Web uygulamalarına yönelik AI çağı tehditleri tırmanıyor. Otomatik saldırganlar makine hızında çalışıyor, keşif ve sömürüyü tek akışta zincirliyor, uygulamanın hassas veri taşıyan kısımlarını hedef alıyor. Bu trafiğin büyük çoğunluğunu doğru kurulmuş bir WAAP durdurur — OWASP kapsama, bot scoring, DDoS — TR7 WAAP bu işi yapar. Ama saldırıların küçük bir kısmı yine de uygulamaya ulaşır: çalınmış kimlik bilgileri, sosyal mühendislik, tedarik zinciri JavaScript'i ya da sofistike iş mantığı suistimali yoluyla. Saldırgan sayfaya bir kez girdiğinde, veri zaten oradadır.
Sektör buna iki farklı şekilde cevap verir. Klasik DLP ürünleri (Forcepoint / Microsoft Purview kategorisi) dosyaları, USB portlarını ve yazıcı kuyruklarını izleyen endpoint ajanları kurar — masaüstü bilgi-işi için faydalı bir araç, ama bir web uygulamasından ayrılan veriyi durdurmak için yanlış yer. Cloud-only RBI ürünleri tarayıcı oturumlarını başkasının kenarında izole eder — faydalı, ama hassas trafiğinizi kendi ağınızdan dışarı çıkarır.
TR7 üçüncü bir yol izler. Veri sızıntısı önleme, servisi zaten koruyan aynı WAAP'ın içinde çalışır — kendi donanımınızda, aynı vService'in üstünde. Hassas servisler ek katmanlar alır: endpoint güvenliğinden gelen cihaz-güven sinyali oturum açılmadan erişimi kapatır; ZeroLeak izolasyonu uygulamayı sunucu tarafında render eder, böylece kullanıcının cihazında DOM, kaynak kod veya ham API yanıtı kalmaz; anti-OCR render AI çağı ekran-yakalama girişimlerine direnir; ve servis edilen her sayfaya işlenen forensic watermark, sızıntı olursa kimin hangi oturumdan aldığını gösterir.
Bu katmanlar her uygulama için her zaman açık değil. En hassas veri akışlarının olduğu yerlerde devreye girer. TR7 WAAP temel olmaya devam eder; bu katmanlar, servisin gerektirdiği yerde WAAP'ı yeni nesil yapan unsurlardır.
TR7 WAAP zaten OWASP, API güvenliği, bot yönetimi, DDoS ve içerik-farkındalıklı trafik kurallarını her servis için yönetir. Veri sızıntısı önleme bunun üstüne katmanlar ekler — gerçekten hassas veri taşıyan servisler için, her statik sayfa için değil.
Hassas bir servis için, TR7'nin endpoint güvenlik katmanı talepte bulunan cihazın bilinip bilinmediğini ve mevcut sağlığını — yönetim durumu, uyumluluk, posture — bildirir. Erişim kararı, uygulama doğrulanmamış bir endpoint'ten tek bir istek almadan önce bu sinyali içerir.
ZeroLeak izolasyon gateway'i hassas uygulamayı sunucu tarafında render eder ve tarayıcıya yalnızca işlenmiş çıktıyı gönderir. Kullanıcı tam çalışan bir uygulama görür; istemci tarafındaki saldırgan — ya da ele geçirilmiş bir tarayıcı süreci — scraping yapacak DOM, okunacak JavaScript kaynak kodu veya yakalanacak ham API yanıtı bulamaz. İstemci tarafındaki saldırı yüzeyi çöker.
İzolasyonun ötesinde, hassas veri başka yollardan da akar. TR7 PII, ödeme verisi ve kimlik bilgilerini API yanıtlarında istemciye ulaşmadan redakte eder; sayfalarınızdaki üçüncü taraf JavaScript'i izleyerek tarayıcıdan veri sızdıran tedarik zinciri skimmer'larını yakalar. Klasik DLP'nin kaçırdığı vektörler, WAAP katmanında kapanır.
Servis edilen her sayfa, render'ı belirli bir oturuma, kullanıcıya ve zaman damgasına bağlayan bir forensic watermark taşır. Hassas içerik uygulamanın dışına çıkarsa — sızdırılmış ekran görüntüsü, kopyalanmış kare, basılı sayfa — soruşturma sızıntının başladığı yere kadar izleyebilir. Tahmin yerine hesap verebilirlik. AI çağı ekran-yakalama tehditleri için özellikle AI Çağı Koruması sayfasına bakın.
Aşağıdaki her yetenek WAAP ve ADC ile aynı platformda yer alır. Katmanlar, servisin ihtiyaç duyduğu yerde devreye girer.
