OWASP's 2021 Liste wird neu gemischt: Ein neuer Schlachtplan und ein neuer Hauptfeind
In dieser zunehmend chaotischen Welt gab es schon immer ein paar Konstanten, auf die man sich zuverlässig verlassen konnte: Die Sonne wird morgens aufgehen und abends wieder untergehen, Mario wird immer cooler sein als Sonic the Hedgehog, und Injektionsangriffe werden immer den ersten Platz auf der Liste des Open Web Application Security Project (OWASP) der zehn häufigsten und gefährlichsten Schwachstellen einnehmen, die Angreifer aktiv ausnutzen.
Nun, die Sonne wird morgen aufgehen, und Mario hat immer noch einen Vorsprung vor Sonic, aber Injektionsangriffe sind auf der berüchtigten OWASP-Liste, die 2021 aktualisiert wird, vom ersten Platz gefallen. Injektionsschwachstellen, eine der ältesten Angriffsformen, gibt es schon fast so lange wie Computernetzwerke. Die pauschale Schwachstelle ist für ein breites Spektrum von Angriffen verantwortlich, das von traditionellen SQL-Injektionen bis zu Exploits gegen Object Graph Navigation Libraries (OGNL) reicht. Sie umfasst sogar direkte Angriffe auf Server unter Verwendung von OS-Befehlsinjektionstechniken. Die Vielseitigkeit der Injektionsschwachstellen für Angreifer - ganz zu schweigen von der Anzahl der potenziell angreifbaren Stellen - hat dazu geführt, dass diese Kategorie seit vielen Jahren an der Spitze steht.
Aber der Injektionskönig ist gefallen. Lang lebe der König.
Bedeutet das, dass wir das Problem der Injektionsschwachstellen endlich gelöst haben? Keineswegs. Es ist nicht weit von seiner Position als Sicherheitsfeind Nummer eins entfernt und nur auf Platz drei der OWASP-Liste abgerutscht. Es wäre ein Fehler, die anhaltende Gefahr von Injektionsangriffen zu unterschätzen, aber die Tatsache, dass eine andere Schwachstellenkategorie sie übertreffen konnte, ist bedeutsam, denn sie zeigt, wie weit verbreitet der neue OWASP-Platzhirsch tatsächlich ist, und warum Entwickler ihm in Zukunft große Aufmerksamkeit schenken müssen.
Das vielleicht Interessanteste ist jedoch, dass die OWASP Top 10 2021 eine deutliche Überarbeitung erfahren haben, mit brandneuen Kategorien, die ihr Debüt feiern: Unsicheres Design, Software- und Datenintegritätsfehler und ein Eintrag, der auf den Ergebnissen einer Community-Umfrage basiert: Server-Side Request Forgery. Dies deutet darauf hin, dass der Schwerpunkt zunehmend auf architektonischen Schwachstellen liegt und der Maßstab für die Softwaresicherheit nicht mehr nur auf Oberflächenfehlern beruht.
Kaputte Zugangskontrolle setzt sich die Krone auf (und zeigt einen Trend)
Die unzureichende Zugriffskontrolle hat sich vom fünften Platz der OWASP-Liste der zehn größten Schwachstellen bis auf den ersten Platz hochgearbeitet. Wie bei Injection und neuen Einträgen wie Insecure Design umfasst die Sicherheitslücke "Broken Access" ein breites Spektrum an Programmierfehlern, was zu ihrer zweifelhaften Popularität beiträgt, da sie zusammengenommen Schaden an mehreren Fronten verursachen können. Die Kategorie umfasst alle Fälle, in denen Zugriffskontrollrichtlinien verletzt werden können, so dass Benutzer außerhalb ihrer vorgesehenen Berechtigungen handeln können.
Zu den von OWASP angeführten Beispielen für eine lückenhafte Zugriffskontrolle, die die Familie der Schwachstellen auf den ersten Platz heben, gehören solche, die es Angreifern ermöglichen, eine URL, den internen Status einer Anwendung oder einen Teil einer HTML-Seite zu ändern. Sie können es Benutzern auch ermöglichen, ihren primären Zugriffsschlüssel zu ändern, so dass eine Anwendung, Website oder API glaubt, sie seien jemand anderes, z. B. ein Administrator mit höheren Berechtigungen. Es gibt sogar Schwachstellen, bei denen Angreifer nicht auf die Änderung von Metadaten beschränkt sind, so dass sie Dinge wie JSON-Web-Token, Cookies oder Zugriffskontroll-Token ändern können.
