Geleneksel WAAP yaklaşımında bir imza eşleştiğinde istek doğrudan bloklanır. Bu model hızlı görünür, fakat gerçek uygulamalarda yanlış pozitif riskini artırır. Aynı pattern bir saldırı olabilir, ama bazı servislerde meşru veri formatı olarak da görünebilir. Bu yüzden her kuralın aynı sertlikte davranması doğru değildir.
Bir başka sorun, geniş kural setlerinin yönetim karmaşıklığıdır. Binlerce imza içeren bir yapıda hangi kuralın hangi scope'ta çalıştığı, hangi saldırı kategorisine ait olduğu, hangi skoru ürettiği ve hangi servislerde aktif olduğu net değilse operasyon ekibi WAAP'ı ya fazla gevşek ya da fazla agresif kullanır.
Modern saldırı yüzeyi artık yalnızca klasik SQL injection ve XSS ile sınırlı değildir. API endpoint'leri, JSON body alanları, GraphQL sorguları, JWT manipülasyonları, NoSQL sorguları, template engine açıkları, deserialization ve yeni CVE varyantları aynı trafik hattında görünür. WAAP motoru bu çeşitliliği scope ve kategori bazında ayıramazsa görünürlük zayıflar.
Doğru yaklaşım, imzaları skor tabanlı karar modeliyle çalıştırmaktır. Her kural kendi ağırlığını üretmeli, servis eşiği bu skorları değerlendirmeli, kural state'i monitor veya blocking olarak yönetilmeli ve özel ihtiyaçlar global ya da pool seviyesinde override edilebilmelidir.
TR7 WAAP İmza ve Skorlama bu modeli sunar: 3.000+ hazır kuralı, 32 saldırı kategorisini ve 7 inceleme kapsamını skor, threshold ve override mantığıyla yönetilebilir hale getirir.
TR7, WAAP kararını çoklu pattern eşleştirme, skor tabanlı threshold, iki katmanlı override ve zenginleştirilmiş saldırı kural setiyle uygular.
TR7, çoklu regex eşleştirme yaklaşımıyla geniş kural setlerini verimli biçimde çalıştırır. Kurallar shard'lara ayrılarak derlenebilir ve yalnızca değişen parçalar yeniden hazırlanabilir.
Her kural 2, 4, 6 veya 8 gibi skorlar üretebilir. Servis bazlı threshold değeriyle bu skorlar birleştirilir; böylece tek zayıf sinyal yerine toplam risk davranışı değerlendirilir.
Global özel kurallar ve pool özel kuralları ayrı ID alanlarında tutulur. Bu yapı, ortak kurum politikası ile müşteri veya servis özelindeki istisnaların çakışmadan yönetilmesini sağlar.
TR7, klasik web saldırılarına ek olarak API, JWT, GraphQL, NoSQL, prompt injection, template injection ve CVE odaklı saldırı varyantları için zenginleştirilmiş kurallar sunar. Bu katman, modern uygulama yüzeyini daha geniş kapsamla korur.
WAAP İmza ve Skorlama, geniş hazır kural setini servis bazlı skor, kapsam ve state kontrolleriyle yönetilebilir hale getirir.
TR7, üretim kullanımı için hazırlanmış 3.000+ WAAP kuralı içerir. SQL injection, XSS, path traversal, SSRF, XXE, deserialization, template injection, file read, file write, command execution ve bilgi sızıntısı gibi temel saldırı aileleri kapsanır. Kurallar yalnızca tek pattern listesi olarak değil, kategori, skor, kapsam ve hedef bilgisiyle birlikte yönetilir. Bu yapı, geniş korumayı operasyonel kontrolle birleştirir.
Kurallar 32 saldırı kategorisine ayrılır. access control bypass, authentication bypass, business logic abuse, cache poisoning, CRLF injection, data query injection, encoding evasion, file inclusion, HTTP smuggling, open redirect, parameter pollution, prompt injection, prototype pollution, session manipulation ve diğer kategoriler ayrı ayrı izlenebilir. Bu sınıflandırma, güvenlik ekibinin hangi saldırı ailelerinin daha sık tetiklendiğini anlamasını sağlar. Kural yönetimi binlerce satır yerine anlamlı risk başlıkları üzerinden yapılır.
