Security Misconfiguration
Last updated
Last updated
Təhlükəsizliyin yanlış konfiqurasiyası proqramın, vebsaytın və ya serverin konfiqurasiyası zamanı yaranan təhlükəsizlik zəifliyidir.
Hesablama sistemləri və tətbiqləri tez-tez onları potensial olaraq kiber cinayətkarlara məruz qoya bilən təhlükəsizlik səhv konfiqurasiyaları ilə qarşılaşır. Şirkətlərin 73%-dən çoxu ən azı bir kritik təhlükəsizlik yanlış konfiqurasiyası ilə qarşılaşır. Açıq Veb Tətbiqinin Təhlükəsizliyi Layihəsi (OWASP) 2021-ci ildə ən yaxşı 10 zəifliyin məşhur siyahısını yenilədi və təhlükəsizlik səhv konfiqurasiyası 5-ci ən təhlükəli risk olaraq sıralandı.
Təhlükəsizliyin yanlış konfiqurasiyası, təhlükəsizlik seçimlərinin təhlükəsizliyi maksimum dərəcədə artıracaq şəkildə müəyyən edilməməsi və ya xidmətlərin etibarlı olmayan defolt parametrlərlə yerləşdirilməsidir. Bu, istənilən hesablama sistemində, proqram təminatında, həmçinin bulud və şəbəkə infrastrukturunda baş verə bilər. Təhlükəsizlik səhv konfiqurasiyası kiberhücumların və uğurlu məlumat pozuntularının ümumi səbəbidir.
Çərçivələr proqramlaşdırmanı asanlaşdıraraq, tətbiqin qurulmasına sərf olunan vaxtı və səyi azaldıb. Bununla belə, bu çərçivələrin mürəkkəb konfiqurasiyaları var və bu, təhlükəsizliyin yanlış konfiqurasiyası riskini artırır. Eynilə, açıq mənbə kodu geniş şəkildə istifadə olunur və təhlükəsizliyi pozan və tətbiqi etibarsız edən standart konfiqurasiyalarla gələ bilər.
Təhlükəsizliyin yanlış konfiqurasiyası asanlıqla hədəflənən zəiflikdir. Səhv konfiqurasiya edilmiş veb serverləri və proqramları aşkar etmək adətən asandır və hakerlər aşkar etdikləri zəifliklərdən istifadə edərək əhəmiyyətli zərər verə bilər.
Bu səhv konfiqurasiya riski bütün proqram yığını üçün təhlükə yarada bilər – şəbəkə xidmətləri, platforma, veb server, proqram serveri, verilənlər bazası, çərçivələr, xüsusi kod və əvvəlcədən quraşdırılmış virtual maşınlar, konteynerlər və ya yaddaş.
2021-ci ildə yenilənmiş Top 10 Veb Tətbiqi Zəifliklərinin OWASP siyahısı təhlükəsizlik səhv konfiqurasiyasını 5-ci ən kritik olaraq elan etdi. Tədqiqata əsasən, tətbiqlərin 90%-dən çoxu yanlış konfiqurasiya, orta insident nisbəti 4% təşkil edir. Kiber hücumçular arasında populyarlıq qazanmasının səbəblərindən biri odur ki, o, təkcə veb aktivlərə deyil, konfiqurasiya tələb edən hər bir komponentə təsir edir.
OWASP-a görə, proqramlar kifayət qədər sərtləşməyə malik olmadıqda və ya düzgün konfiqurasiya olunmayan bulud xidməti icazələrinə malik olduqda təhlükəsizlik səhv konfiqurasiyasına həssasdır. Əlavə narahatlıqlara lazımsız funksiyalar, standart parametrlər və parollar, görünən xətaların idarə edilməsi məlumatı və yanlış konfiqurasiya edilmiş və ya söndürülmüş təhlükəsizlik xüsusiyyətləri daxildir.
Tətbiq çərçivələrinin və serverlərin təhlükəsiz parametrlərə malik olmasını və bütün proqram komponentlərinin yeni olmasını təmin etmək vacibdir. Serverlər müştərilərə təhlükəsizlik direktivləri və ya başlıqlar göndərməlidir. OWASP təhlükəsizliyin yanlış konfiqurasiyası ilə bağlı problemlərdən qaçmaq üçün tövsiyələr təklif edir - bunlara təkrarlanan, avtomatlaşdırılmış təhlükəsizliyin sərtləşdirilməsi proseslərinin həyata keçirilməsi, tətbiq arxitekturasının seqmentləşdirilməsi və platformanın minimal saxlanması daxildir.
