OWASP Top-10 2021. Propuesta y predicción basadas en estadísticas
"Todo el mundo" conoce el OWASP Top-10, así como el hecho de que se actualiza solo cada tres o cuatro años. Con la última actualización publicada en 2017, no es de extrañar que este año llegue una nueva versión. Dado que el proceso de creación de OWASP no está bien documentado, parece razonable construir una clasificación abierta y transparente para las mismas categorías en base a una gran cantidad de informes de seguridad.
El propósito de este trabajo de Ivan Novikov de Wallarm es hacer predicciones OWASP Top-10 2021 calculadas mediante métricas comprensibles, hacer que todos puedan reproducir los resultados y presentarlos a toda la comunidad para recibir comentarios. Este trabajo se basa en un análisis de 2 millones de informes de seguridad de 144 fuentes públicas, incluidos boletines CVE, informes de recompensas de errores y boletines de seguridad de proveedores. Categorías superpuestas en OWASP Top-10.
Categorias consideradas
Lo primero que se debe mencionar sobre OWASP Top-10 es que no es una clasificación de vulnerabilidad, ya que las categorías se superponen. Este artículo de security boulevard y esta publicación describe cómo las distintas categorias se solapan:
En resumen: OWASP Top-10 NO ES una clasificación de vulnerabilidad, sino la lista de los riesgos que se han encontrado durante el último período de tiempo. Es por eso que para "predecir" la próxima lista OWASP Top-10 2021, tenemos que analizar las amenazas a los activos web objetivo durante los últimos cuatro años.
Metodología
Para encontrar los datos estadísticos, utilizamos Vulners.com, que es una base de datos agregada que incluye más de 4 millones de boletines de 144 proveedores, incluidos programas de recompensas por errores como HackerOne. La cantidad total de boletines utilizados para crear esta lista es 2.168.521. (search query: "published:[2018-01-01 TO 2020-12-31]").
Para dividir los datos por categorías, se crearon consultas de vulners para las diez categorías de OWASP. Aunque la búsqueda de texto completo no es la solución más precisa para clasificar datos, se puede confiar en esta tarea en particular. El punto es que todas las categorías de OWASP se pueden encontrar en los boletines de seguridad buscando acrónimos y abreviaturas como XSS, XXE, SQL, RCE, etc.
No es una broma, según las estadísticas, XSS toma el 20% de TODOS los boletines de seguridad de los últimos tres años. Eso es casi 10 veces más que todos los CVE emitidos en los últimos tres años. Dado que muchos de los XSS no tienen una puntuación CVSS (es decir, cero), una puntuación media para muchos de ellos sigue siendo 0,1. Sin embargo, ese hecho no impide que XSS llegue al Top-3 en una tabla. Nuevamente, porque son tantos que se encontraron en uno de cada cinco boletines en los últimos tres años.
Propuesta 1. Agregar SSRF como nueva categoria
Según las estadísticas, las vulnerabilidades de SSRF son un problema crítico que provoca tomas de control de la nube, ejecución remota de código, violaciones de datos y otros riesgos de seguridad de la información. Es imposible arreglar SSRF mediante filtrado de entrada y otros mecanismos de validación de datos.
- Los ataques SSRF corresponden al tercer lugar en las estadísticas del primer semestre de 2020 de HackerOne: https://www.hackerone.com/top-ten-vulnerabilities
- Amazon se lo tomó en serio y se incorporó a los servicios de metadatos de EC2 a fines de 2019: https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/
- SSRF causó muchos problemas de seguridad de alto riesgo, incluido el hack más famoso de Capital One con un bypass de WAF, explicado en detalle por Krebs:https://krebsonsecurity.com/2019/08/what-we-can-learn-from-the-capital-one-hack/
- Según las estadísticas globales recopiladas por Vulners, SSRF es mencionado en 912 boletines durante los últimos tres años, casi la misma cantidad de veces que OWASP Top-10 2017 A4 / XXE (1000 resultados) y 2,5 veces más a menudo que la configuración incorrecta de seguridad (resultados A6 / 481 ).