Einmal ausgenutzt, kann diese Familie von Schwachstellen von Angreifern genutzt werden, um Datei- oder Objektautorisierungen zu umgehen, was ihnen ermöglicht, Daten zu stehlen oder sogar zerstörerische Funktionen auf Administratorebene wie das Löschen von Datenbanken durchzuführen. Dies macht eine unterbrochene Zugriffskontrolle nicht nur immer häufiger, sondern auch besonders gefährlich.
Es ist ziemlich überzeugend - und doch nicht überraschend -, dass Schwachstellen in der Authentifizierung und Zugangskontrolle für Angreifer zum fruchtbarsten Boden werden, den sie ausnutzen können. Der jüngste Data Breach Investigations Report von Verizon zeigt, dass Probleme bei der Zugangskontrolle in fast allen Branchen, insbesondere im IT- und Gesundheitswesen, weit verbreitet sind und dass bei satten 85 % aller Sicherheitsverletzungen ein menschliches Element eine Rolle spielt. Der Begriff "menschliches Element" umfasst Vorfälle wie Phishing-Angriffe, die kein technisches Problem darstellen, aber 3 % der Sicherheitsverletzungen betrafen ausnutzbare Schwachstellen und waren dem Bericht zufolge überwiegend ältere Schwachstellen und auf menschliches Versagen zurückzuführen, wie z. B. falsche Sicherheitskonfiguration.
Während diese altersschwachen Sicherheitsprobleme wie XSS und SQL-Injection den Entwicklern nach wie vor zu schaffen machen, wird zunehmend deutlich, dass das grundlegende Sicherheitsdesign versagt und architektonischen Schwachstellen Platz macht, die für Bedrohungsakteure sehr vorteilhaft sein können, vor allem wenn sie nicht behoben werden, nachdem die Sicherheitslücke in einer bestimmten Version einer Anwendung bekannt gemacht wurde.
Das Problem ist, dass nur wenige Ingenieure eine Ausbildung und Kompetenzentwicklung erhalten, die über die Grundlagen hinausgeht, und noch weniger erhalten ihr Wissen und ihre praktische Anwendung über lokalisierte Fehler auf Code-Ebene hinaus, die in der Regel von den Entwicklern selbst verursacht werden.
Verhinderung von Fehlern, die Roboter selten finden
Die neu gruppierte Familie der Sicherheitslücken in der Zugangskontrolle ist ziemlich vielfältig. Auf unserem YouTube-Kanal und in unserem Blog finden Sie einige konkrete Beispiele für Schwachstellen in der Zugriffskontrolle und wie man sie beheben kann.
Ich denke jedoch, dass es wichtig ist, diese neue OWASP Top 10 zu feiern; sie ist in der Tat vielfältiger und umfasst ein breiteres Spektrum an Angriffsvektoren, darunter auch solche, die von Scannern nicht unbedingt erkannt werden. Für jede gefundene Schwachstelle auf Code-Ebene werden komplexere Architekturfehler von den meisten Sicherheitstechnologien unbemerkt bleiben, egal wie viele automatische Schutzschilde und Waffen im Arsenal vorhanden sind. Während der Löwenanteil der OWASP Top 10-Liste nach wie vor auf der Grundlage von Scandaten erstellt wird, zeigen die neuen Einträge, die unter anderem unsicheres Design und Datenintegritätsfehler abdecken, dass der Schulungshorizont für Entwickler schnell erweitert werden muss, um zu erreichen, was Roboter nicht können.
Einfach ausgedrückt: Sicherheitsscanner sind keine großartigen Bedrohungsmodellierer, aber ein Team von sicherheitskompetenten Entwicklern kann dem AppSec-Team unermesslich helfen, indem es seinen Sicherheits-IQ in Übereinstimmung mit den Best Practices und den Anforderungen des Unternehmens steigert. Dies muss in einem guten Sicherheitsprogramm berücksichtigt werden, wobei man sich darüber im Klaren sein muss, dass die OWASP Top 10 zwar eine hervorragende Grundlage darstellen, die Bedrohungslandschaft aber so schnelllebig ist (ganz zu schweigen von den Anforderungen interner Entwicklungsziele), dass es einen Plan geben muss, um die Weiterbildung der Entwickler im Bereich Sicherheit zu vertiefen und zu präzisieren. Andernfalls werden unweigerlich Gelegenheiten zur frühzeitigen Behebung von Sicherheitslücken verpasst und ein erfolgreicher, ganzheitlicher Ansatz zur präventiven, von Menschen geleiteten Cybersicherheit wird behindert.
Wir sind bereit für die OWASP Top 10 2021, und das ist erst der Anfang! Bringen Sie Ihre Entwickler auf einen erweiterten Sicherheitsfähigkeiten noch heute.