Bir neçə səbəbə görə təhlükəsizlik səhv konfiqurasiyasının qurbanı ola bilərsiniz. Bir veb proqramın hazırlanmasında bir çox tərəfin iştirakı ilə təhlükəsizlik çərçivəsinin düzgün tətbiqi çatlardan keçə bilər. Təlimsiz heyət, anlayışın olmaması və yamaqları nəzərdən keçirməmək bəzi səbəblərdir. Baş verən ən ümumi təhlükəsizlik yanlış konfiqurasiyaları aşağıda verilmişdir:
1. Yamaqsız sistemlər
Təcavüzkarlar zərərli proqramı icra etmək üçün yamaqlanmamış səhvdən istifadə edə bilərlər. Kibercinayətkarlar adətən bu boşluqdan hər hansı bir yamaqsız sistemlər üçün mühitləri skan etmək üçün istifadə edirlər və tətbiqlərə qeyri-qanuni daxil olmaq üçün eyni vasitələrdən istifadə edirlər.
2. Defolt hesab parametrləri
Sistemlər arasında girişi asanlaşdırmaq üçün bir neçə etibar konfiqurasiyası qura bilərsiniz. Bununla belə, bu, tətbiqinizi şəbəkənizdə həyati əhəmiyyətli məlumatları pozan hücumlara və pozuntulara açır.
3. Şifrələnməmiş fayllar
Şifrələnməmiş və ya zəif şifrələnmiş fayllar hakerlərə sisteminizə qeyri-qanuni daxil olmaq, məlumatları oğurlamaq və ya yanlış məlumatlarla dəyişdirmək üçün geniş imkanlar verir.
4. Təminatsız qurğular
Təhlükəli cihazlardan və ya etimadnamələrdən istifadə etmək və ya fərqli sistemlər üçün eyni parolları təkrar istifadə etmək mühitinizi etibarsız edə bilər. Təcavüzkarlar sistemlərinizdən birinə icazəsiz giriş əldə edə bilsələr belə, bütün şəbəkə istismar edilə bilər.
5. Veb tətbiqi və buludun yanlış konfiqurasiyası
Kiber Hücumçular sisteminizdə yanlış konfiqurasiya zəifliklərini aşkar edə və eyni şəkildə istifadə edərək birbaşa və ya dolayı yolla ciddi zərər verə bilər.
6. Firewallun qeyri-kafi müdafiəsi
Firewallda işləyən xidmətləri tərk etsəniz, bu, təcavüzkarların zəifliklərdən istifadə etməsi və sisteminizi pozması üçün bir pəncərə aça bilər.
Digər appsec risklərindən fərqli olaraq, təhlükəsizlik səhv konfiqurasiyası “şluz riski” təqdim edir. Bu o deməkdir ki, təcavüzkar proqramınızı istismar etmək üçün istifadə edə biləcəyi məlumat əldə edir. Bu cür zəifliyi daha yaxşı başa düşmək üçün nümunələr.
1. Tətbiqlərin Nümunə Zəifliyi
Tətbiq serveri ilə birlikdə gələn nümunə proqramları silməkdən ötrü və ya qaçırdığınız zaman eyni şeyi istehsal serverinə daxil edirsiniz. Belə hallarda siz hakerlərə fürsət verirsiniz, çünki nümunə tətbiqlərdə istifadə oluna bilən məlum təhlükəsizlik boşluqları var.
Defolt hesabları deaktiv edə bilməsəniz, haker standart parollar vasitəsilə serverə asanlıqla daxil ola bilər.
2. Kataloq siyahısında zəiflik
Bu, serverdəki kataloq siyahısını deaktiv etmədiyiniz zaman baş verir. Bunu etməməklə, siz təcavüzkarlara qovluqlara daxil olmaq və sadəcə tərtib edilmiş java siniflərini yükləmək imkanı verirsiniz. Bunlardan istifadə edərək, hakerlər koda mühəndislik girişini tərsinə çevirə və proqramda nəzarət axını aşkarlaya bilərlər.