Bir vService'i hassas olarak işaretleyin, ek katmanlar — endpoint kontrolü, ZeroLeak izolasyonu, anti-OCR, watermark — o servis için devreye girer. Açık, hassas olmayan servisler standart WAAP profilini korur.
TR7'nin endpoint güvenlik katmanından gelen cihaz-güven sinyalleri (bilinen cihaz, güncel posture, uyumluluk durumu) uygulamanın isteği almasından önce erişim kararını besler. Bilinmeyen veya uyumsuz endpoint'ler politikaya göre engellenir, challenge edilir ya da kısıtlı bir deneyime yönlendirilir.
Hassas uygulama TR7 platformunda render edilir; tarayıcıya yalnızca işlenmiş görsel çıktı ulaşır. DOM yok, kaynak kod yok, ham API yanıtı yok. Kullanıcının gördüğü veri, makinesinin sahip olduğu tek veridir.
İşlenmiş çıktı, otomatik OCR ve vision language model hatlarına direnecek şekilde şekillendirilir. Gerçek kullanıcılar normal içerik görür; AI çağı ekran-yakalama araçları geri kazanımı güvenilmez bulur. Tam AI çağı tehdit modeli — agent sınıflandırması, scraper tespiti, AI çağı watermark mekanikleri — için AI Çağı Koruması sayfasına bakın.
Watermark, işlenen içeriğe işlenir — görünür veya steganografik — oturuma, kullanıcı kimliğine ve zaman damgasına bağlanır. Sızdırılmış bir ekran görüntüsü veya basılı sayfa kaynağa işaret eder.
Tam izolasyon altında çalışmayan servisler için bile yanıt katmanı maskeleme, PII, ödeme verisi, kimlik bilgileri ve diğer hassas patternleri istemciye ulaşmadan önce politikaya göre redakte eder. Kısmi izolasyon dağıtımları veya yalnızca-API servisleri için kullanışlıdır.
Sayfalarınızdaki üçüncü taraf JavaScript tarayıcıda izlenir. Yetkisiz script değişiklikleri, şüpheli form-data sızıntı paternleri ve tedarik zinciri skimming saldırıları müşteri verisi toplanmadan önce yüzeye çıkar.
İzole edilmiş hassas servislerdeki oturumlar soruşturma için uygun seviyede kaydedilir. Watermark ile birleştirilmiş denetim izleri, ek bir ürün gerektirmeden düzenleyici incelemeyi destekler.
Herhangi bir trafik özelliği üzerinden rate-limit, challenge veya block — header değerleri, cookie içerikleri, URL parametreleri, parse edilmiş JSON body değerleri. İzolasyon devreye girmeden bile tek bir oturumun ne kadar veri isteyebileceğini sınırlamak için kullanışlıdır.
Yukarıdakilerin hepsi mevcut vService konfigürasyonuna bağlanır. Tek operatör konsolu ADC teslimi, WAAP sinyalleri, ZTA erişimi ve bu veri-sızıntısı katmanlarını kapsar. Her şey için tek denetim izi.
Rendering, izolasyon, maskeleme ve watermark — hepsi kendi donanımınızda çalışır. Hassas verinizin yolunda üçüncü taraf bir edge yok.
Hassas servislerinize karşı bot flood'ları, scraping girişimleri ve diğer reddedilen istekler bant genişliği sayacının dışındadır — platformun her yerinde olduğu gibi.
TR7'de hassas olarak işaretlenmiş bir servise gelen istek platformda biraz farklı bir yol izler — sızıntı yollarını açılmadan önce kapatan bir yol.
Herhangi bir uygulama mantığı çalışmadan önce TR7'nin endpoint güvenlik katmanına danışılır. Cihaz biliniyor mu? Posture güncel mi? Politika ile uyumlu mu? Bilinmeyen veya uyumsuz endpoint'ler hassas servisle hiçbir oturum almaz.
Kimlik erişim yönetimi katmanı üzerinden doğrulanır (SSO, MFA, OAuth/OIDC/SAML). Sürekli trust evaluation oturum sırasındaki bağlam değişikliklerini izler — login'de verilen güven koşulsuz biçimde sürmez.
OWASP signature'ları, bot scoring, davranışsal analiz, içerik-farkındalıklı kurallar — tam WAAP katmanı, platformun her yerinde olduğu gibi çalışır. Saldırıların çoğu uygulama katmanına hiç ulaşmaz.
ZeroLeak izolasyonu ile yapılandırılmış servisler için uygulama TR7 platformunda render edilir. Tarayıcı, uygulamanın DOM'unu veya kaynak kodunu değil, işlenmiş görsel çıktıyı alır. İstemci tarafında scrape edilecek hiçbir şey yoktur.
