Insights > Blog

PUBLICAÇÃO DO NOVO “OWASP TOP 10“

Após quatro (04) anos de muita discussão e trabalhos intensos, essa semana foi apresentada a nova lista de vulnerabilidades web “OWASP TOP 10 2021”, lista elaborada e controlada pela Open Web Application Security Project (OWASP), fundação sem fins lucrativos que trabalha para melhorar a segurança de software, com centenas de ‘bases’ espalhadas pelo mundo, constituída por dezenas de milhares de profissionais das áreas de tecnologia, desenvolvimento e da segurança.

Desde a última lista com as dez (10) maiores vulnerabilidades exploradas pelo mundo, em 2017; muita coisa mudou no mundo tecnológico. São quatro (04) anos, aproximadamente 1500 dias de evolução; que por muitas vezes passam desapercebidos pela maioria, mas que geram um grande impacto ao dia a dia de todos. A maior prova dessa evolução, são os celulares (smartphones) que nos últimos anos aumentaram a capacidade tecnológica, processamento e armazenamento absurdamente, tornando a vida mais “fácil” devido a velocidade relacionada às requisições realizadas por seus usuários. Em paralelo a esse desenvolvimento dos dispositivos móveis, inúmeros outros itens tecnológicos estão se reinventando, melhorando e inovando o mercado, através de conexões realizadas por fibras-ópticas ou por roteadores Wi-Fi, oferecendo uma cobertura de comunicação sem fio cada vez maior. Junto à essas comunicações temos muitas facilidades de uso diário, como abertura de cancelas, portas e portões; pagamentos por aproximação (RFC), abastecimento de veículos, automação de residências e lojas de vários segmentos, etc. E todos esses e muitos outros têm um ponto em comum, a WORLD WIDE WEB, o sistema hipertextual que opera através da internet.

Por outro lado, todo esse ganho de processamento e velocidade gerando tanta facilidade, não poderia acontecer se não controles e meios seguros para que pudéssemos usufruir de todas essas maravilhas. E é aqui que a OWASP atua visando melhorar, diretamente ou indiretamente; a segurança envolvida em toda essa concepção e comunicação.

Agora que já temos o cenário atual e os respectivos personagens definidos, analisando a classificação realizada pela OWASP em 2017, em comparação com a atual lançada recentemente em 2021, observamos claramente as tendências e situações impostas pelo desenvolvimento e pelo mercado.

A01: 2021-Broken Access Control move-se para cima da quinta posição; pois 94% dos aplicativos foram testados para alguma forma de controle de acesso quebrado. Os 34 CWEs mapeados para Broken Access Control tiveram mais ocorrências em aplicativos do que qualquer outra categoria.

A02: 2021-Cryptographic Failures – Falhas Criptográficas sobe uma posição para o nº 2, anteriormente conhecido como Exposição de Dados Confidenciais, que era um sintoma amplo, e não uma causa raiz. O foco renovado aqui está nas falhas relacionadas à criptografia, que geralmente levam à exposição de dados confidenciais ou comprometimento do sistema.

A03: 2021-Injection A Injeção desliza para a terceira posição. Semelhante a quebras de controles de acesso, 94% dos aplicativos também foram testados para alguma forma de injeção, e os 33 CWEs mapeados nesta categoria têm o segundo maior número de ocorrências em aplicativos. Cross-site Scripting agora faz parte desta categoria nesta edição.

A04: 2021-Insecure Design é uma nova categoria para 2021, com foco nos riscos relacionados a falhas de design. Se quisermos genuinamente “mover para a esquerda” como uma indústria, isso exige mais uso de modelagem de ameaças, padrões e princípios de design seguros e arquiteturas de referência.

A05: 2021-Security Misconfiguration – A configuração incorreta de segurança passou de # 6 na edição anterior para 5ª posição; pois 90% dos aplicativos foram testados para algum tipo de configuração incorreta. Com mais mudanças em software altamente configurável, não é surpreendente ver essa categoria subir. A antiga categoria de XML External Entities (XXE) agora faz parte desta categoria.

