç yıl önce, Rusya ve Ukrayna'daki kuruluşlar sistemleri felç eden bir fidye yazılımına maruz kaldıklarını bildirmiştir. Rus kuruluşlarını etkileyen bu saldırı, Bad Rabbit fidye yazılımı olarak bilinmektedir ve bazı büyük Rus medya kuruluşlarını etkilediği biliniyor. Bu saldırının işleyişi, download edilmesiyle sistemleri etkisi altına almaktadır: Kurbanlar, etkilenmiş web sitelerinden sahte bir Adobe Flash Player yükleyicisi indiriyor ve .exe dosyasını manuel olarak çalıştırdıklarında kendileri de saldırıdan etkilenmiş oluyor. Saldırının yapıldığı dönem de tamamı haber veya medya siteleri olmak üzere güvenliği tehlikede olan birçok web sitesi tespit edilmiştir. Farklı kaynaklardan gelen raporlara göre Türkiye, Almanya, Bulgaristan ve Japonya da Bad Rabbit saldırısından etkilenmiştir. Siber suçlular, kötü amaçlı yazılım saldırıları başlatmak için uygulamaları çeşitli şekillerde kullanabilir. Web sitenizin veya web uygulamanızın güvenliği ihlal edildiği anda yöntem ne olursa olsun kuruluşunuzun itibarı darbe alır ve bu da mali kayba neden olabilir.

Şirketler Web Uygulamalarını Nasıl Koruyabilir?

Çoğu şirketin web uygulaması güvenlik yeteneklerini geliştirmesi ve gerekli yatırımları yapması gerekmektedir. BT liderleri, tüketici güvenliğini ve gizliliğini korumak için uygulamanın tasarımına güvenlik önlemleri oluşturarak başlayabilirler. Uygulama güvenliği için, Yazılım Geliştirme Yaşam Döngüsünün (SDLC) planlama aşamalarında güvenlik ve gizliliğin düşünülmesi ve gereken hassasiyetin gösterilmesi gerekmektedir. Maalesef, şu anda birçok şirket ve kuruluşta bu hassasiyet gösterilmiyor ve gelişen teknoloji ile birlikte bu tehdit günden güne büyüyor. Web sitesi ve web uygulamalarının güvenlik açıkları olabildiğince kapatılmaya çalışılmalı ve güvenliğinizi desteklemek için ek yazılım veya donanım kullanmanız gerekmektedir. Web uygulaması geliştiricileri; web uygulaması güvenlik duvarı(WAF) kullanmalı, kimlik doğrulama yönetemlerini desteklemeli, mevcut güvenlik eklentilerini güncel tutmaları gerekmektedir.