OWASP SAMMSem categoriaVideo

OWASP Top 10 2021

A sigla OWASP é a abreviação para “Open Web Application Security Project” (OWASP Top 10). Trata-se de uma entidade sem fins lucrativos e com reconhecimento internacional, atuando com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo. O OWASP mantém uma lista com os 10 principais riscos de segurança em aplicativos Web mais críticos, juntamente com os métodos mais eficazes para lidar com eles.

Neste ano, em 2021, a lista dessas falhas de segurança foi atualizada, uma vez que essa atualização acontece a cada 4 anos. Mas dessa vez, não vamos falar apenas sobre esta lista. Mas sim, iremos desmistificar a interpretação deste modelo.

Desmistificando o Owasp Top 10

Um erro que muitos cometem é associar os 10 itens a 10 tipos de vulnerabilidades, quando na verdade são 10 categorias de riscos associados a aplicações. E dentro da atualização do Owasp Top 10 em 2021, as categorias estão melhor estruturadas. Anteriormente, ao mesmo tempo em que falavam que determinado item não era vulnerabilidade, ou um ataque, era muito claro que era associado a vulnerabilidade, como por exemplo, o Cross-site scripting.

Em 2021, começamos a tratar o risco do Cross-site scripting, quando falamos sobre este risco, ele está na categoria injection, assim como SQL injection, e outros tipos de vulnerabilidades. A partir de uma injeção de conteúdo malicioso você explora a vulnerabilidade, ficando então, a categorização muito mais interessante.

Os 10 principais riscos do OWASP

No OWASP estamos falando dos 10 principais riscos, mas de onde surgem esses riscos e como são classificados?

Basicamente é feito uma coleta dessas informações de diversas fontes, empresas, fabricantes, iniciativas privadas e Open Source. E é a partir dessa consolidação que conseguimos priorizar as 10 principais.

Mas por que priorizar? Ao invés de estudar todos os riscos possíveis e precisar lidar com todas as categorias de riscos e vulnerabilidades, o que seria muito mais complexo, o OWASP vem para facilitar nos entregando essa lista dos principais riscos. Assim como acontece no modelo de Stride da Microsoft, onde são 6 ameaças consolidadas para facilitar o consumo e estrutura, e principalmente para quem não é especialista.

O mal uso dessas práticas

Em discussões recentes, levantou-se o mal uso dessas práticas, o que sim, acontece. Como se fosse apenas chegar a um programador e pedir uma aplicação sem as vulnerabilidades classificadas pelo OWASP, sendo impossível. Existem muitas vulnerabilidades e categorias que podem ser incluídas dentro dessa taxonomia do OWASP. Seria muito mais efetivo passar o Proactive Controls ou até mesmo os requisitos da ASVS para este programador lidar com o problema de maneira pontual e especializada. 

Um outro mal uso seria tentar associar o Top 10 a qualquer tipo de certificação ou de acreditação, sendo que o OWASP não é um padrão para você validar a segurança de um produto. Então como seria a forma ideal de usar o OWASP? Simples, da maneira que foi proposto. Conheça os principais riscos e direcione o seu time para lidar com o mínimo necessário, ou seja, um baseline.

Inclusão do novo item relacionado a Secure by Design

Outro ponto interessante que o OWASP Top 10 2021 trouxe foi a inclusão de um novo item relacionado a fragilidade no design. Ou seja, muitas aplicações possuem problemas de arquitetura dentro da maneira em que elas foram concebidas. Então, este item fará com que os desenvolvedores comecem a se atentar mais para o Secure by Design.

Secure by Design é sobre construir aplicações seguras, onde é o real objetivo de AppSec. Falamos muito sobre encontrar vulnerabilidades, fazer testes, validar segurança, etc. Porém, AppSec também é construir aplicações seguras e não só verificar se elas estão seguras depois de já serem construídas.

Esse item irá possibilitar que trabalhemos melhor o Secure By Design, então será imprescindível a realização de modelagem de ameaças para identificar quais são as fragilidades, quais são os potenciais riscos associados ao que estamos desenvolvendo e a partir desta análise conseguiremos definir requisitos para que o time consiga construir aplicações mais seguras.

Não deixe de conferir o vídeo em que o CEO da Conviso, Wagner Elias, aborda a Owasp Top 10 2021  e onde ele fala sobre a inclusão do novo item relacionado a Secure by Design:

Related posts
Sem categoria

Software Bill Of Materials (SBOM) - o que é e como funciona

Neste artigo, vamos abordar um exemplo que pode explicar o que vem a ser o Software Bill of…
Read more
Sem categoria

Escalando um processo de modelagem de ameaças - Webinar

Para começar, precisamos entender o que é um processo de modelagem de ameaças. De forma simples…
Read more
Code FightersSem categoria

JSON WEB Tokens: Dicas e ataques para uma implementação segura

O JWT (JSON WEB Tokens) é um padrão aberto, documentado pela RFC-7519 que define como transmitir e…
Read more

Deixe um comentário