1 feb. 2021

OWASP Top-10 2021. Propuesta y predicción basadas en estadísticas

"Todo el mundo" conoce el OWASP Top-10, así como el hecho de que se actualiza solo cada tres o cuatro años. Con la última actualización publicada en 2017, no es de extrañar que este año llegue una nueva versión. Dado que el proceso de creación de OWASP no está bien documentado, parece razonable construir una clasificación abierta y transparente para las mismas categorías en base a una gran cantidad de informes de seguridad.

El propósito de este trabajo de Ivan Novikov de Wallarm es hacer predicciones OWASP Top-10 2021 calculadas mediante métricas comprensibles, hacer que todos puedan reproducir los resultados y presentarlos a toda la comunidad para recibir comentarios. Este trabajo se basa en un análisis de 2 millones de informes de seguridad de 144 fuentes públicas, incluidos boletines CVE, informes de recompensas de errores y boletines de seguridad de proveedores. Categorías superpuestas en OWASP Top-10.

Categorias consideradas

Lo primero que se debe mencionar sobre OWASP Top-10 es que no es una clasificación de vulnerabilidad, ya que las categorías se superponen. Este artículo de security boulevard y esta publicación describe cómo las distintas categorias se solapan:

En resumen: OWASP Top-10 NO ES una clasificación de vulnerabilidad, sino la lista de los riesgos que se han encontrado durante el último período de tiempo. Es por eso que para "predecir" la próxima lista OWASP Top-10 2021, tenemos que analizar las amenazas a los activos web objetivo durante los últimos cuatro años.

Metodología

Para encontrar los datos estadísticos, utilizamos Vulners.com, que es una base de datos agregada que incluye más de 4 millones de boletines de 144 proveedores, incluidos programas de recompensas por errores como HackerOne. La cantidad total de boletines utilizados para crear esta lista es 2.168.521. (search query: "published:[2018-01-01 TO 2020-12-31]").

Para dividir los datos por categorías, se crearon consultas de vulners para las diez categorías de OWASP. Aunque la búsqueda de texto completo no es la solución más precisa para clasificar datos, se puede confiar en esta tarea en particular. El punto es que todas las categorías de OWASP se pueden encontrar en los boletines de seguridad buscando acrónimos y abreviaturas como XSS, XXE, SQL, RCE, etc.

No es una broma, según las estadísticas, XSS toma el 20% de TODOS los boletines de seguridad de los últimos tres años. Eso es casi 10 veces más que todos los CVE emitidos en los últimos tres años. Dado que muchos de los XSS no tienen una puntuación CVSS (es decir, cero), una puntuación media para muchos de ellos sigue siendo 0,1. Sin embargo, ese hecho no impide que XSS llegue al Top-3 en una tabla. Nuevamente, porque son tantos que se encontraron en uno de cada cinco boletines en los últimos tres años.

Propuesta 1. Agregar SSRF como nueva categoria

Según las estadísticas, las vulnerabilidades de SSRF son un problema crítico que provoca tomas de control de la nube, ejecución remota de código, violaciones de datos y otros riesgos de seguridad de la información. Es imposible arreglar SSRF mediante filtrado de entrada y otros mecanismos de validación de datos.

En resumen, los problemas de SSRF mencionados tienen casi la misma cantidad de boletines de seguridad que XXE en los últimos tres años. Es por eso que casi seguro se agregará al OWASP Top-10 2021.

Propuesta 2. Fusionar XXE y deserialización insegura

La vulnerabilidad XXE, también conocida como Xml eXternal Entities es técnicamente una característica de serialización que permite incluir contenido de archivos locales y remotos en el documento XML. A veces causa SSRF, por cierto. Es por eso que es cierto que XXE es parte de la categoría de deserialización insegura de todos modos.

Además, no hay forma de reclamar XXE como la categoría separada si se reúne prácticamente todo, desde la inyección SQL hasta Path Traversal. Debido a estos dos hechos, además de los datos estadísticos de la cantidad de informes de seguridad en cada una de las categorías, se podría fusionar XXE y Deserialización insegura en una sola clase.

Propuesta 3. Introducir la puntuación de riesgo general

Para ordenar las suposiciones del "nuevo" OWASP Top-10, para cada una de las categorías, se aplicó un puntaje CVSS promedio multiplicado por la cantidad de informes. De hecho, debido a que muchos de los boletines tienen un puntaje CVSS de 0, el puntaje de resultado debe interpretarse como un puntaje CVSS promedio para la categoría, pero solo demuestra las proporciones correctas entre ellos.

En pocas palabras, para ordenar las categorías de OWASP, se aplicó la siguiente fórmula:.

Riesgo general = CVSS Promedio x Cantidad de boletines

Cálculo de la calificación OWASP Top 10 2021

Como se mencionó anteriormente, se utilizaron datos agregados de 144 fuentes de datos y los boletines de seguridad indexados por Vulners. Este enfoque permite contar no solo los datos CVE, sino también todos los informes, incluidas las recompensas, las vulnerabilidades y las detecciones de los escáner de seguridad. Si contamos solo los CVE, los resultados serán dramáticamente diferentes, ya que la categoría "Known vulnerabilities" será técnicamente igual a la suma de todas las demás categorías.

Entonces, aquí está la forma más justa de construir OWASP Top-10:

#OWASPTop-10 2021Vulners search queryAvg. CVSS# of bulletinsOverall score
A1Injectionsinjection OR traversal OR lfi OR “os command” OR SSTI OR RCE OR “remote code”4.8334061164514.63
A2Broken Authenticationauthentication4.081373556038.8
A3Cross-Site Scripting (XSS)xss0.143335343335.3
A4Sensitive Data Exposuresensitive AND data3.55599021264.5
A5Insecure DeserializationXXE OR deserialize OR deserialization OR “external entities”5.33298515910.05
A6Broken Access Controlaccess control0.721696712216.24
A7Insufficient Logging & Monitoringlogging3.3523097735.15
A8Server Side Request Forgery (SSRF)SSRF OR “server side request forgery”3.811394328.2
A9Known Vulnerabilitiestype:cve and (http OR web OR html)5.383762022.88
A10Security Misconfigurationmisconfiguration OR misconfigure OR misconfig2.274801089.6

Comparación de resultados y OWASP Top Ten 2017.

Después de todo lo analizado, Wallarm comparte la siguiente propuesta de OWASP Top 10 para 2021, basado en los datos estadísticos disponibles públicamente.

Los expertos en seguridad de aplicaciones también podrían encontrar una distribución interesante de estas categorías por cantidad de informes de seguridad, cantidad de boletines, recompensas por los errores, exploits, en total.

Traducción desde Wallarm

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!