Kim bir uygulama geliştirmekten sorumlu ise veya bu sürece katılırsa, gerçekleştirilecek birden fazla prosedür olduğunu bilir. Bir uygulamanın, hangi amaçla olursa olsun, daha iyi ve daha iyi çalışması için sürekli değişikliklerden geçmesi beklenir. Benzer şekilde, giderek daha güvenli olması ve kullanıcı verilerinin gizliliğini koruması için. Ancak, tüm bu değişiklikler sorunlara yol açarsa ne olur? Bugün bu yazıda konu hakkında konuşacağız yapılandırma sürüklenme .
Bir uygulama geliştirildiğinde, değişikliklerden geçmesi gerekir. Güncellemelere yansıtılan. Bu değişiklikler, kullanıcı arayüzündeki iyileştirmeleri veya altyapısında daha iyi performans sağlayan bazı iyileştirmeleri yansıtabilir. Ancak değişikliklerin uygulamayı olumsuz etkileme riski vardır. Hatta bazıları onu işe yaramaz hale bile getirebilir. Bu durum olarak bilinir yapılandırma sürüklenme . Bu, uygulamaların iyileştirmek yerine genel performanslarını kötüleştirmesine neden olur.
Ancak bu, böyle bir sürüklenme konfigürasyonu oluşturmak için açıkça uygulanan belirli güncelleme türlerinin olabileceği anlamına gelmez. Bir dizi kötü uygulama, uygulamanın performans kalitesini ve dolayısıyla güvenlik seviyelerini kademeli olarak düşürmesine neden olabilir.
Yapılandırma sapması ve ayrıcalık yükseltme
Verebileceğimiz pratik bir örnek, bir sunucuya sıklıkla erişen tipik uygulama geliştiricisidir. Aslında, genel olarak en küçük değişiklikler ve revizyonlar için bile erişim kalıcı olmalıdır. Üretimdeki uygulamada (yani, uygulamanın kullanıcılar için olduğu gibi çalışmasını sağlayan ortam) herhangi bir değişiklik yapmak istersem, özel yönetici kimlik bilgilerine sahip olmak gerekir. Bu geliştirici, ek kimlik bilgilerine sahip olma fikrinden hoşlanmaz çünkü sonuçta bu, değişikliklerinizi uygulamaya teslim etmek için gereken süreye zarar verebilecek fazladan zaman gerektirir.
Her neyse, bu geliştirici yapması gereken üretim değişiklikleri için ihtiyaç duyduğu kimlik bilgilerine sahip. Hatta yapabilirsin izinlerini değiştir ve ihtiyacınız olanları ekleyin, böylece kullanıcı yönetimi arayüzü üzerinden yönetici izinlerine sahip olabilirsiniz. Görünüşe göre sorun yok çünkü bu yönetici izinleri yalnızca geliştiricinin erişmesi gereken sunucu için geçerli.
Üretimde uygulanan herhangi bir prosedürün çok iyi veya çok kötü gidebileceğini unutmayın. Ve çok yanlış giderse, asıl etkilenen kullanıcılardır. Üretimde yanlış uygulanan bir değişikliği yansıtan bir durum, bir kişinin uygulamayı en son sürümüne güncellemesidir. Ancak maalesef, bu son sürüm kişinin hesabına giriş yapmasına, kalıcı olarak bir hata mesajı göstermesine vb. İzin vermiyor. Bu örneğin geliştiricisinin, zamanından beri işini zamanında yapmanın ötesine geçen hiçbir niyeti yok. projesi için çok sıkı.
Peki ya bu kişinin yerine bir siber suçlu veya kötü niyetli bir ortaksa? ayrıcalık yükseltme genel olarak bir ağa, sisteme ve altyapıya devam eden saldırılardan biridir. En kötü yanı, bu tür saldırıların çoğu zaman fark edilmemesidir. Bunun nedeni, kötü niyetli kullanıcının tüm faaliyetleri maskelenmiş bir şekilde gerçekleştirmesidir, yani güvenlik kontrollerinden geçerler ve zararsız olarak algılanırlar.
Ayrıcalık yükseltme uygulayan kullanıcının herhangi bir saldırı yapma niyeti olmasa bile başka yönlerden potansiyel sorunları olabilir. Bir denetim süreci varsa ve bu tür bir faaliyet yansıtılırsa, bunu gerekçelendirmek çok zor olacaktır. Ve bunun uyumluluk politikalarına veya düzenlemelerine aykırı bir şey olduğu ortaya çıkarsa, hem ortak hem de kuruluşun sorunları olabilir.
Yapılandırma sapmasını önlemek için temel ipuçları
Yukarıda bahsettiğimiz örnekten birkaç öneri çıkarabiliriz. Birincisi, uygulamanın veya hizmetin geliştirilmesiyle ilgili her şeyi belgelemektir. Ancak, bu genel prosedür kılavuzlarına veya talimatlara kapalı değildir. Bu aynı zamanda uygulamada yapılması gereken tüm iyileştirmeleri ve değişiklikleri de kapsamalıdır. Sahip olmak gibi log Belirli bir veritabanına veya başka bir uygulamaya tüm girişlerin
Bu dokümantasyon, yapılan tüm değişiklikler ve sahip olduğu etkiler hakkında ayrıntılı bilgi vermelidir. Ayrıca, diğer verilerin yanı sıra güncellemeye sahip olmak için hangi gereksinimlerin karşılanması gerektiğini de içermelidir. Ne yazık ki, uygulaması belgeleme dikkatin birkaç odak noktasından biridir. Ancak, denetimler veya güvenlik olayları gibi olaylar karşısında önemli bir şeyi ücretlendirmeye başlar.
Güvenliğe odaklanarak, yönetici kimlik bilgilerini yakından izlemeniz gerekir. Yönetici izinlerine sahip bir kullanıcının söz konusu izinlerini bazı kötü niyetli etkinlikler için kullanmaması gerektiği düşünülebilir. Bununla birlikte, yukarıda ayrıcalık artırmanın sürüklenme yapılandırması için ne kadar önemli bir müttefik olduğunu tartıştık.