3. Xəta Mesajının Zəifliyi
İstifadəçilərə təfərrüatlı xəta mesajları yayan konfiqurasiya qurduğunuz zaman bu, tətbiqinizin təhlükəsizliyi üçün potensial təhlükəyə çevrilir. Serverin kritik məlumatları və laylı qüsurları xəta məlumatı vasitəsilə ictimaiyyətə məlum olacaq. Bu, sisteminizə asan bir yol açır.
4. Defolt İmtiyazlar Zəifliyi
Tez-tez bir bulud xidməti təminatçısından istifadə etdiyiniz zaman o, xidmət provayderinin digər istifadəçiləri üçün aktivləşdirilmiş standart paylaşma icazələri ilə gəlir. Təəssüf ki, bu o deməkdir ki, imtiyaz etimadnamələri kimi məxfi məlumatlar buludda saxlanılır və bir çox qeyri-qanuni yollarla əldə edilir.
5. Lazımsız Xüsusiyyətlərin Zəifliyi
Tez-tez istifadə edilməyən xidmətlər, komponentlər, hesablar, portlar və ya səhifələr kimi lazımsız xüsusiyyətləri aktivləşdirmək sisteminizi təcavüzkarlara qarşı həssas edir. Hakerlər zərərli proqramları təqdim etmək üçün kod yeridilməsi kimi üsullardan istifadə edə bilər. Bu kod icra edildikdə adminlərə hakerə giriş imkanı verə bilər.
6. Məlumatların Təsdiqlənməsi üzrə Zəiflik
Kodlaşdırma təcrübələrinə əməl edilməməsi təhlükəsizlik yanlış konfiqurasiya hücumlarının əsas səbəblərindən biridir. Belə səhvlərdən biri düzgün giriş/çıxış məlumatlarının yoxlanılmasının həyata keçirilməməsidir. Bu, serverinizi tətbiqinizə və təşkilatınıza ciddi ziyan vuran kiberhücumlara açır. Çatdırılma prosesinin hər birində hər bir komponenti skan edən Aqua kimi həll məlumatların yoxlanılması risklərini aşkar etmək üçün vacibdir.
7. Dərc olunmamış URL-lərin Zəifliyi
Ümumi bir nəzarət trafik qəbul etmək üçün nəzərdə tutulmayan URL-lərin saxlanmasıdır. Bununla belə, silinməsi və ya bloklanması lazım olan bu dərc edilməmiş URL-lər, bu məlumatları genişləndirə bilər. Hücumçular, aşkar edildikdə əhəmiyyətli risk yarada biləcək belə zəiflikləri aşkar etmək üçün daim axtarışdadırlar.
8. Köhnəlmiş Proqram təminatı zəifliyi
Proqram tətbiqi yerləşdirildikdən və işə salındıqdan sonra zəiflikləri aşkar etmək üçün müntəzəm skanları həyata keçirməyi unuda bilərsiniz. Çox vaxt satıcılar açıq mənbəli proqram təminatı üçün təkmilləşdirmələr buraxır, boşluqları və ya səhvləri düzəldirlər. Lakin tətbiqinizi mövcud təkmilləşdirmələrlə güncəlləyə bilməsəniz, təcavüzkarlar icazəsiz giriş əldə etmək üçün bu fürsətdən istifadə edə bilər. Aqua köhnə və təminatsız kodu axtaran kod anbarlarını skan edə bilir. Aqua bunu həm daxili kod depolarında, həm də GitHub kimi xarici kodlarda edə bilər.
Təhlükəsizliyin yanlış konfiqurasiyası hücumunun qarşısının alınması çətin görünə bilər, çünki o, müxtəlif zəiflikləri ehtiva edir. Təcavüzkarlar məxfi fayllarınıza müdaxilə edərək veb tətbiqinizə hücum etmək üçün istənilən növ yanlış konfiqurasiyadan istifadə edə bilər. Bununla belə, bir neçə sadə təcrübə sisteminizi bu cür hücumlardan qoruya bilər. Gəlin təhlükəsizlik yanlış konfiqurasiyasına qarşı tətbiq etməli olduğunuz qabaqlayıcı tədbirlərə nəzər salaq.
Təkrarlanan Sərtləşdirmə Proseslərini qəbul edin
Bu, düzgün konfiqurasiya edilmiş veb proqramların və serverlərin yerləşdirilməsini asanlaşdırır. Siz həmçinin mühitlərdəki konfiqurasiyaların (inkişaf, istehsal və sınaq) sinxron, lakin fərqli icazələrə malik olmasını təmin etməlisiniz.
