OWASP, el “mecanisme” de defensa contra les amenaces web

Tots els productes i serveis informàtics per incorreccions de programari i maquinari, problemes, errors , llacunes seguretat o agujeros de seguretat, o vulnerabilitats.

El fet d'aprofitar-se d'aquestes fallades, fent tasques de explotació de vulnerabilitats en serveis, sistemes, aplicacions i xarxes informàtiques està a l'ordre del dia i és el principal objectiu dels ciberatacants i ciberdelinqüents, sabedors que és un camí “emfàcil” per penetrar per aquests forats, accedir, aconseguir privilegis i assolir els seus objectius.

Una vulnerabilitat és, per tant, una debilitat o fallida en un sistema que pot ser explotat per un ciberatacant per comprometre la seguretat del sistema, afectant així la integritat, disponibilitat o confidencialitat de la informació. Aquestes vulnerabilitats poden existir en diverses capes de la infraestructura tecnològica, des del nivell de xarxa fins al nivell d'aplicació. Algunes de les àrees més vulnerables inclouen aplicacions web, sistemes operatius, bases de dades, dispositius de xarxa i qualsevol altre tipus de programari.

Les vulnerabilitats es poden classificar en diverses categories, cadascuna amb el seu conjunt d'efectes i mètodes d'explotació:

• Vulnerabilitats d'injecció. Algunes de les més conegudes són SQL injection (injecció de codi SQL) i XSS (Cross-Site Scripting) , les quals permeten als atacants executar codi no permès al sistema atacat i accedir o modificar dades sensibles dins d'un sistema informàtic.
• Vulnerabilitats d'autenticació i control d'accés. Aquestes permeten als ciberatacants eludir els models i sistemes de autenticació, i identificació d'usuaris, o aconseguir accessos sense restriccions i amb privilegis a funcions o dades no autoritzades.
• Vulnerabilitats de gestió de sessions. Permeten als ciberatacants apropiar-se i segrestar sessions d'usuari legítimes per realitzar accions en nom de l'usuari, sense que ningú en sigui conscient.
• Vulnerabilitats de Configuració Insegura. Basades simplement en l'error de configuració doncs ocorren quan un sistema està parametritzat de manera incorrecta, exposant així dades o funcionalitats sensibles.
• Vulnerabilitats d'exposició de dades sensibles. Suposen la exposició d'informació confidencial, com ara contrasenyes o dades personals sensibles i confidencials, a persones no autoritzades.
• Vulnerabilitats de Fugida d'Informació. Aquestes vulnerabilitats permeten la divulgació no autoritzada d'informació sensible.
• Vulnerabilitats de Denegació de Servei (DoS / DDoS). Aquest tipus de vulnerabilitats poden portar a la caiguda del servei oa la saturació de recursos del sistema, afectant la disponibilitat del sistema ia la continuïtat del negoci.

Per combatre aquest tipus de amenaces, cal una comprensió profunda de les vulnerabilitats existents en tots els nostres sistemes informàtics, a més d'una estratègia efectiva amb què es gestionin convenientment.

Aquí és on entra en joc OWASP (Open Web Application Security Project) , que no és més que una comunitat global dedicada a millorar la seguretat del programari . En concret, es tracta d'una comunitat mundial, sense ànim de lucre, que se centra a proporcionar recursos, eines, guies i projectes de codi obert per ajudar les empreses a comprendre, identificar i mitigar les vulnerabilitats en aplicacions web i serveis web i construir aplicacions i serveis segurs.

La gestió de vulnerabilitats implica identificar , classificar i posar remei a les debilitats de seguretat en un sistema informàtic. Les empreses utilitzen eines d' escaneig de vulnerabilitats i frameworks com CVE (Common Vulnerabilities and Exposures) i CVSS (Common Vulnerability Scoring System) per catalogar i avaluar el risc associat a cada vulnerabilitat descoberta (ja sigui aquesta coneguda o un Zero Day d'imminent aparició ).

Tant el pentesting (testing d'intrusió) com el test d'intrusió, encara que semblen el mateix, no ho són. Es tracta de tècniques utilitzades per avaluar la seguretat d'un sistema informàtic, però difereixen entre elles en l'enfocament i l'abast. El pentesting se centra a simular un atac real contra un sol sistema (o subsistema) en concret. Per la seva banda, el test d'intrusió té un caràcter i un abast més ampli, ja que avalua la seguretat d'una infraestructura completament, incloent-hi tots els sistemes, subsistemes, xarxes i polítiques de seguretat.