TR7 kuralları path, query, header, form, JSON, XML ve raw alanlarında çalışabilir. Her kural hangi scope'ta eşleşeceğini açıkça bildirir. Bu sayede JSON body için yazılan bir imza header alanında gereksiz çalışmaz, path odaklı kural body trafiğine yanlış uygulanmaz. Scope ayrımı hem performans hem doğruluk açısından önemlidir.
Her kural belirli bir skor üretir ve bu skor servis eşiğiyle değerlendirilir. Düşük riskli eşleşmeler yalnızca log üretebilir, daha yüksek toplam skorlar bloklama kararına dönüşebilir. Bu yaklaşım, tek bir imza eşleşmesini mutlak karar haline getirmek yerine toplam risk davranışını dikkate alır. Servis bazlı threshold ayarı, farklı uygulamaların farklı hassasiyetlerde korunmasını sağlar.
Her kural enabled, disabled veya monitor modunda çalışabilir. enabled modda kural skor ve bloklama kararına dahil edilir; disabled modda devre dışı bırakılır; monitor modda ise log-only davranışla gözlemlenir. Yeni veya riskli kurallar önce monitor modda izlenebilir. Bu, production servislerde politika geçişini daha güvenli hale getirir.
Global override kurum genelindeki WAAP politikasını belirlerken, pool override belirli servis veya müşteri özelinde farklı davranış tanımlar. Bir kural globalde enabled kalırken belirli pool'da monitor moduna alınabilir veya skoru değiştirilebilir. Bu yapı, tek merkezden yönetim ile servis özelindeki gerçek ihtiyaçları dengeler. ID alanlarının ayrılması özel kural çakışmalarını azaltır.
TR7 enriched katmanı klasik web saldırılarına ek modern saldırı aileleri ekler. JWT manipülasyonu, GraphQL nested DoS, NoSQL sorgu enjeksiyonu, prompt injection, supply chain pattern'leri, container ve serverless yüzeyleri gibi yeni alanlar ayrıca ele alınır. Bu katman, yalnızca eski web formlarını değil, modern API ve platform yüzeyini de hedefler. Böylece WAAP koruması güncel uygulama mimarilerine daha yakın çalışır.
TR7, Log4Shell, Spring4Shell ve Shellshock gibi CVE odaklı saldırılar için özel varyant imzaları içerebilir. Encoded, obfuscated veya farklı syntax varyantları ayrı pattern'lerle yakalanabilir. CVE çıktığında özel kural ekleme ve hot reload yaklaşımıyla müdahale süresi kısalır. Bu, zero-day sonrası ilk savunma hattı için kritiktir.
TR7, her request için tetiklenen kural ID'leri, skor ve ilgili part bilgisini WAAP payload içinde taşıyabilir. Bu bilgi olay incelemede hangi kuralın neden devreye girdiğini anlamaya yardımcı olur. Operatör yalnızca "bloklandı" sonucunu değil, bloklamaya giden skor zincirini görebilir. Bu görünürlük false-positive analizi için önemlidir.
WAAP olayları CEF ve JSON formatlarında loglanabilir. Kural ID'si, saldırı kategorisi, skor, scope ve metadata alanları SIEM tarafına taşınabilir. Bu sayede güvenlik ekibi WAAP olaylarını merkezi alarm, korelasyon ve raporlama sistemlerine bağlayabilir. Log formatı, compliance ve olay müdahale süreçlerini destekler.
Kurallar güvenlik standartları ve saldırı taksonomileriyle eşleştirilebilir. CWE, CAPEC, MITRE ATT&CK ve OWASP Web/API Top 10 bağlantıları, teknik WAAP olayını denetim ve risk diliyle ilişkilendirir. Bu, SOC, uygulama güvenliği ve compliance ekiplerinin aynı olayı ortak çerçevede konuşmasını sağlar. Raporlama yalnızca imza ID'siyle sınırlı kalmaz.
