Web Güvenlik Duvarı ve Dijital Bankacılıktaki Önemi

1. Giriş

Mobilitenin arttığı günümüz dünyasında insanlığın ortak paydası web uygulamalarıdır. Her birey, ister istemez web uygulamalarına bağlanmakta ya da bir başkasının kendi adına bağlanmasını sağlamaktadır. Büyük kurumsal plazalardan küçük mahalle bakkallarına kadar herkes bir şekilde web uygulamalarını kullanmaktadır.

E-ticaret siteleri, sosyal medya platformları, online bankacılık gibi web tarayıcıları üzerinden erişilebilen ve kullanıcılarla etkileşime girebilen yazılım türleridir (1).

Web uygulamalarının sayısının inanılmaz artması ve bu uygulamaların finansal data içermesi kötü niyetli kişilerin siber saldırı iştahını kabartmaktadır. SQL Enjeksiyonu ile web uygulamasına gönderilen SQL sorguları kullanılarak veri tabanına erişim sağlanabilir. Bunun yanı sıra, XSS (Cross-Site Scripting) saldırıları, JavaScript kodlarının web uygulamasına enjekte edilmesiyle diğer kullanıcıların tarayıcılarında çalışarak oturum çalma veya kullanıcılar üzerinden işlem yapma gibi saldırılar gerçekleştirilebilir.

İşte bu noktada siber tehditlere karşı kurumları korumada etkin cihazlardan biri olan Web uygulaması güvenlik duvarları (WAF) kritik rol oynamaktadır. WAF, bir web uygulamasından veya web sitesinden gelen ve giden veri paketlerini izleyen, filtreleyen ve engelleyen bir güvenlik ürünüdür. Bir web sitesi sunucusu ve istemci istekleri arasında bir güvenlik koridoru oluşturarak web sitelerini ve web uygulamalarını saldırılara karşı korumaya yardımcı olur (2).

WAF, web uygulamanıza giden zararlı HTTP/S trafiğini filtreleyerek, izleyerek ve engelleyerek web uygulamalarınızı korur. Doğru yapılandırılmış WAF konfigürasyonu ile bu saldırıların önüne geçilebilir.

Resim 1: WAF diagram (3)

1. WAF ile Sağlanan Güvenlik Avantajları

Web Uygulama Güvenlik Duvarı (WAF), firmaların dijital varlıklarını ve müşteri bilgilerini korumak için kritik öneme sahiptir. WAF, OSI modeli olarak isimlendirilen network modelinde Katman 7’ye kadar (Layer 7) güvenlik sağlayan bir üründür ve tüm saldırı türlerine karşı savunma yapmak üzere tasarlanmıştır (2). WAF, politikalar olarak adlandırılan kural setlerinin devreye alınmasıyla çalışır. Bu politikalar, kötü amaçlı trafiği filtreleyerek uygulamadaki güvenlik açıklarına karşı koruma sağlar. Veritabanı saldırıları ve uygulama katmanı hizmet reddi (DoS) dahil olmak üzere kötü amaçlı saldırılara ve istenmeyen internet trafiğine karşı korunmasına yardımcı olur. Büyük dil modelleri (LLM), büyük miktarda veri üzerinde önceden eğitilmiş çok büyük derin öğrenme modelidir (3). LLM kullanarak, WAF’lerin etkinliğini artırmak için yeni bir boyut kazanılmaktadır. LLM’ler, karmaşık ve gelişmiş tehditleri daha iyi anlayıp analiz etmekte, böylece WAF’lerin saldırıları daha doğru ve hızlı bir şekilde tespit etmesine yardımcı olacaktır.

WAF’ın sağladığı temel güvenlik avantajlarına değinecek olursak;

2.1. SQL Enjeksiyon ve XSS Gibi Saldırılara Karşı Koruma

• SQL Enjeksiyonu:
• SQL enjeksiyonu, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir. Saldırganlar, uygulama güvenlik önlemlerini atlamak için SQL Enjeksiyon güvenlik açıklarını kullanabilir (4). Bir web sayfasının veya web uygulamasının kimlik doğrulaması ve yetkilendirilmesini atlatıp tüm SQL veritabanının içeriğini alabilirler. Ayrıca veritabanındaki kayıtları eklemek, değiştirmek ve silmek için SQL saldırılarını yapabilirler. WAF, gelen web isteklerini analiz ederek bu tür zararlı girişimleri tespit eder ve engeller.
• XSS (Cross-Site Scripting): Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırıları, kötü amaçlı komut dosyalarının normalde iyi huylu ve güvenilir web sitelerine enjekte edildiği bir tür enjeksiyondur. XSS saldırıları, bir saldırganın bir web uygulamasını kullanarak genellikle tarayıcı tarafı komut dosyası biçimindeki kötü amaçlı kodu farklı bir son kullanıcıya göndermesiyle ortaya çıkar (6).