Injektionsangriffe, der berüchtigte König der Schwachstellen (nach Kategorie), haben den Spitzenplatz als schlimmste der schlimmsten Schwachstellen an eine nicht funktionierende Zugriffskontrolle verloren, und Entwickler müssen dies zur Kenntnis nehmen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
In dieser zunehmend chaotischen Welt gab es schon immer ein paar Konstanten, auf die man sich zuverlässig verlassen konnte: Die Sonne wird morgens aufgehen und abends wieder untergehen, Mario wird immer cooler sein als Sonic the Hedgehog, und Injektionsangriffe werden immer den ersten Platz auf der Liste des Open Web Application Security Project (OWASP) der zehn häufigsten und gefährlichsten Schwachstellen einnehmen, die Angreifer aktiv ausnutzen.
Nun, die Sonne wird morgen aufgehen, und Mario hat immer noch einen Vorsprung vor Sonic, aber Injektionsangriffe sind auf der berüchtigten OWASP-Liste, die 2021 aktualisiert wird, vom ersten Platz gefallen. Injektionsschwachstellen, eine der ältesten Angriffsformen, gibt es schon fast so lange wie Computernetzwerke. Die pauschale Schwachstelle ist für ein breites Spektrum von Angriffen verantwortlich, das von traditionellen SQL-Injektionen bis zu Exploits gegen Object Graph Navigation Libraries (OGNL) reicht. Sie umfasst sogar direkte Angriffe auf Server unter Verwendung von OS-Befehlsinjektionstechniken. Die Vielseitigkeit der Injektionsschwachstellen für Angreifer - ganz zu schweigen von der Anzahl der potenziell angreifbaren Stellen - hat dazu geführt, dass diese Kategorie seit vielen Jahren an der Spitze steht.
Aber der Injektionskönig ist gefallen. Lang lebe der König.
Bedeutet das, dass wir das Problem der Injektionsschwachstellen endlich gelöst haben? Keineswegs. Es ist nicht weit von seiner Position als Sicherheitsfeind Nummer eins entfernt und nur auf Platz drei der OWASP-Liste abgerutscht. Es wäre ein Fehler, die anhaltende Gefahr von Injektionsangriffen zu unterschätzen, aber die Tatsache, dass eine andere Schwachstellenkategorie sie übertreffen konnte, ist bedeutsam, denn sie zeigt, wie weit verbreitet der neue OWASP-Platzhirsch tatsächlich ist, und warum Entwickler ihm in Zukunft große Aufmerksamkeit schenken müssen.
Das vielleicht Interessanteste ist jedoch, dass die OWASP Top 10 2021 eine deutliche Überarbeitung erfahren haben, mit brandneuen Kategorien, die ihr Debüt feiern: Unsicheres Design, Software- und Datenintegritätsfehler und ein Eintrag, der auf den Ergebnissen einer Community-Umfrage basiert: Server-Side Request Forgery. Dies deutet darauf hin, dass der Schwerpunkt zunehmend auf architektonischen Schwachstellen liegt und der Maßstab für die Softwaresicherheit nicht mehr nur auf Oberflächenfehlern beruht.
Kaputte Zugangskontrolle setzt sich die Krone auf (und zeigt einen Trend)
Die unzureichende Zugriffskontrolle hat sich vom fünften Platz der OWASP-Liste der zehn größten Schwachstellen bis auf den ersten Platz hochgearbeitet. Wie bei Injection und neuen Einträgen wie Insecure Design umfasst die Sicherheitslücke "Broken Access" ein breites Spektrum an Programmierfehlern, was zu ihrer zweifelhaften Popularität beiträgt, da sie zusammengenommen Schaden an mehreren Fronten verursachen können. Die Kategorie umfasst alle Fälle, in denen Zugriffskontrollrichtlinien verletzt werden können, so dass Benutzer außerhalb ihrer vorgesehenen Berechtigungen handeln können.
Zu den von OWASP angeführten Beispielen für eine lückenhafte Zugriffskontrolle, die die Familie der Schwachstellen auf den ersten Platz heben, gehören solche, die es Angreifern ermöglichen, eine URL, den internen Status einer Anwendung oder einen Teil einer HTML-Seite zu ändern. Sie können es Benutzern auch ermöglichen, ihren primären Zugriffsschlüssel zu ändern, so dass eine Anwendung, Website oder API glaubt, sie seien jemand anderes, z. B. ein Administrator mit höheren Berechtigungen. Es gibt sogar Schwachstellen, bei denen Angreifer nicht auf die Änderung von Metadaten beschränkt sind, so dass sie Dinge wie JSON-Web-Token, Cookies oder Zugriffskontroll-Token ändern können.
