OWASP Top 10 Liberadas as Vulnerabilidades principais de 2021

Quanto mais as coisas mudam, mais elas permanecem as mesmas. Apesar de um cenário de ameaças em constante mudança e dos atores de ameaças que continuam melhorando seu jogo, as vulnerabilidades por trás das ameaças permanecem consistentes. O OWASP Top 10, classificado pelo Open Web Application Security Project, lista os 10 riscos e ameaças mais proeminentes e perigosos para os aplicativos.

Para mais detalhes e informações complementares visite o site da OWASP: owasp.org e confira a publicação original na íntegra, juntamente com todas as informações sobre como o processo é realizado.

1 – Introdução

Bem-vindo à última edição do OWASP Top 10! O OWASP Top 10 2021 está totalmente renovado, com um novo design gráfico e um infográfico de uma página disponível que você pode imprimir ou obter na página inicial do projeto.

O OWASP agradece a todos que contribuíram com seu tempo e dados para esta atualização. Sem a participação dos interessados, esta publicação não aconteceria. Ressalta-se que são categorias de riscos, onde se enquadram diversas vulnerabilidades. Porém, são importantes informações para a melhoria das condições de segurança da informação.

2 – O que mudou no Top 10 para 2021

Existem três novas categorias, quatro categorias com alterações de nomenclatura e escopo e duas consolidações no Top 10 para 2021. A imagem abaixo demonstra as alterações.

A01: 2021-Quebra de Controle de acesso: Subiu da quinta par a primeira posição; 94% das aplicações foram testadas para alguma forma de comprometimento do controle de acesso. Os 34 CWEs mapeados para Quebra de Controle de Acesso tiveram mais ocorrências em aplicativos do que qualquer outra categoria.

A02: 2021-Falhas criptográficas: sobe uma posição para o nº 2, anteriormente conhecido como Exposição de dados confidenciais, que era um sintoma amplo, e não uma causa raiz. O foco aqui está nas falhas relacionadas à criptografia, que geralmente levam à exposição de dados confidenciais ou comprometimento do sistema.

A03: 2021-Injeção: desce para a terceira posição. 94% das aplicações foram testados para alguma forma de injeção, e os 33 CWEs mapeados nesta categoria têm o segundo maior número de ocorrênciass. Cross-site Scripting agora faz parte desta categoria nesta edição.

A04: 2021-Design inseguro: é uma nova categoria para 2021, com foco nos riscos relacionados a falhas de design. Se quisermos genuinamente “ir para a esquerda”, isso exige mais uso de modelagem de ameaças, padrões e princípios de design seguro e arquiteturas de referência.

A05: 2021-Configuração incorreta de segurança: Subiu uma posição em relação a edição anterior; 90% dos aplicativos foram testados para algum tipo de configuração incorreta. Com mais mudanças em softwares altamente configuráveis, não é surpreendente ver essa categoria subir. XML External Entities (XXE) agora faz parte desta categoria.

A06: 2021-Componentes vulneráveis ​​e desatualizados: era anteriormente intitulado “Usando componentes com vulnerabilidades conhecidas” e é o número 2 na pesquisa do setor, mas também tinha dados suficientes para chegar aos 10 principais por meio de análise de dados. Esta categoria passou da 9ª posição em 2017 e é um problema conhecido que temos dificuldade em testar e avaliar o risco. É a única categoria que não possui CVEs mapeados para os CWEs incluídos, portanto, uma exploração padrão e pesos de impacto de 5,0 são considerados em suas pontuações.

A07: 2021-Quebra de identificação e autenticação: anteriormente definida como “Quebra de autenticação”, desceu da segunda para a sétima posição e agora inclui CWEs que estão relacionados a falhas de identificação. Essa categoria ainda é parte integrante do Top 10, mas a maior disponibilidade de estruturas padronizadas parece estar ajudando.

A08: 2021-Falhas de software e integridade de dados: é uma nova categoria para 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI / CD sem verificar a integridade. Um dos maiores impactos ponderados dos dados CVE / CVSS mapeados para os 10 CWEs nesta categoria. A “desserialização insegura” de 2017 agora faz parte dessa categoria maior.