2.2. Dağıtık Hizmet Engelleme (DDoS) Saldırılarına Karşı Savunma

DDoS saldırısı uygulama kaynaklarını tüketerek veya ağ hattını satüre ederek web sitelerini ve sunucuların erişimini kesintiye uğratmayı hedefler. Bu saldırıların arkasındaki kişiler, bir siteye yoğun bir şekilde sahte trafik göndererek web sitesinin işlevlerinin zayıflamasına veya sitenin tamamen çevrimdışı duruma gelmesine neden olur (7). DDoS saldırıları, kurumların çevrimiçi hizmetlerini kesintiye uğratarak müşteri memnuniyetini ve bankanın operasyonel sürekliliğini olumsuz etkilemektedir. WAF, anormal trafik artışlarını tespit eder ve bu tür saldırıları engelleyerek bankacılık hizmetlerinin kesintisiz bir şekilde devam etmesini sağlar. Böylece, müşteriler her zaman güvenli ve erişilebilir hizmetlerden yararlanabilir (7).

2.3. Yetkisiz Erişimlerin Engellenmesi

• Yetkisiz Erişim: Yetkisiz erişim girişimleri, müşteri bilgilerini ve kurumların iç sistemlerini tehlikeye atabilir. WAF, kullanıcı doğrulama ve erişim kontrol mekanizmalarını destekleyerek yalnızca yetkili kullanıcıların uygulamalara erişmesini sağlar. Bu, yetkisiz erişim girişimlerini tespit eder ve engeller, kurumsal sistemlerinin güvenliğini artırır.
• Erişim Kontrolü: WAF, uygulamalarda erişim kontrol politikalarını uygulayarak, farklı kullanıcı gruplarına yönelik özel erişim izinleri tanımlar. Bu sayede, hassas verilere sadece yetkili kullanıcılar erişebilir ve veri ihlalleri riski minimize edilir.

2. WAF’ın Bankacılık Sektöründeki Rolü

Dijital dönüşüm hız kazandıkça bankacılık sektörü dijital bankacılık, açık bankacılık ve senaryo bazlı finansal iş modelleri oluşturmak için çaba harcamaktadır. Bir yandan bankalar çevrimiçi operasyonlara daha fazla dikkat etmeye ve açıklıklarını artırmaya çabalarken, bu dönüşüm güvenlik risklerini de artırmaktadır (8). Teknolojik dönüşüme en hızlı adapte olan finans sektöründe her geçen gün gelişmeye devam eden dijital bankacılık hayatımıza birçok kolaylığı getirirken bu durum, siber güvenlik ihlallerine karşı daha fazla koruma gerektirmektedir. Bankacılık sektörü, hassas müşteri bilgileri ve finansal verilerin korunması gerektiği için yüksek güvenlik gereksinimlerine sahiptir. (9).

Dijital kanalların 7/24 hizmet verebiliyor olabilmesi gizlilik bütünlük ve erişilebilirliği sağlama noktasında gereken hassasiyetlerden dolayı illegal trafik ve aktiviteleri sunucuya kadar engelleyen WAF sayesinde engelleyebiliriz. Veri gizliliği ve güvenliği sağlama, DDoS saldırılarına karşı koruma, yasal uyumluluk ve regülasyonların karşılaması, operasyonel risklerin azaltılmasına sağladığı fayda ile WAF finans sektörünün vazgeçilmez güvenlik ürünlerinden olmuştur.

4. Bankacılıkta WAF Kullanımının İş Süreçlerine Etkisi

Web Uygulama Güvenlik Duvarı (WAF), bankacılık uygulamalarında kullanımı, operasyonel riskleri azaltarak iş sürekliliğini destekler ve yasal uyumluluk gereksinimlerinin karşılanmasında da katkı sağlar.

4.1. İtibarın Korunması

Güvenlik ihlalleri ve veri sızıntıları, bankaların itibarını ciddi şekilde zedeleyebilir. Siber saldırı durumunda, yalnızca web siteleri ve sunucular değil, müşteriler de risk altındadır. Bilgisayar korsanları yalnızca web sitenize erişimini engellemekle kalmayarak, müşteri bilgilerini ve kimlik bilgilerini de alabilirler. WAF, bu tür olayları önleyerek bankaların itibarını korur ve müşterilere güven verir. Müşteri bilgilerinin ve işlemlerinin korunması müşteri sadakatini güçlendirecek ve bankaların itibarının artmasını sağlayacaktır.