Einmal ausgenutzt, kann diese Familie von Schwachstellen von Angreifern genutzt werden, um Datei- oder Objektautorisierungen zu umgehen, was ihnen ermöglicht, Daten zu stehlen oder sogar zerstörerische Funktionen auf Administratorebene wie das Löschen von Datenbanken durchzuführen. Dies macht eine unterbrochene Zugriffskontrolle nicht nur immer häufiger, sondern auch besonders gefährlich.
Es ist ziemlich überzeugend - und doch nicht überraschend -, dass Schwachstellen in der Authentifizierung und Zugangskontrolle für Angreifer zum fruchtbarsten Boden werden, den sie ausnutzen können. Der jüngste Data Breach Investigations Report von Verizon zeigt, dass Probleme bei der Zugangskontrolle in fast allen Branchen, insbesondere im IT- und Gesundheitswesen, weit verbreitet sind und dass bei satten 85 % aller Sicherheitsverletzungen ein menschliches Element eine Rolle spielt. Der Begriff "menschliches Element" umfasst Vorfälle wie Phishing-Angriffe, die kein technisches Problem darstellen, aber 3 % der Sicherheitsverletzungen betrafen ausnutzbare Schwachstellen und waren dem Bericht zufolge überwiegend ältere Schwachstellen und auf menschliches Versagen zurückzuführen, wie z. B. falsche Sicherheitskonfiguration.
Während diese altersschwachen Sicherheitsprobleme wie XSS und SQL-Injection den Entwicklern nach wie vor zu schaffen machen, wird zunehmend deutlich, dass das grundlegende Sicherheitsdesign versagt und architektonischen Schwachstellen Platz macht, die für Bedrohungsakteure sehr vorteilhaft sein können, vor allem wenn sie nicht behoben werden, nachdem die Sicherheitslücke in einer bestimmten Version einer Anwendung bekannt gemacht wurde.
Das Problem ist, dass nur wenige Ingenieure eine Ausbildung und Kompetenzentwicklung erhalten, die über die Grundlagen hinausgeht, und noch weniger erhalten ihr Wissen und ihre praktische Anwendung über lokalisierte Fehler auf Code-Ebene hinaus, die in der Regel von den Entwicklern selbst verursacht werden.
Verhinderung von Fehlern, die Roboter selten finden
Die neu gruppierte Familie der Sicherheitslücken in der Zugangskontrolle ist ziemlich vielfältig. Auf unserem YouTube-Kanal und in unserem Blog finden Sie einige konkrete Beispiele für Schwachstellen in der Zugriffskontrolle und wie man sie beheben kann.
Ich denke jedoch, dass es wichtig ist, diese neue OWASP Top 10 zu feiern; sie ist in der Tat vielfältiger und umfasst ein breiteres Spektrum an Angriffsvektoren, darunter auch solche, die von Scannern nicht unbedingt erkannt werden. Für jede gefundene Schwachstelle auf Code-Ebene werden komplexere Architekturfehler von den meisten Sicherheitstechnologien unbemerkt bleiben, egal wie viele automatische Schutzschilde und Waffen im Arsenal vorhanden sind. Während der Löwenanteil der OWASP Top 10-Liste nach wie vor auf der Grundlage von Scandaten erstellt wird, zeigen die neuen Einträge, die unter anderem unsicheres Design und Datenintegritätsfehler abdecken, dass der Schulungshorizont für Entwickler schnell erweitert werden muss, um zu erreichen, was Roboter nicht können.
Einfach ausgedrückt: Sicherheitsscanner sind keine großartigen Bedrohungsmodellierer, aber ein Team von sicherheitskompetenten Entwicklern kann dem AppSec-Team unermesslich helfen, indem es seinen Sicherheits-IQ in Übereinstimmung mit den Best Practices und den Anforderungen des Unternehmens steigert. Dies muss in einem guten Sicherheitsprogramm berücksichtigt werden, wobei man sich darüber im Klaren sein muss, dass die OWASP Top 10 zwar eine hervorragende Grundlage darstellen, die Bedrohungslandschaft aber so schnelllebig ist (ganz zu schweigen von den Anforderungen interner Entwicklungsziele), dass es einen Plan geben muss, um die Weiterbildung der Entwickler im Bereich Sicherheit zu vertiefen und zu präzisieren. Andernfalls werden unweigerlich Gelegenheiten zur frühzeitigen Behebung von Sicherheitslücken verpasst und ein erfolgreicher, ganzheitlicher Ansatz zur präventiven, von Menschen geleiteten Cybersicherheit wird behindert.