A09: 2021 – Falhas de registro e monitoramento de segurança: anteriormente definida como “Registro e monitoramento insuficientes”, esta categoria foi expandida para incluir mais tipos de falhas. É um desafio para testar e não está bem representada nos dados CVE / CVSS. No entanto, as falhas nesta categoria podem impactar diretamente a visibilidade, o alerta de incidentes e a perícia.

A10: 2021-Server-Side Request Forgery: Os dados mostram uma taxa de incidência relativamente baixa com cobertura de teste acima da média, junto com classificações acima da média para potencial de exploração e impacto. Essa categoria representa o cenário em que os profissionais da indústria estão nos dizendo que isso é importante, embora não esteja ilustrado nos dados neste momento.

3 – Metodologia

No site original você poderá encontrar como foram criadas as métricas e padrões e como as categorias de riscos foram desenvolvidas e criadas.

O uso de dados e estatísticas fazem parte do processo, mas não é somente isso. Foram utilizados dados de mais de 500 mil aplicações, fornecidos por um número não revelado de organizações, sendo algumas anônimas. Essa foi a maior e mais abrangente amostra de dados de segurança de aplicações já utilizada no ranking.

Quanto mais as coisas mudam, mais elas permanecem as mesmas. Apesar de um cenário de ameaças em constante mudança e dos atores de ameaças que continuam melhorando seu jogo, as vulnerabilidades por trás das ameaças permanecem consistentes. O OWASP Top 10, classificado pelo Open Web Application Security Project, lista os 10 riscos e ameaças mais proeminentes e perigosos para os aplicativos.

4 – Considerações Finais –  Reflexões para os profissionais de Segurança da Informação

Alguns podem estar se perguntando: para quê serve essa lista de top 10 da OWASP? O quê e como isso poderia afetar meu trabalho? O que essa lista contribuirá para minha eficiência e entrega das tarefas relativas à segurança cibernética? Dentre outras questões…

Vamos a alguns insights que poderão ajudar na resposta e a elucidar essas questões tão importantes:

– Primeiro, vale ressaltar que não seriam top 10 vulnerabilidades, e sim grandes categorias de riscos, que englobam várias vulnerabilidades.

– Essa lista é uma base concreta estabelecida com dados reais, onde o profissional poderá se guiar. São parâmetros mínimos de segurança que visam orientar o desenvolvimento de aplicativos.

– Como existem diversos outros problemas e vulnerabilidades, essa lista ajuda a ter um norte a seguir, um bom começo para orientar os trabalhos de desenvolvimento de softwares e para verificar a segurança dos mesmos.

– É um consenso dos riscos mais críticos relacionados às aplicações web. Não esgotam o assunto, mas ajudam bastante.

– Pode, inclusive, ajudar aquelas empresas pequenas e médias, que tem poucos profissionais de TI e Segurança a priorizar as atividades e medidas de segurança.

– Uma sugestão seria até criar métricas para o pessoal de desenvolvimento não criar códigos com estes riscos, direcionando treinamentos e aperfeiçoando a equipe, evitando com que errem no básico, já que todo atacante estará conhecendo essa lista das TOP 10 OWASP.

– Firewalls de aplicação WEB (WAF) utilizam essa lista também como base de suas métricas de segurança, sendo um documento importante para a segurança e configuração de equipamentos.

– Lembre-se que essa lista não esgota o assunto. Ela apresenta as categorias de riscos que estão em evidência. É válido ressaltar que as listas anteriores devem ser verificadas também, a fim de ampliar o escopo e melhorar as condições de segurança contra vulnerabilidades de aplicações web.

– É uma grande ajuda a quem não sabe nada sobre o assunto e pode iniciar os estudos com base neste documento.

– A política de segurança não pode ser somente baseada nessa lista, e sim, nas melhores práticas de mercado, como ISO 27001, NIST,  SOC2, etc.

– Ela fornece um acompanhamento constante e com base científica de onde se encontram os principais problemas de segurança web atualmente e valem a pena serem acompanhadas e estudadas.

Para mais detalhes e informações complementares visite o site da OWASP: owasp.org e confira a publicação original na íntegra, juntamente com todas as informações sobre como o processo é realizado. O relatório do Top 10 está em https://owasp.org/Top10

Fonte: adaptação de owasp.org e securityintelligence.com

Posts relacionados: 21 melhores ferramentas gratuitas de Segurança da Informação / SegInfocast #79 – CIS Controls Versão 8 e CIS Controls v8 – A versão mais recente está agora disponível para download