Savunma sanayi şirketlerinde web uygulama güvenliğinde geleneksel yöntemler ve büyük dil modelleri (LLM) üzerine bir çalışma

Abstract

Web uygulamalarının gelişmesi ve kullanımının artmasıyla birlikte şirketler, hizmetlerini daha etkili ve hızlı bir şekilde tanıtabilmek adına kaynaklarını daha fazla dış erişime izin verme eğilimindedir. Ancak, web uygulamalarının kolay ulaşılabilir olması ve kullanımının artması, şirket varlıklarının herhangi bir kullanıcı tarafından erişilebilir olmasına neden olabilir. Bu durumun bir sonucu olarak, özellikle savunma sanayi gibi kritik öneme sahip sektörlerde faaliyet gösteren şirketler, saldırı yüzeylerini artırabilir. Öte yandan, web uygulamalarının saldırı yüzeyinde OWASP Top 10'da belirtilen güvenlik zafiyetlerinin bulunması, savunma sanayi şirketlerini web uygulamalarının potansiyel tehditlere maruz kalma riski ile karşı karşıya bırakabilir. Bu araştırmanın temel amacı, savunma sanayi şirketlerinin web sayfalarının saldırı yüzeylerini ölçebilmek için bir metrik geliştirmek ve farklı ülkelerden seçilen benzer büyüklükteki şirketler arasında karşılaştırma yapmaktır. Araştırmada, web uygulama saldırı yüzeyi ve web uygulama güvenliği detaylı bir şekilde incelenmiştir. Geliştirilen metrik, saldırı yüzeyi parametrelerini zenginleştirmiş ve kullanım yerini yitiren parametreleri çıkartarak daha anlaşılır hale getirmiştir. Metrik hesaplamak için kullanılan parametreler, 9 ana başlık altında toplanmıştır. Saldırı yüzeyi parametrelerini hesaplamak için Python programlama dili kullanılarak bir framework geliştirilmiş ve bu framework'ün nasıl kullanılacağı detaylı bir şekilde açıklanmıştır. Elde edilen sonuçlar görseller aracılığıyla değerlendirilmiş ve ChatGPT-4o sonuçlarıyla karşılaştırılmıştır. Araştırma sonucunda, web uygulamalarının kullanabileceği bir saldırı yüzeyi metriği oluşturulmuş ve diğer kullanıcıların farklı web uygulamalarını karşılaştırmaları veya aynı web uygulamasının farklı sürümlerindeki saldırı yüzeyi değişimini gözlemlemeleri için bir çerçeve sağlanmıştır. Ayrıca, ChatGPT-4o modelinde saldırı yüzeyi metrik hesaplamaları için tavsiyelerde bulunulmuştur.