Təkrarlanan tapşırıqları avtomatlaşdırın
Avtomatlaşdırılmış proses təkrarlanan konfiqurasiya tapşırıqlarını insanlardan daha yaxşı yerinə yetirir. Beləliklə, konfiqurasiyanı təmizləmək və təhlükəsizlik parametrlərini yoxlamaq üçün inkişaf və istehsalda bacardığınız qədər çox işi avtomatlaşdırın. Aqua kimi bir həlldən istifadə etmək hər addımda təhlükəsizlik tapşırıqlarını avtomatlaşdırmağa kömək edəcək.
Proqram təminatını mütəmadi olaraq yeniləyin
Ən yaxşı təcrübə olaraq, xüsusən üçüncü tərəf kodundan istifadə edərkən proqram təminatınızı müntəzəm olaraq yeniləməlisiniz. Onlar tez-tez bu yaxınlarda aşkar edilmiş hər hansı zəiflik üçün yamaqlar və ya düzəlişləri ehtiva edir.
Tez-tez Auditlər aparın
Potensial təhlükəsizlik yanlış konfiqurasiyaları və tətbiq risklərini aşkar etmək və azaltmaq üçün dövri yoxlamadan istifadə edin. Burada yenə də Aqua sizə istənilən vaxt audit aparmaq üçün lazım olan bütün məlumatları verə bilər. Aqua hər bir addımı dəqiq izləyir və izləyir və başdan sona görünürlük təmin edir.
Seqmentləşdirilmiş Arxitektura qurun
Komponentlər və aktivlər arasında effektiv ayırma yaratmaq üçün təhlükəsiz və seqmentlərə bölünmüş möhkəm tətbiq arxitekturası qurmaq çox vacibdir. Konteynerləşdirmə və ya bulud təhlükəsizlik qruplarından (ACL) istifadə etmək üçün yaxşı bir strategiyadır.
İstifadə edilməmiş funksiyalardan çəkinin
Quraşdırma prosesinin bir hissəsi olaraq, istifadə olunmamış funksiyaları, sənədləri, komponentləri və nümunələri silməli və tətbiqi minimal platformaya çevirməlisiniz.
Təhlükəsizlik yanlış konfiqurasiya hücumlarının qarşısını almaq üçün digər ən yaxşı təcrübələr bunlardır:
Komandanız üçün təhlükəsizlik konfiqurasiyalarının vacibliyini və mütləq təhlükəsizliyə nail olmaq üçün ən yaxşı təcrübələri vurğulayın
Bulud saxlama icazələrini ləğv edin və proqram təminatında əvvəlcədən təyin edilmiş imtiyazları yoxlayın
Kataloqa baxışı aktiv etməkdən çəkinin və qeyri-vacib funksiyaları söndürün
Sazlama alətlərinin serverə daxil olmasına və ya daxili xətaları açıq şəkildə göstərməsinə icazə verməyin
Bütün paketlərinizi və kitabxanalarınızı yenilədiyinizə əmin olun
Təhlükəsizliyin yanlış konfiqurasiyaları təcavüzkarlara şəbəkələrə, sistemlərə və məlumatlara icazəsiz giriş əldə etməyə imkan verir ki, bu da öz növbəsində təşkilatınıza əhəmiyyətli pul və reputasiya ziyanına səbəb ola bilər.
Ən son Açıq Veb Tətbiq Təhlükəsizliyi Layihəsi (OWASP) Top 10 siyahısında təhlükəsizlik yanlış konfiqurasiya xətaları siyahıda altıncı sırada yer alır. Bu təəccüblü deyil, çünki yanlış təhlükəsizlik konfiqurasiyaları uzun illər ərzində ilk 10 siyahının ardıcıl üzvü olmuşdur.
Onlar həmçinin 2022-ci il Cybersecurity Insider Cloud Security hesabatında qeyd olunduğu kimi buludda ən mühüm etibarsızlıq mənbəyinə çevriliblər:
Bu il səhv konfiqurasiyalar (23%), keçən ildən istifadəçi tərəfindən açıqlanan məlumatları (15%) və hesabın pozulmasını (15%) üstələyərək, təhlükəsizliklə bağlı bir nömrəli insident kimi birinci yeri tutub.