- Aquí está el Cheat Sheet de SSRF [PDF]
En resumen, los problemas de SSRF mencionados tienen casi la misma cantidad de boletines de seguridad que XXE en los últimos tres años. Es por eso que casi seguro se agregará al OWASP Top-10 2021.
Propuesta 2. Fusionar XXE y deserialización insegura
La vulnerabilidad XXE, también conocida como Xml eXternal Entities es técnicamente una característica de serialización que permite incluir contenido de archivos locales y remotos en el documento XML. A veces causa SSRF, por cierto. Es por eso que es cierto que XXE es parte de la categoría de deserialización insegura de todos modos.
Además, no hay forma de reclamar XXE como la categoría separada si se reúne prácticamente todo, desde la inyección SQL hasta Path Traversal. Debido a estos dos hechos, además de los datos estadísticos de la cantidad de informes de seguridad en cada una de las categorías, se podría fusionar XXE y Deserialización insegura en una sola clase.
Propuesta 3. Introducir la puntuación de riesgo general
Para ordenar las suposiciones del "nuevo" OWASP Top-10, para cada una de las categorías, se aplicó un puntaje CVSS promedio multiplicado por la cantidad de informes. De hecho, debido a que muchos de los boletines tienen un puntaje CVSS de 0, el puntaje de resultado debe interpretarse como un puntaje CVSS promedio para la categoría, pero solo demuestra las proporciones correctas entre ellos.
En pocas palabras, para ordenar las categorías de OWASP, se aplicó la siguiente fórmula:.
Riesgo general = CVSS Promedio x Cantidad de boletines
Cálculo de la calificación OWASP Top 10 2021
Como se mencionó anteriormente, se utilizaron datos agregados de 144 fuentes de datos y los boletines de seguridad indexados por Vulners. Este enfoque permite contar no solo los datos CVE, sino también todos los informes, incluidas las recompensas, las vulnerabilidades y las detecciones de los escáner de seguridad. Si contamos solo los CVE, los resultados serán dramáticamente diferentes, ya que la categoría "Known vulnerabilities" será técnicamente igual a la suma de todas las demás categorías.
Entonces, aquí está la forma más justa de construir OWASP Top-10:
#OWASP | Top-10 2021 | Vulners search query | Avg. CVSS | # of bulletins | Overall score |
A1 | Injections | injection OR traversal OR lfi OR “os command” OR SSTI OR RCE OR “remote code” | 4.83 | 34061 | 164514.63 |
A2 | Broken Authentication | authentication | 4.08 | 13735 | 56038.8 |
A3 | Cross-Site Scripting (XSS) | xss | 0.1 | 433353 | 43335.3 |
A4 | Sensitive Data Exposure | sensitive AND data | 3.55 | 5990 | 21264.5 |
A5 | Insecure Deserialization | XXE OR deserialize OR deserialization OR “external entities” | 5.33 | 2985 | 15910.05 |
A6 | Broken Access Control | access control | 0.72 | 16967 | 12216.24 |
A7 | Insufficient Logging & Monitoring | logging | 3.35 | 2309 | 7735.15 |
A8 | Server Side Request Forgery (SSRF) | SSRF OR “server side request forgery” | 3.8 | 1139 | 4328.2 |
A9 | Known Vulnerabilities | type:cve and (http OR web OR html) | 5.38 | 376 | 2022.88 |
A10 | Security Misconfiguration | misconfiguration OR misconfigure OR misconfig | 2.27 | 480 | 1089.6 |
Comparación de resultados y OWASP Top Ten 2017.
Después de todo lo analizado, Wallarm comparte la siguiente propuesta de OWASP Top 10 para 2021, basado en los datos estadísticos disponibles públicamente.
Los expertos en seguridad de aplicaciones también podrían encontrar una distribución interesante de estas categorías por cantidad de informes de seguridad, cantidad de boletines, recompensas por los errores, exploits, en total.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!