4.2. Operasyonel Risklerin Azaltılması

• Tehditlerin Erken Tespiti ve Engellenmesi: WAF, potansiyel tehditleri erken tespit eder ve engeller. Bu sayede sistemdeki zafiyetlerden yararlanmasının önüne geçilerek operasyonel süreçlerin kesintiye uğramasının önüne geçilir.
• Kesintisiz Hizmet: WAF, DDoS saldırılarına karşı savunma sağlayarak bankacılık hizmetlerinin kesintisiz devam etmesini sağlar. Bu sayede müşteri memnuniyeti ve operasyonel verimlilik artmış olacaktır.
• Maliyetlerin Azaltılması: Güvenlik ihlalleri sonrası operasyonel faaliyetlerin durması, ödenen cezalar kurumlar için ciddi maliyet ve gelir kaybına sebep olmaktadır. Bu tür olayların önlenmesini sağlayan WAF, operasyonel maliyetleri azaltır.

4.3. Yasal Uyumluluk ve Regülasyonların Karşılanması

• Bankalar, yasal regülasyonlar gereği GDPR, PCI DSS gibi çeşitli ulusal ve uluslararası standartlara veri koruma ve gizlilik yasalarına uymak zorundadır. WAF, sayesinde bu standartların isterleri karşılanarak yasal gereklilikler karşılanmış olur.

4.4. Bankacılık Sektöründe WAF Kullanım Örneği

2021 yılında CVE-2021–44228 olarak bilinen Apache Log4j zafiyeti ortaya çıkmıştır. BT altyapısında Log4j kütüphanesinin 2.0 ila 2.14.1 arasındaki sürümlerini kullanan herhangi bir sistem varsa, bu zafiyetten etkileneceği bildirilmiştir (10). Bu zafiyet, siber saldırganların uzaktan kod çalıştırmasına imkân tanımış ve bu sayede zafiyet barındıran sunuculardan kuruluşa ve çalışanlara ait verilerin rahatça ele geçirilebilme durumu ortaya çıkmıştır. Bu kütüphaneyi kullanan cihazların ve belki de yüzlerce uygulamanın güncellenmesi ve güvenlik yamalarının geçmesi aylar sürebilecekken, WAF sayesinde 24–48 saat içerisinde Log4j güvenlik açığı imzasının cihaz üzerinde aktif edilmesiyle bankamızda kolayca devreye alınmış ve sistemlerimizin bu zafiyetten istismar edilmesinin önüne geçilmiştir.

5. Sonuç

Yukarıda da değindiğimiz gibi dijitalleşmenin hız kazanması ve çevrimiçi bankacılık uygulamalarının her geçen gün artması, web güvenliğini her zamankinden daha kritik hale getirmiştir. Artan siber tehditlerle birlikte, WAF cihazları bankalar veya e-ticaret şirketlerinin dijital varlıklarını güvenli tutmak için vazgeçilmez hale gelmiştir. Doğru yapılandırılmış WAF sayesinde bankacılık uygulamalarının 7/24 erişilebilir olması ve sistemlerin siber saldırılara karşı korunması, müşteri bilgilerinin ve finansal verilerin güvence altına alınmasını sağlar. Bu sayede hem müşteri güveni sağlanmakta hem de bankaların iş sürekliliği ve itibarı korunmaktadır.

KAYNAKÇA

1. https://www.linkedin.com/pulse/waf-nedir-bilgi-sistemleri-aj9zc/

2. https://bulutistan.com/blog/waf-nedir/

3. https://aws.amazon.com/tr/what-is/large-language-model/

4. https://www.turkhackteam.org/konular/waf-web-uygulamasi-guvenlik-duvari-nedir-basit-ve-oz-anlatim-ile-waf.2036743/

5. https://www.acunetix.com/websitesecurity/sql-injection/#:~:text=SQL%20Injection%20(SQLi)%20is%20a,to%20bypass%20application%20security%20measures.

6. https://www.oracle.com/tr/security/cloud-security/what-is-waf/

7. https://www.microsoft.com/tr-tr/security/business/security-101/what-is-a-ddos-attack

8. https://nsfocusglobal.com/three-major-challenges-faced-by-waf-in-the-banking-industry/

9. https://finanskulup.org.tr/fintek/3146/dijital-bankacilikta-siber-guvenlik/

10. https://www.trendmicro.com/tr_tr/what-is/apache-log4j-vulnerability.html