当开放Web应用程序安全项目(OWASP)发布一份最新的顶级风险列表时,许多人谈论这些问题的集合,就好像它们是需要修复的漏洞一样。而OWASP 2021年十大Web应用程序安全风险包括基于漏洞的类,如注入(排名第三)和服务器端请求伪造(排名第十),还包括软件和数据完整性(排名第七)以及设计不安全(排名第四)等流程故障。
公司想要优先处理他们的漏洞,但是前10个文档应该优先处理考虑一个提示讨论企业和安全组织应该如何处理网络安全问题,而不是试图将其作为应用安全程序的蓝图。这个列表是为了突出开发人员和企业在创建和部署web应用程序时所面临的最常见风险。
使用OWASP十大标准的困难之一是,它记录了应用程序的安全风险,而不一定记录了容易测试的问题。例如,不安全的设计超出了大多数测试形式的范围。
在OWASP的文字OWASP十佳是面向开发者和web应用安全的标准认知文档。它代表了关于web应用最关键安全风险的广泛共识。”
然而,这就提出了企业应该如何使用这份文件的问题。下面是OWASP十大安全建议中公司应该寻求的改进安全方法的三种方法。
1.支持一种安全文化,而不是寻求一种工具
企业应该寻求改变自己的文化,而不是试图通过购买工具来获得安全。您的公司今天认为是安全的系统,明天可能被证明是不安全的。因此,公司不应将安全问题视为一次性解决的问题,而应将其视为需要持续修复、监控和改进的问题。他们需要成为有弹性的操作总是要考虑安全问题。
供应商喜欢吹嘘他们的工具或服务可以检测或防止OWASP十大漏洞,并减轻这些问题的风险。对于他们来说,OWASP十大清单已经成为需要遵守的营销工具或标准。然而,前10个列表中强调的大多数问题都是广泛的风险,而不是特定的漏洞类别,单一的工具无法减轻风险,更不用说检测大多数这些漏洞的原因了。
因此,与其寻找一个特定的工具或服务来解决OWASP十大web应用程序安全风险清单所突出的问题,公司应该这样做对员工进行技术培训旨在让开发人员、应用程序安全专业人员和业务主管意识到风险。创建一种具有风险意识并将安全视为每个决策的一部分的业务文化,将降低风险。
2.安保需要向左移动,但也要向右移动
应用程序安全团队还应该寻找可操作的方法来推动OWASP十大安全考虑因素不仅在左侧——向设计和开发方向发展——但也向右发展,进入商业、运营和工程团队。这就把给定应用程序管道的安全性交给了该特定阶段的专家。
只有企业可以确定他们的风险是什么,而开发人员最适合处理代码中的漏洞,运营团队可以通过在基础设施中加入安全流程来帮助解决问题。
方法将安全性集成到开发和部署生命周期中例如DevSecOps还可以帮助每个团队成员考虑应用程序中固有的安全风险。这样做的结果是工作更少,因为安全性在管道中被更早地处理,但也更可见,因为安全性也被集成到基础设施中。
3.只有解决了过去的风险,才能解决未来的风险
前10名是基于数据来自十多家不同的安全公司提交的超过50万份申请,这些申请基于人工辅助工具、工具辅助的人工测试和原始工具。这些术语描述了人工分析人员在测试过程中扮演的角色的程度。渗透测试通常被认为是一种工具辅助的人工过程,而人工辅助工具包括静态分析安全测试(SAST)工具,在这种工具中,人类分析人员或开发人员将确定问题是否合法。
这些问题的发生率构成了前十名列表的基础,并占据了前十名中的八个位置。
前10名中的另外两个位置是根据对开发者和应用程序安全专家认为未来将会出现的最重要的应用程序问题的调查而选择的。
因此,前10个列表并不是所有应用程序风险的全貌。正如投资者认为过去的表现并不代表未来的结果一样,过去的风险并不总是企业未来的风险。
然而,前十名列表上的大多数风险在每次发布中都保持不变或相似是有原因的。攻击者倾向于使用他们已经知道的攻击向量,因此大多数攻击将试图利用OWASP前10中列出的最常见的弱点和风险。
简而言之,要担心的是您已经知道的威胁,比如OWASP top10,而不是您无法专门准备的未来威胁。最后,如果您有适当的程序来处理最常见的威胁,那么您也可能捕获未来的威胁。
明智地使用前10个文档
总体而言,OWASP十大Web应用程序安全风险报告是提高对最新问题认识的关键文件。与应用程序安全程序配对,旨在以可衡量的方式提高软件质量和减少漏洞,如软件保障成熟度模型(SAMM)在美国,企业可以为当今最常见的威胁以及未来最有可能的攻击做好准备。
继续学习
未来是安全作为代码。找出DevSecOps是如何通过TechBeacon的指南让你到达那里的.+:看到SANS DevSecOps调查报告为实践者提供关键的见解。
快速了解应用程序测试的状态与TechBeacon指南.+: Gartner的2021年AST魔术象限赛.
掌握应用程序sec工具景观与TechBeacon的应用安全工具指南2021.
下载免费用于静态应用程序安全测试的Forrester Wave.另外:学习如何使用SAST-DAST组合来提高你的安全性在这个网络研讨会.
理解的API安全需要访问管理的五个原因.
学习如何来为未来10年制定一个应用SEC战略,并花了应用程序安全开发人员生活中的一天.
建立一个现代应用程序的基础与TechBeacon指南.