Wir sind bereit für die OWASP Top 10 2021, und das ist erst der Anfang! Bringen Sie Ihre Entwickler auf einen erweiterten Sicherheitsfähigkeiten noch heute.
In dieser zunehmend chaotischen Welt gab es schon immer ein paar Konstanten, auf die man sich zuverlässig verlassen konnte: Die Sonne wird morgens aufgehen und abends wieder untergehen, Mario wird immer cooler sein als Sonic the Hedgehog, und Injektionsangriffe werden immer den ersten Platz auf der Liste des Open Web Application Security Project (OWASP) der zehn häufigsten und gefährlichsten Schwachstellen einnehmen, die Angreifer aktiv ausnutzen.
Nun, die Sonne wird morgen aufgehen, und Mario hat immer noch einen Vorsprung vor Sonic, aber Injektionsangriffe sind auf der berüchtigten OWASP-Liste, die 2021 aktualisiert wird, vom ersten Platz gefallen. Injektionsschwachstellen, eine der ältesten Angriffsformen, gibt es schon fast so lange wie Computernetzwerke. Die pauschale Schwachstelle ist für ein breites Spektrum von Angriffen verantwortlich, das von traditionellen SQL-Injektionen bis zu Exploits gegen Object Graph Navigation Libraries (OGNL) reicht. Sie umfasst sogar direkte Angriffe auf Server unter Verwendung von OS-Befehlsinjektionstechniken. Die Vielseitigkeit der Injektionsschwachstellen für Angreifer - ganz zu schweigen von der Anzahl der potenziell angreifbaren Stellen - hat dazu geführt, dass diese Kategorie seit vielen Jahren an der Spitze steht.
Aber der Injektionskönig ist gefallen. Lang lebe der König.
Bedeutet das, dass wir das Problem der Injektionsschwachstellen endlich gelöst haben? Keineswegs. Es ist nicht weit von seiner Position als Sicherheitsfeind Nummer eins entfernt und nur auf Platz drei der OWASP-Liste abgerutscht. Es wäre ein Fehler, die anhaltende Gefahr von Injektionsangriffen zu unterschätzen, aber die Tatsache, dass eine andere Schwachstellenkategorie sie übertreffen konnte, ist bedeutsam, denn sie zeigt, wie weit verbreitet der neue OWASP-Platzhirsch tatsächlich ist, und warum Entwickler ihm in Zukunft große Aufmerksamkeit schenken müssen.
Das vielleicht Interessanteste ist jedoch, dass die OWASP Top 10 2021 eine deutliche Überarbeitung erfahren haben, mit brandneuen Kategorien, die ihr Debüt feiern: Unsicheres Design, Software- und Datenintegritätsfehler und ein Eintrag, der auf den Ergebnissen einer Community-Umfrage basiert: Server-Side Request Forgery. Dies deutet darauf hin, dass der Schwerpunkt zunehmend auf architektonischen Schwachstellen liegt und der Maßstab für die Softwaresicherheit nicht mehr nur auf Oberflächenfehlern beruht.
Kaputte Zugangskontrolle setzt sich die Krone auf (und zeigt einen Trend)
Die unzureichende Zugriffskontrolle hat sich vom fünften Platz der OWASP-Liste der zehn größten Schwachstellen bis auf den ersten Platz hochgearbeitet. Wie bei Injection und neuen Einträgen wie Insecure Design umfasst die Sicherheitslücke "Broken Access" ein breites Spektrum an Programmierfehlern, was zu ihrer zweifelhaften Popularität beiträgt, da sie zusammengenommen Schaden an mehreren Fronten verursachen können. Die Kategorie umfasst alle Fälle, in denen Zugriffskontrollrichtlinien verletzt werden können, so dass Benutzer außerhalb ihrer vorgesehenen Berechtigungen handeln können.
Zu den von OWASP angeführten Beispielen für eine lückenhafte Zugriffskontrolle, die die Familie der Schwachstellen auf den ersten Platz heben, gehören solche, die es Angreifern ermöglichen, eine URL, den internen Status einer Anwendung oder einen Teil einer HTML-Seite zu ändern. Sie können es Benutzern auch ermöglichen, ihren primären Zugriffsschlüssel zu ändern, so dass eine Anwendung, Website oder API glaubt, sie seien jemand anderes, z. B. ein Administrator mit höheren Berechtigungen. Es gibt sogar Schwachstellen, bei denen Angreifer nicht auf die Änderung von Metadaten beschränkt sind, so dass sie Dinge wie JSON-Web-Token, Cookies oder Zugriffskontroll-Token ändern können.