A06:2021-Vulnerable and Outdated Components Os componentes vulneráveis e desatualizados era anteriormente intitulado Using Components With Know Vulnerabilities é o número 2 na pesquisa do setor, mas também tinha dados suficientes para chegar aos 10 principais por meio de análise de dados. Esta categoria passou da 9ª posição em 2017 e é um problema conhecido que temos dificuldade em testar e avaliar o risco. É a única categoria que não possui CVEs mapeados para os CWEs incluídos, portanto, uma exploração padrão e pesos de impacto de 5,0 são considerados em suas pontuações.

A07: 2021-Identification and Authentication Failures (Falhas de identificação e autenticação) anteriormente conhecida como Broken Authentication, e está deslizando para baixo da segunda posição, e agora inclui CWEs que estão mais relacionados a falhas de identificação. Essa categoria ainda é parte integrante do Top 10, mas a maior disponibilidade de estruturas padronizadas parece estar ajudando.

A08:2021-Software and Data Integrity Failures As falhas de software e integridade de dados é uma nova categoria para 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI / CD sem verificar a integridade. Um dos maiores impactos ponderados dos dados CVE / CVSS mapeados para os 10 CWEs nesta categoria. A desserialização insegura de 2017 agora faz parte dessa categoria maior.

A09:2021-Security Logging and Monitoring Failures – Falhas de registro e monitoramento de segurança eram anteriormente conhecidas como Insufficient Logging & Monitoring e foi adicionado a partir da pesquisa do setor (nº 3), subindo do nº 10 anterior. Esta categoria foi expandida para incluir mais tipos de falhas, é um desafio para testar e não está bem representada nos dados CVE / CVSS. No entanto, as falhas nesta categoria podem afetar diretamente a visibilidade, o alerta de incidentes e a perícia.

A10: 2021-Server-Side Request Forgery adicionado através da pesquisa realizada no setor da indústria. Os dados mostram uma taxa de incidência relativamente baixa com cobertura de teste acima da média, junto com classificações acima da média para potencial de exploração e impacto. Esta categoria representa o cenário em que os profissionais da indústria estão nos dizendo que isso é importante, embora não esteja ilustrado nos dados neste momento.

Esta classificação Top 10 recentemente publicada; é mais baseada em dados do que nunca o foi, mas não cegamente baseada em dados. Foram selecionados oito das dez categorias de dados contribuídos e duas categorias de uma pesquisa do setor em alto nível. Isso é feito por uma razão fundamental: olhar para os dados de contribuição é olhar para o passado. Os pesquisadores da SEGURANÇA levam tempo para encontrar novas vulnerabilidades e novas maneiras de testá-las. Leva-se tempo para integrar esses testes às ferramentas e processos. No momento em que se testa com segurança uma fraqueza em escala, provavelmente já se passou muito tempo e as vezes, nem impõem tanto risco ao final dos testes. Para equilibrar essa visão, é utilizada uma pesquisa do setor para perguntar às pessoas na linha de frente o que elas consideram fraquezas essenciais que os dados ainda não mostram.

A maior preocupação da OWASP em apresentar uma classificação como essa, é dar condições, prover informações e traçar um caminho, utilizando dados reais de suas pesquisas e análises; por onde os profissionais de segurança, desenvolvedores e modeladores de aplicações e instrumentos tecnológicos, possam vislumbrar os pontos que requerem mais atenção relacionados à segurança e que podem vir a impactar seus respectivos negócios e macular seus usuários.

Qualquer pessoa pode observar que as falhas mais comuns e apresentadas nessa lista TOP 10, estão diretamente ou indiretamente relacionadas às facilidades, à velocidade e ao desenvolvimento tecnológico pelo qual somos afetados e impactados diariamente.

Na Cipher, em nossos testes, em nossas análises, nas nossas avaliações e em nossos relatórios realizados para clientes e seus respectivos ‘sites’, equipamentos, serviços, aplicativos móveis e aplicativos de internet; consideramos e sempre verificamos todos os pontos e classificações publicadas pela OWASP, e ainda vamos além; não somente limitando-se à lista das 10 maiores vulnerabilidades (TOP 10), mas sim checando a maioria, se não todas, as possíveis vulnerabilidades registradas e conhecidas para cada tipo de segmento, visando atender os mais altos níveis de controles de segurança existentes no mercado.

