PUBLICAÇÃO DO NOVO “OWASP TOP 10“
Após quatro (04) anos de muita discussão e trabalhos intensos, essa semana foi apresentada a nova lista de vulnerabilidades web “OWASP TOP 10 2021”, lista elaborada e controlada pela Open Web Application Security Project (OWASP), fundação sem fins lucrativos que trabalha para melhorar a segurança de software, com centenas de ‘bases’ espalhadas pelo mundo, constituída por dezenas de milhares de profissionais das áreas de tecnologia, desenvolvimento e da segurança.
Desde a última lista com as dez (10) maiores vulnerabilidades exploradas pelo mundo, em 2017; muita coisa mudou no mundo tecnológico. São quatro (04) anos, aproximadamente 1500 dias de evolução; que por muitas vezes passam desapercebidos pela maioria, mas que geram um grande impacto ao dia a dia de todos. A maior prova dessa evolução, são os celulares (smartphones) que nos últimos anos aumentaram a capacidade tecnológica, processamento e armazenamento absurdamente, tornando a vida mais “fácil” devido a velocidade relacionada às requisições realizadas por seus usuários. Em paralelo a esse desenvolvimento dos dispositivos móveis, inúmeros outros itens tecnológicos estão se reinventando, melhorando e inovando o mercado, através de conexões realizadas por fibras-ópticas ou por roteadores Wi-Fi, oferecendo uma cobertura de comunicação sem fio cada vez maior. Junto à essas comunicações temos muitas facilidades de uso diário, como abertura de cancelas, portas e portões; pagamentos por aproximação (RFC), abastecimento de veículos, automação de residências e lojas de vários segmentos, etc. E todos esses e muitos outros têm um ponto em comum, a WORLD WIDE WEB, o sistema hipertextual que opera através da internet.
Por outro lado, todo esse ganho de processamento e velocidade gerando tanta facilidade, não poderia acontecer se não controles e meios seguros para que pudéssemos usufruir de todas essas maravilhas. E é aqui que a OWASP atua visando melhorar, diretamente ou indiretamente; a segurança envolvida em toda essa concepção e comunicação.
Agora que já temos o cenário atual e os respectivos personagens definidos, analisando a classificação realizada pela OWASP em 2017, em comparação com a atual lançada recentemente em 2021, observamos claramente as tendências e situações impostas pelo desenvolvimento e pelo mercado.
A01: 2021-Broken Access Control move-se para cima da quinta posição; pois 94% dos aplicativos foram testados para alguma forma de controle de acesso quebrado. Os 34 CWEs mapeados para Broken Access Control tiveram mais ocorrências em aplicativos do que qualquer outra categoria.
A02: 2021-Cryptographic Failures – Falhas Criptográficas sobe uma posição para o nº 2, anteriormente conhecido como Exposição de Dados Confidenciais, que era um sintoma amplo, e não uma causa raiz. O foco renovado aqui está nas falhas relacionadas à criptografia, que geralmente levam à exposição de dados confidenciais ou comprometimento do sistema.
A03: 2021-Injection A Injeção desliza para a terceira posição. Semelhante a quebras de controles de acesso, 94% dos aplicativos também foram testados para alguma forma de injeção, e os 33 CWEs mapeados nesta categoria têm o segundo maior número de ocorrências em aplicativos. Cross-site Scripting agora faz parte desta categoria nesta edição.
A04: 2021-Insecure Design é uma nova categoria para 2021, com foco nos riscos relacionados a falhas de design. Se quisermos genuinamente “mover para a esquerda” como uma indústria, isso exige mais uso de modelagem de ameaças, padrões e princípios de design seguros e arquiteturas de referência.
A05: 2021-Security Misconfiguration – A configuração incorreta de segurança passou de # 6 na edição anterior para 5ª posição; pois 90% dos aplicativos foram testados para algum tipo de configuração incorreta. Com mais mudanças em software altamente configurável, não é surpreendente ver essa categoria subir. A antiga categoria de XML External Entities (XXE) agora faz parte desta categoria.