Einmal ausgenutzt, kann diese Familie von Schwachstellen von Angreifern genutzt werden, um Datei- oder Objektautorisierungen zu umgehen, was ihnen ermöglicht, Daten zu stehlen oder sogar zerstörerische Funktionen auf Administratorebene wie das Löschen von Datenbanken durchzuführen. Dies macht eine unterbrochene Zugriffskontrolle nicht nur immer häufiger, sondern auch besonders gefährlich.
Es ist ziemlich überzeugend - und doch nicht überraschend -, dass Schwachstellen in der Authentifizierung und Zugangskontrolle für Angreifer zum fruchtbarsten Boden werden, den sie ausnutzen können. Der jüngste Data Breach Investigations Report von Verizon zeigt, dass Probleme bei der Zugangskontrolle in fast allen Branchen, insbesondere im IT- und Gesundheitswesen, weit verbreitet sind und dass bei satten 85 % aller Sicherheitsverletzungen ein menschliches Element eine Rolle spielt. Der Begriff "menschliches Element" umfasst Vorfälle wie Phishing-Angriffe, die kein technisches Problem darstellen, aber 3 % der Sicherheitsverletzungen betrafen ausnutzbare Schwachstellen und waren dem Bericht zufolge überwiegend ältere Schwachstellen und auf menschliches Versagen zurückzuführen, wie z. B. falsche Sicherheitskonfiguration.
Während diese altersschwachen Sicherheitsprobleme wie XSS und SQL-Injection den Entwicklern nach wie vor zu schaffen machen, wird zunehmend deutlich, dass das grundlegende Sicherheitsdesign versagt und architektonischen Schwachstellen Platz macht, die für Bedrohungsakteure sehr vorteilhaft sein können, vor allem wenn sie nicht behoben werden, nachdem die Sicherheitslücke in einer bestimmten Version einer Anwendung bekannt gemacht wurde.
Das Problem ist, dass nur wenige Ingenieure eine Ausbildung und Kompetenzentwicklung erhalten, die über die Grundlagen hinausgeht, und noch weniger erhalten ihr Wissen und ihre praktische Anwendung über lokalisierte Fehler auf Code-Ebene hinaus, die in der Regel von den Entwicklern selbst verursacht werden.
Verhinderung von Fehlern, die Roboter selten finden
Die neu gruppierte Familie der Sicherheitslücken in der Zugangskontrolle ist ziemlich vielfältig. Auf unserem YouTube-Kanal und in unserem Blog finden Sie einige konkrete Beispiele für Schwachstellen in der Zugriffskontrolle und wie man sie beheben kann.
Ich denke jedoch, dass es wichtig ist, diese neue OWASP Top 10 zu feiern; sie ist in der Tat vielfältiger und umfasst ein breiteres Spektrum an Angriffsvektoren, darunter auch solche, die von Scannern nicht unbedingt erkannt werden. Für jede gefundene Schwachstelle auf Code-Ebene werden komplexere Architekturfehler von den meisten Sicherheitstechnologien unbemerkt bleiben, egal wie viele automatische Schutzschilde und Waffen im Arsenal vorhanden sind. Während der Löwenanteil der OWASP Top 10-Liste nach wie vor auf der Grundlage von Scandaten erstellt wird, zeigen die neuen Einträge, die unter anderem unsicheres Design und Datenintegritätsfehler abdecken, dass der Schulungshorizont für Entwickler schnell erweitert werden muss, um zu erreichen, was Roboter nicht können.
Einfach ausgedrückt: Sicherheitsscanner sind keine großartigen Bedrohungsmodellierer, aber ein Team von sicherheitskompetenten Entwicklern kann dem AppSec-Team unermesslich helfen, indem es seinen Sicherheits-IQ in Übereinstimmung mit den Best Practices und den Anforderungen des Unternehmens steigert. Dies muss in einem guten Sicherheitsprogramm berücksichtigt werden, wobei man sich darüber im Klaren sein muss, dass die OWASP Top 10 zwar eine hervorragende Grundlage darstellen, die Bedrohungslandschaft aber so schnelllebig ist (ganz zu schweigen von den Anforderungen interner Entwicklungsziele), dass es einen Plan geben muss, um die Weiterbildung der Entwickler im Bereich Sicherheit zu vertiefen und zu präzisieren. Andernfalls werden unweigerlich Gelegenheiten zur frühzeitigen Behebung von Sicherheitslücken verpasst und ein erfolgreicher, ganzheitlicher Ansatz zur präventiven, von Menschen geleiteten Cybersicherheit wird behindert.