TR7, kural değişikliklerinde tüm WAAP motorunu baştan ayağa kaldırmak yerine yalnızca değişen parçaları hazırlayabilir. Bu yaklaşım, yeni imza ekleme veya özel kural güncelleme süreçlerini daha hızlı ve daha az kesintili hale getirir. Container restart gerektirmeden güncel kural seti devreye alınabilir. Acil CVE müdahalelerinde bu operasyonel hız belirleyicidir.
WAAP imza motoru; compile modu, skor dağılımı, scope yoğunluğu, özel kural ID alanları, RRD istatistikleri ve hot reload davranışıyla birlikte işletilir.
Kural derleme all, poly veya mono shard modlarında çalışabilir. Sharded mono yaklaşımında kurallar parçalara ayrılarak paralel hazırlanabilir. Bu model, geniş kural setlerinde derleme süresini ve güncelleme etkisini azaltmaya yardımcı olur.
TR7 WAAP kural fabrikası maksimum 10.000 kural kapasitesini hedefleyen bir modelle çalışır. Bu sınır hazır kurallar, enriched katman ve müşteri özel kuralları için genişleme alanı sağlar. Operatör kural setini büyütürken performans ve kapsam dengesini izlemelidir.
Kurallar ağırlıklarına göre farklı skorlar üretir. 2 ve 4 daha düşük sinyal, 6 ve 8 daha güçlü risk sinyali olarak kullanılabilir. Kritik bazı kurallar daha yüksek aciliyetle ele alınabilir. Threshold kararı bu skorların toplam etkisine göre şekillenir.
Kurallar path, query, header, form, JSON, XML ve raw alanlarında farklı yoğunlukta çalışır. Query ve form alanları klasik saldırı yüzeylerinde yoğunken, JSON ve raw alanları modern API trafiğinde önem kazanır. Scope dağılımı, hangi trafik yüzeyinin daha çok koruma ürettiğini anlamayı sağlar.
Global özel kurallar ve pool özel kuralları ayrı ID aralıklarında üretilir. Global alan kurum genelindeki ortak kuralları, pool alanı ise servis veya müşteri özelindeki kuralları taşır. Bu ayrım, kural çakışmasını azaltır ve override davranışını daha okunabilir hale getirir.
Kural hit sayıları kategori bazında toplanabilir ve grafiklerde gösterilebilir. Böylece hangi saldırı ailelerinin daha sık görüldüğü, hangi servislerin daha fazla risk sinyali ürettiği ve politika değişikliklerinin etkisi izlenebilir. İstatistikler WAAP'ı yalnızca bloklayan değil, öğrenilebilir güvenlik sensörü haline getirir.
Finansal API ekipleri klasik OWASP odaklı korumayı JWT, GraphQL, NoSQL ve modern API saldırı kurallarıyla genişletebilir. TR7 enriched katmanı, güncel API yüzeyine daha uygun imza kapsamı sağlar.
Bankacılık ekipleri belirli kuralları önce monitor modda izleyip, servis threshold değerlerini pool bazında ayarlayabilir. Böylece agresif güvenlik ile gerçek kullanıcı trafiği arasında daha kontrollü denge kurulur.
Kamu portalları form ve JSON scope'larında çalışan özel regex kuralları ekleyebilir. Hassas veri veya beklenmeyen pattern görüldüğünde skor ve log üretilerek olay incelemesi başlatılır.
SaaS ekipleri global baseline kuralları tüm tenant'lara uygularken, belirli müşteri veya pool için özel override tanımlayabilir. ID ayrımı sayesinde müşteri özel kuralları ortak kural setiyle çakışmadan yönetilir.
3.000+ hazır kural, 32 saldırı kategorisi ve skor tabanlı karar modeli. Kendi ortamınızda nasıl çalıştığını birlikte inceleyelim.