Por: Alexandre Armellini – Latam Red team coordinator

Fonte: www.owasp.org

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duração	Descrição
__hssrc	sessão	O Hubspot define este cookie cada vez que o cookie da sessão muda. O cookie __hssrc ajustado a 1 indica que o utilizador reiniciou o navegador, e se o cookie não existir, assume-se que se trata de uma nova sessão.
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com o objetivo de fornecer sua análise de risco.
viewed_cookie_policy	1 ano	Este cookie é definido pelo suplemento de consentimento de cookies da GDPR e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais.

Cookie	Duração	Descrição
AnalyticsSyncHistory	1 mês	Sem descrição
li_gc	2 anos	Não há descrição disponível.
UserMatchHistory	1 mês	Linkedin - Usado para localizar visitantes em múltiplos sítios web, a fim de apresentar anúncios relevantes com base nas preferências dos visitantes.

Cookie	Duração	Descrição
bscookie	2 anos	Este cookie é um cookie de identificação do navegador definido por Botões de partilha Linked e etiquetas de anúncios.
IDE	1 ano 24 dias	Os cookies IDE Google DoubleClick são utilizados para armazenar informação sobre a forma como o utilizador utiliza o sítio web a fim de apresentar ao utilizador anúncios relevantes e direccionados.
test_cookie	15 minutos	O cookie test_cookie é definido por doubleclick.net e é utilizado para determinar se o navegador do utilizador suporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Um cookie definido pelo Youtube para medir a largura de banda que determina se o utilizador recebe a nova ou a antiga interface do leitor.
YSC	sessão	O cookie do YSC é definido pelo YouTube e é utilizado para acompanhar as visualizações de vídeos incorporados nas páginas do YouTube.
yt-remote-connected-devices	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador que utiliza o vídeo do YouTube incorporado.
yt-remote-device-id	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador utilizando o vídeo do YouTube incorporado.

Cookie	Duração	Descrição
__hstc	1 ano 24 dias	Este é o cookie principal criado pelo Hubspot, para rastreio de visitantes. Contém o domínio, o carimbo temporal inicial (primeira visita), o último carimbo temporal (última visita), o carimbo temporal actual (esta visita) e o número de sessão (incrementado para cada sessão subsequente).
_ga	2 anos	O cookie _ga, definido pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também rastreia a utilização do site para relatórios de análise do site. O cookie armazena informação anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Este cookie é definido pelo Google e é utilizado para distinguir os utilizadores.
_gcl_au	3 meses	Fornecido pelo Google Tag Manager para testar a eficácia da publicidade dos sítios web que utilizam os seus serviços.
_gid	1 dia	Definido pelo Google Analytics, o cookie _gid armazena informações sobre como os visitantes utilizam um sítio web, enquanto cria um relatório analítico do desempenho do sítio. Alguns dos dados recolhidos incluem o número de visitantes, de onde provêm e as páginas que visitam anonimamente.
CONSENT	16 anos 3 meses 14 dias 7 horas	Estes cookies são definidos através de vídeos YouTube incorporados. Gravam dados estatísticos anónimos sobre, por exemplo, o número de vezes que o vídeo é visto e as definições utilizadas para a reprodução. Os dados sensíveis não são recolhidos a menos que esteja ligado à sua conta Google, caso em que as suas escolhas estão ligadas à sua conta, por exemplo, se clicar em "gostar" num vídeo.
hubspotutk	1 ano 24 dias	Este cookie é utilizado pela HubSpot para localizar os visitantes do website. Este cookie é passado ao Hubspot em formulários e é utilizado quando se deduplicam contactos.

Cookie	Duração	Descrição
__cf_bm	30 minutos	Este cookie, definido pelo Cloudflare, é utilizado para apoiar a Gestão de Botões Cloudflare.
__hssc	30 minutos	HubSpot define este cookie para acompanhar as sessões e para determinar se o HubSpot deve aumentar o número de sessões e os carimbos temporais no cookie __hstc.
bcookie	2 anos	O LinkedIn define este cookie de botões de partilha e etiquetas de anúncios do LinkedIn para reconhecer o ID do navegador.
lang	sessão	Este cookie é utilizado para armazenar as preferências linguísticas de um utilizador, a fim de exibir o conteúdo nessa língua armazenada na próxima vez que o utilizador visitar o website.
lidc	1 dia	O cookie lidc é colocado pelo LinkedIn para facilitar a selecção do centro de dados.

Insights > Blog

PUBLICAÇÃO DO NOVO “OWASP TOP 10“

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Saber mais