Wir sind bereit für die OWASP Top 10 2021, und das ist erst der Anfang! Bringen Sie Ihre Entwickler auf einen erweiterten Sicherheitsfähigkeiten noch heute.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
In dieser zunehmend chaotischen Welt gab es schon immer ein paar Konstanten, auf die man sich zuverlässig verlassen konnte: Die Sonne wird morgens aufgehen und abends wieder untergehen, Mario wird immer cooler sein als Sonic the Hedgehog, und Injektionsangriffe werden immer den ersten Platz auf der Liste des Open Web Application Security Project (OWASP) der zehn häufigsten und gefährlichsten Schwachstellen einnehmen, die Angreifer aktiv ausnutzen.
Nun, die Sonne wird morgen aufgehen, und Mario hat immer noch einen Vorsprung vor Sonic, aber Injektionsangriffe sind auf der berüchtigten OWASP-Liste, die 2021 aktualisiert wird, vom ersten Platz gefallen. Injektionsschwachstellen, eine der ältesten Angriffsformen, gibt es schon fast so lange wie Computernetzwerke. Die pauschale Schwachstelle ist für ein breites Spektrum von Angriffen verantwortlich, das von traditionellen SQL-Injektionen bis zu Exploits gegen Object Graph Navigation Libraries (OGNL) reicht. Sie umfasst sogar direkte Angriffe auf Server unter Verwendung von OS-Befehlsinjektionstechniken. Die Vielseitigkeit der Injektionsschwachstellen für Angreifer - ganz zu schweigen von der Anzahl der potenziell angreifbaren Stellen - hat dazu geführt, dass diese Kategorie seit vielen Jahren an der Spitze steht.
Aber der Injektionskönig ist gefallen. Lang lebe der König.
Bedeutet das, dass wir das Problem der Injektionsschwachstellen endlich gelöst haben? Keineswegs. Es ist nicht weit von seiner Position als Sicherheitsfeind Nummer eins entfernt und nur auf Platz drei der OWASP-Liste abgerutscht. Es wäre ein Fehler, die anhaltende Gefahr von Injektionsangriffen zu unterschätzen, aber die Tatsache, dass eine andere Schwachstellenkategorie sie übertreffen konnte, ist bedeutsam, denn sie zeigt, wie weit verbreitet der neue OWASP-Platzhirsch tatsächlich ist, und warum Entwickler ihm in Zukunft große Aufmerksamkeit schenken müssen.
Das vielleicht Interessanteste ist jedoch, dass die OWASP Top 10 2021 eine deutliche Überarbeitung erfahren haben, mit brandneuen Kategorien, die ihr Debüt feiern: Unsicheres Design, Software- und Datenintegritätsfehler und ein Eintrag, der auf den Ergebnissen einer Community-Umfrage basiert: Server-Side Request Forgery. Dies deutet darauf hin, dass der Schwerpunkt zunehmend auf architektonischen Schwachstellen liegt und der Maßstab für die Softwaresicherheit nicht mehr nur auf Oberflächenfehlern beruht.
Kaputte Zugangskontrolle setzt sich die Krone auf (und zeigt einen Trend)
Die unzureichende Zugriffskontrolle hat sich vom fünften Platz der OWASP-Liste der zehn größten Schwachstellen bis auf den ersten Platz hochgearbeitet. Wie bei Injection und neuen Einträgen wie Insecure Design umfasst die Sicherheitslücke "Broken Access" ein breites Spektrum an Programmierfehlern, was zu ihrer zweifelhaften Popularität beiträgt, da sie zusammengenommen Schaden an mehreren Fronten verursachen können. Die Kategorie umfasst alle Fälle, in denen Zugriffskontrollrichtlinien verletzt werden können, so dass Benutzer außerhalb ihrer vorgesehenen Berechtigungen handeln können.
Zu den von OWASP angeführten Beispielen für eine lückenhafte Zugriffskontrolle, die die Familie der Schwachstellen auf den ersten Platz heben, gehören solche, die es Angreifern ermöglichen, eine URL, den internen Status einer Anwendung oder einen Teil einer HTML-Seite zu ändern. Sie können es Benutzern auch ermöglichen, ihren primären Zugriffsschlüssel zu ändern, so dass eine Anwendung, Website oder API glaubt, sie seien jemand anderes, z. B. ein Administrator mit höheren Berechtigungen. Es gibt sogar Schwachstellen, bei denen Angreifer nicht auf die Änderung von Metadaten beschränkt sind, so dass sie Dinge wie JSON-Web-Token, Cookies oder Zugriffskontroll-Token ändern können.