A06:2021-Vulnerable and Outdated Components Os componentes vulneráveis e desatualizados era anteriormente intitulado Using Components With Know Vulnerabilities é o número 2 na pesquisa do setor, mas também tinha dados suficientes para chegar aos 10 principais por meio de análise de dados. Esta categoria passou da 9ª posição em 2017 e é um problema conhecido que temos dificuldade em testar e avaliar o risco. É a única categoria que não possui CVEs mapeados para os CWEs incluídos, portanto, uma exploração padrão e pesos de impacto de 5,0 são considerados em suas pontuações.
A07: 2021-Identification and Authentication Failures (Falhas de identificação e autenticação) anteriormente conhecida como Broken Authentication, e está deslizando para baixo da segunda posição, e agora inclui CWEs que estão mais relacionados a falhas de identificação. Essa categoria ainda é parte integrante do Top 10, mas a maior disponibilidade de estruturas padronizadas parece estar ajudando.
A08:2021-Software and Data Integrity Failures As falhas de software e integridade de dados é uma nova categoria para 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI / CD sem verificar a integridade. Um dos maiores impactos ponderados dos dados CVE / CVSS mapeados para os 10 CWEs nesta categoria. A desserialização insegura de 2017 agora faz parte dessa categoria maior.
A09:2021-Security Logging and Monitoring Failures – Falhas de registro e monitoramento de segurança eram anteriormente conhecidas como Insufficient Logging & Monitoring e foi adicionado a partir da pesquisa do setor (nº 3), subindo do nº 10 anterior. Esta categoria foi expandida para incluir mais tipos de falhas, é um desafio para testar e não está bem representada nos dados CVE / CVSS. No entanto, as falhas nesta categoria podem afetar diretamente a visibilidade, o alerta de incidentes e a perícia.
A10: 2021-Server-Side Request Forgery adicionado através da pesquisa realizada no setor da indústria. Os dados mostram uma taxa de incidência relativamente baixa com cobertura de teste acima da média, junto com classificações acima da média para potencial de exploração e impacto. Esta categoria representa o cenário em que os profissionais da indústria estão nos dizendo que isso é importante, embora não esteja ilustrado nos dados neste momento.
Esta classificação Top 10 recentemente publicada; é mais baseada em dados do que nunca o foi, mas não cegamente baseada em dados. Foram selecionados oito das dez categorias de dados contribuídos e duas categorias de uma pesquisa do setor em alto nível. Isso é feito por uma razão fundamental: olhar para os dados de contribuição é olhar para o passado. Os pesquisadores da SEGURANÇA levam tempo para encontrar novas vulnerabilidades e novas maneiras de testá-las. Leva-se tempo para integrar esses testes às ferramentas e processos. No momento em que se testa com segurança uma fraqueza em escala, provavelmente já se passou muito tempo e as vezes, nem impõem tanto risco ao final dos testes. Para equilibrar essa visão, é utilizada uma pesquisa do setor para perguntar às pessoas na linha de frente o que elas consideram fraquezas essenciais que os dados ainda não mostram.
A maior preocupação da OWASP em apresentar uma classificação como essa, é dar condições, prover informações e traçar um caminho, utilizando dados reais de suas pesquisas e análises; por onde os profissionais de segurança, desenvolvedores e modeladores de aplicações e instrumentos tecnológicos, possam vislumbrar os pontos que requerem mais atenção relacionados à segurança e que podem vir a impactar seus respectivos negócios e macular seus usuários.
Qualquer pessoa pode observar que as falhas mais comuns e apresentadas nessa lista TOP 10, estão diretamente ou indiretamente relacionadas às facilidades, à velocidade e ao desenvolvimento tecnológico pelo qual somos afetados e impactados diariamente.
Na Cipher, em nossos testes, em nossas análises, nas nossas avaliações e em nossos relatórios realizados para clientes e seus respectivos ‘sites’, equipamentos, serviços, aplicativos móveis e aplicativos de internet; consideramos e sempre verificamos todos os pontos e classificações publicadas pela OWASP, e ainda vamos além; não somente limitando-se à lista das 10 maiores vulnerabilidades (TOP 10), mas sim checando a maioria, se não todas, as possíveis vulnerabilidades registradas e conhecidas para cada tipo de segmento, visando atender os mais altos níveis de controles de segurança existentes no mercado.
Por: Alexandre Armellini – Latam Red team coordinator
Fonte: www.owasp.org
0 Comments