Positive Tecnologies tarafından gerçekleştirilen Web Uygulaması Güvenlik Açıkları ve Tehditleri raporu dikkat çekici sonuçlara odaklanıyor. Raporda web uygulamalarının %39’unda yetkisiz erişimin mümkün olduğuna dikkat çekilirken, hackerlerin her 10 web uygulamasından 9’unda kullanıcılara saldırabilecek alanları bulabildiğini belirtiyor. Güvenlik açıklarının %82’sinde uygulama kodundaki hatalardan kaynaklandığını da belirten Komtera Teknoloji Kanal Satış Direktörü Gürsel Tursun, zayıf güvenliğe sahip olan devlet kurumlarının uygulamaları karşısında da kullanıcıları uyarıyor. Uygulamalardaki güvenlik zafiyetlerinden kaynaklanabilecek zararları gözden kaçırmamak gerektiğinin altını çizen Tursun, web uygulamalarının bir risk oluşturmasını engellenmesi için önerilerde bulunuyor.
1. Zafiyet taraması ve güvenlik testlerinin yapılması gerekiyor. Bir uygulamanın tasarlama, çalıştırma, geliştirme ve güncelleme aşamalarının hepsinde uygulama veri tabanının taranarak test edilmesi, zafiyetlerin nerelerde bulunduğuna ve ne kadar tehlikeli olduklarına dair oldukça faydalı sonuçlara ulaştırıyor. Şirketler bu veriler ile web uygulamaları aracılığıyla yapılacak saldırıları nasıl önleyebileceğinize, gerçekçi bir perspektif ile karar verebiliyor. Şirketlerin fark ettiği güvenlik zafiyetlerinin kaç tanesini onarmaya çalışacağı şirketin risk almaya ne kadar gönüllü olduğuyla ilgili olabiliyorken, geride bırakılan zafiyetlerin veri kaybına ve diğer türlü zararlara uğrama ihtimalini de bir o kadar artıracağını unutmamak gerekiyor.
2. Güvenlik duvarlarının kullanılması gerekiyor. Web uygulamaları için kullanılan güvenlik duvarları, hassas verilerin ve şirkette en çok kullanılan uygulamaların güvenliği için çok doğru bir savunma yöntemini kapsıyor. Güvenlik duvarları, uygulamalardaki web trafiğini, şüpheli hareketleri ve güvenlik için konulan kuralları denetliyorken, güncel olmayan özellikleri de tespit etmesiyle gündemde olan saldırı tekniklerinden kaynaklanan bir zararın zafiyetleri ortaya çıkarıyor.
3. Güvenlik eğitimlerinin verilmesi gerekiyor. Şirket ekibindeki uygulama geliştiricilerine, uygulamaları test edenlere, proje yöneticilerine ve bilgi işlem uzmanlarına yazılımların güvenlik seviyesini artırmaya dair eğitimler verilmesi ve en son siber saldırılar hakkında bilgilendirilmeleri gerekiyor.