OWASP proporciona les pautes i les eines necessàries perquè es puguin emprar tant en pentesting com en test d'intrusió per tal d'identificar i mitigar vulnerabilitats en un sistema individual o en tota una infraestructura. Per exemple, les eines d' OWASP ZAP (Zed Attack Proxy) són àmpliament utilitzades pels professionals de la ciberseguretat per identificar vulnerabilitats en aplicacions web durant les proves de penetració .

A més d' OWASP , hi ha altres organitzacions com MITRE (MITRE ATT&CK, o matriu de tècniques d'atac) i ICS2 (ICS2, o International Information System Security Certification Consortium) són altres organitzacions que se centren en la ciberseguretat , però tenen enfocaments i àrees d'interès diferents a les d' OWASP .

• MITRE és una organització, sense ànim de lucre, que s'enfoca a la investigació i desenvolupament de tecnologies i d'estàndards en matèria de ciberseguretat.
• ICS2 se centra en la certificació i formació de professionals de ciberseguretat.

De tota manera, entre totes elles, OWASP, MITREiICS2, hi ha solapaments i superposicions en diverses àrees d'actuació, encara que OWASP destaca pel seu enfocament específic a la ciberseguretat del programari i ciberseguretat de les aplicacions web.

OWASP compta amb un TOP 10 de vulnerabilitats que evoluciona amb el temps. És una llista de les 10 vulnerabilitats més crítiques en aplicacions web. Aquestes es classifiquen basant-se en l'experiència de reconeguts experts de la ciberseguretat.

En l'actualitat, l'última versió existent és l'OWASP Top 10 de 2021 . Algunes de les seves vulnerabilitats TOP són les corresponents a la injecció de codi , l' autenticació incorrecta/defectuosa i l' exposició de dades sensibles . Aquestes vulnerabilitats representen els riscos més comuns i urgents que les empreses han d'abordar per garantir la seguretat de les aplicacions web.

Però, com es detecten identifiquen i anomenen les vulnerabilitats ? Es tracta d'un procés sistemàtic, conscienciós i rigorós que implica la recopilació d'informació sobre l' OWASP Top 10 de 2021 , així com l'anàlisi del seu potencial impacte i també de les mesures de mitigació disponibles.

Les vulnerabilitats s'anomenen d'acord amb estàndards establerts a la indústria de la ciberseguretat, com ara:

• CVE (Common Vulnerabilities and Exposures) . Consisteix en un diccionari públic, o sistema d' identificació i nomenclatura de vulnerabilitats que s'empra a nivell mundial, que proporciona identificadors únics per a cada vulnerabilitat , facilitant així la interoperabilitat entre eines de seguretat i la col·laboració entre organitzacions.
• CVSS (Common Vulnerability Scoring System) . Consistent en un sistema de puntuació que s'utilitza per avaluar numèricament el risc/ciberrisc associat a una vulnerabilitat , tenint en compte factors com la gravetat , l' abast , la facilitat d' explotació i l' impacte potencial .

En conclusió, OWASP exerceix un paper fonamental en la millora de la ciberseguretat del programari i les aplicacions web, proporcionant recursos i eines que ajuden les organitzacions a identificar, mitigar i remeiar vulnerabilitats, protegint així els actius digitals i la privacitat dels usuaris.

Amb el seu enfocament centrat en la comunitat i el codi obert, OWASP continua sent un actor clau en la lluita contra les ciberamenaces en constant evolució.

Per descomptat, a Zerolynx utilitzem habitualment OWASP i tots aquests models i frameworks estandarditzats globalment, en el moment de la prestació dels nostres Serveis de Detecció , com ara:

- El Hacking sobre Plataforma CMS (Pentest Web) .
-El Pentesting intern i extern .
- L' Auditoria de Seguretat Web .
- L' Auditoria de Seguretat d'Aplicacions Mòbils .
- Les Proves de Denegació de Servei (DoS) .

Et convidem a conèixer tots els serveis de Zerolynx .

Però, si a més vols que t'informem millor i et donem més detalls, de manera més personalitzada, no dubtis a posar-te en contacte amb nosaltres .

Iñigo Ladrón Morales, Redactor de continguts per a Zerolynx.