İşlenmiş çıktı, AI çağı OCR hatlarına direnecek şekilde şekillendirilir. Kullanıcılar normal içerik görür; otomatik ekran-yakalama çıkarımı geri kazanımı güvenilmez bulur.
Her render edilen sayfa watermark taşır — oturum, kullanıcı kimliği, zaman damgası — içeriğe işlenmiş. Sızıntı olursa, kaynağa giden iz budur.
Tam izolasyon olmayan veri akışlarında, yanıtlardaki hassas patternler maskelenir. Her karar vService'i ve WAAP politikasını yöneten aynı konsolda loglanır.
Hassas altyapı üzerinde çalışan yetkili web konsolları. Endpoint sağlığı gerekli, uygulama sunucu tarafında render edilir, her admin eylemi watermark'lanır ve denetlenir.
Maskelenmemiş bir kaydın açığa çıkmasının düzenleyici olay sayıldığı bankacılık back-office, sağlık klinisyen portalları ve sigorta talep sistemleri. İzolasyon ve yanıt maskeleme birlikte çalışır; hassas veri istemci cihazda hiç olmaz.
Doğrudan yönetmediğiniz cihazlardaki kullanıcılar kapsamlı erişim ister. Endpoint sinyalleri + ZeroLeak izolasyonu, onlara ihtiyaç duydukları uygulamayı verir ama kopyalanacak altta yatan veriyi vermez.
Modern otomasyon ekranları ölçekte yakalar ve OCR çalıştırır. Anti-OCR render bu hattı hassas içerik için güvenilmez kılar — insanlar görür, makineler çıkartmakta zorlanır.
Hassas içeriğin uygulamanın dışında görünmesi, forensic watermark'ın yerini hak ettiği andır — sızdırılmış artifact bir oturuma, bir kullanıcıya ve bir zaman damgasına işaret eder.
Veri yerelliğinin üçüncü taraf trafik müdahalesini yasakladığı vatandaş-verisi servisleri. WAAP'in on-prem dağıtımı + ZeroLeak izolasyonu her byte'ı vatandaş-veri ağı içinde tutar.
Bu çözüme refer eden ürün özellikleri — yukarıda anlatılan kontrolleri oluşturan teknik parçalar.
Sunucuda oluşturulan sayfaların pikselleri değiştirilir — kullanıcı ekranda rahatça okur; çekilen ekran görüntüsü OCR motorları ve AI görme modelleri için anlamsız çıktı üretir.
Korunan uygulamayı TR7 platformunda tam izole bir oturumda çalıştır — kullanıcı sadece görüntüyü görür. HTML, JavaScript ve çerezler kullanıcının cihazına asla ulaşmaz.
Sayfadaki harfler sessizce görsel olarak yakın kardeşleriyle değiştirilir; imlecin etrafındaki bölge orijinalleri gösterir. İnsan doğal şekilde okur — bir AI ekran görüntüsünü verdiğinde farklı kelimeler okur.
Kullanıcıya özel görünür filigran artı piksellerin içine gömülmüş görünmez iz kimliği — bir ekran görüntüsü sızdığında, kırpma, ölçekleme veya fotoğraflama sonrası bile kaynağı tespit edilebilir.
Her kullanıcı oturumu kendi izole tarayıcı bağlamında çalışır — paylaşılan çerez, depolama veya süreç durumu yok — sıkı domain allowlist ve render düzeyinde otomasyon karşıtı savunmalarla birlikte.
Kritik anlarda olay tetikli ekran görüntüleri, sürekli FFmpeg video, kelime bazlı klavye buffer'ı ve pano loglaması — her oturum uyum ve soruşturma için yeniden kurulabilir.
Log gizliliği için IP maskele, proxy zincirleri için doğru istemci IP'sini yeniden oluştur.
Kurum servisi kodunu değiştirmeden response içeriğini maskele, değiştir veya HTML ekle.
Çerez değerlerini istemciden gizleyin; kurum servisi kodunu değiştirmeden oturum bütünlüğünü koruyun.
FTP'yi yalnızca açık port olarak değil, komut komut denetlenen güvenli bir dosya transfer oturumu olarak yönetin.
Hassas veriyi kullanıcıya ve loglara ulaşmadan önce platform seviyesinde maskeleyin.
TR7 veri sızıntısı önleme için canlı demo talep edin. Hassas bir admin panelinde gezdiririz: endpoint kontrolü, ZeroLeak izolasyonu, anti-OCR render ve forensic watermark — hepsi WAAP ile aynı platformda çalışır.