Einmal ausgenutzt, kann diese Familie von Schwachstellen von Angreifern genutzt werden, um Datei- oder Objektautorisierungen zu umgehen, was ihnen ermöglicht, Daten zu stehlen oder sogar zerstörerische Funktionen auf Administratorebene wie das Löschen von Datenbanken durchzuführen. Dies macht eine unterbrochene Zugriffskontrolle nicht nur immer häufiger, sondern auch besonders gefährlich.
Es ist ziemlich überzeugend - und doch nicht überraschend -, dass Schwachstellen in der Authentifizierung und Zugangskontrolle für Angreifer zum fruchtbarsten Boden werden, den sie ausnutzen können. Der jüngste Data Breach Investigations Report von Verizon zeigt, dass Probleme bei der Zugangskontrolle in fast allen Branchen, insbesondere im IT- und Gesundheitswesen, weit verbreitet sind und dass bei satten 85 % aller Sicherheitsverletzungen ein menschliches Element eine Rolle spielt. Der Begriff "menschliches Element" umfasst Vorfälle wie Phishing-Angriffe, die kein technisches Problem darstellen, aber 3 % der Sicherheitsverletzungen betrafen ausnutzbare Schwachstellen und waren dem Bericht zufolge überwiegend ältere Schwachstellen und auf menschliches Versagen zurückzuführen, wie z. B. falsche Sicherheitskonfiguration.
Während diese altersschwachen Sicherheitsprobleme wie XSS und SQL-Injection den Entwicklern nach wie vor zu schaffen machen, wird zunehmend deutlich, dass das grundlegende Sicherheitsdesign versagt und architektonischen Schwachstellen Platz macht, die für Bedrohungsakteure sehr vorteilhaft sein können, vor allem wenn sie nicht behoben werden, nachdem die Sicherheitslücke in einer bestimmten Version einer Anwendung bekannt gemacht wurde.
Das Problem ist, dass nur wenige Ingenieure eine Ausbildung und Kompetenzentwicklung erhalten, die über die Grundlagen hinausgeht, und noch weniger erhalten ihr Wissen und ihre praktische Anwendung über lokalisierte Fehler auf Code-Ebene hinaus, die in der Regel von den Entwicklern selbst verursacht werden.
Verhinderung von Fehlern, die Roboter selten finden
Die neu gruppierte Familie der Sicherheitslücken in der Zugangskontrolle ist ziemlich vielfältig. Auf unserem YouTube-Kanal und in unserem Blog finden Sie einige konkrete Beispiele für Schwachstellen in der Zugriffskontrolle und wie man sie beheben kann.
Ich denke jedoch, dass es wichtig ist, diese neue OWASP Top 10 zu feiern; sie ist in der Tat vielfältiger und umfasst ein breiteres Spektrum an Angriffsvektoren, darunter auch solche, die von Scannern nicht unbedingt erkannt werden. Für jede gefundene Schwachstelle auf Code-Ebene werden komplexere Architekturfehler von den meisten Sicherheitstechnologien unbemerkt bleiben, egal wie viele automatische Schutzschilde und Waffen im Arsenal vorhanden sind. Während der Löwenanteil der OWASP Top 10-Liste nach wie vor auf der Grundlage von Scandaten erstellt wird, zeigen die neuen Einträge, die unter anderem unsicheres Design und Datenintegritätsfehler abdecken, dass der Schulungshorizont für Entwickler schnell erweitert werden muss, um zu erreichen, was Roboter nicht können.
Einfach ausgedrückt: Sicherheitsscanner sind keine großartigen Bedrohungsmodellierer, aber ein Team von sicherheitskompetenten Entwicklern kann dem AppSec-Team unermesslich helfen, indem es seinen Sicherheits-IQ in Übereinstimmung mit den Best Practices und den Anforderungen des Unternehmens steigert. Dies muss in einem guten Sicherheitsprogramm berücksichtigt werden, wobei man sich darüber im Klaren sein muss, dass die OWASP Top 10 zwar eine hervorragende Grundlage darstellen, die Bedrohungslandschaft aber so schnelllebig ist (ganz zu schweigen von den Anforderungen interner Entwicklungsziele), dass es einen Plan geben muss, um die Weiterbildung der Entwickler im Bereich Sicherheit zu vertiefen und zu präzisieren. Andernfalls werden unweigerlich Gelegenheiten zur frühzeitigen Behebung von Sicherheitslücken verpasst und ein erfolgreicher, ganzheitlicher Ansatz zur präventiven, von Menschen geleiteten Cybersicherheit wird behindert.
Wir sind bereit für die OWASP Top 10 2021, und das ist erst der Anfang! Bringen Sie Ihre Entwickler auf einen erweiterten Sicherheitsfähigkeiten noch heute.
Inhaltsübersicht
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
