OWASP, el “mecanismo” de defensa contra las amenazas web

OWASP, web mehatxuen aurkako defentsa "mekanismoa".

2025(e)ko martxoaren 12(a) Iñigo Ladrón Morales

Software eta hardwarearen zehaztasun ezak, arazo, akatsak informatiko produktu eta zerbitzu guztiak , zirrikituak segurtasuna edo segurtasun agujeroak, edo ahultasunak.

Akats horietaz aprobetxatuz, zerbitzu, sistemetan, aplikazioetan eta sare informatikoetan ahultasunak ustiatzeko zereginak egitea dago ordena eta zibererasotzaileenen helburu nagusia da eta ziberkriminalak, jakinik zulo horietan sartzeko, sarbidea lortzeko, pribilegioak lortzeko eta helburuak lortzeko modu "erraza" dela.

Beraz, ahultasuna sistema baten zibererasotzailek balia dezakeen ahultasuna edo akatsa da. sistema horren segurtasuna arriskuan jarri eta, horrela, informazioaren osotasuna, erabilgarritasuna edo konfidentzialtasunan eragina izango du. Ahultasun horiek azpiegitura teknologikoaren hainbat geruzatan egon daitezke, sare mailatik aplikazio mailaraino. Eremu zaurgarrienetako batzuk web aplikazioak, sistema eragileak, datu-baseak, sareko gailuak eta beste edozein software mota daude.

Ahultasunak hainbat kategoriatan sailka daitezke, bakoitzak bere efektu eta ustiapen metodoekin:

Injekzio-ahultasunak. Ezagunenetako batzuk SQL injekzioa (SQL kodearen injekzioa) eta XSS (Cross-Site Scripting) dira, Erasotzaileek erasotutako sisteman baimenik gabeko kodea exekutatzeko eta datu sentikorrak atzitu edo aldatzeko aukera ematen diete sistema informatiko baten barruan.
Autentifikazio- eta sarbide-kontroleko ahultasunak. Hauei esker, zibererasotzaileeik autentifikazioa eta erabiltzaileen identifikazio ereduak eta sistemak saihestu ditzakete, edo baimenik gabeko funtzioetara edo pribilegioekin murrizketarik gabeko sarbidea lortzeko. datuak.

Saioak kudeatzeko ahultasunak . Zibererasotzaileei baimena ematen diete erabiltzaileen saio legitimoak bahitu eta bahitu, erabiltzailearen izenean ekintzak egiteko, inor horren berri izan gabe.

Konfigurazio ahultasun seguruak. Besterik gabe, konfigurazio-errorean oinarritzen da, sistema bat gaizki parametrizatuta dagoenean gertatzen baitira, eta horrela datu edo funtzionaltasun sentikorrak agerian uzten dituzte.

Datu sentikorrak esposizioaren ahultasunak . Isilpeko informazioa , hala nola pasahitzak edo datu pertsonal sentikorrak eta konfidentzialak, baimenik gabeko pertsonei erakustea dakar.

Informazio-ihesaren ahultasunak. Ahultasun hauek informazio sentikorra baimenik gabe zabaltzea ahalbidetzen dute.

Zerbitzuaren ukapena (DoS / DDoS) ahultasunak. Ahultasun mota honek zerbitzuaren hutsegitea edo sistemaren baliabideen saturazioa ekar dezake, erabilgarritasunan eraginez. . > sistemaren eta negozioaren jarraipena.

Mehatxu mota honi aurre egiteko, gure sistema informatiko guztietan dauden ahultasunak sakon ulertzea beharrezkoa da, bai eta horiek eroso kudeatzeko estrategia eraginkor bat ere.

Hor sartzen da OWASP (Open Web Application Security Project) , hau da , softwarearen segurtasuna hobetzera dedikatzen den komunitate global bat baino ez da. Zehazki, irabazi-asmorik gabeko komunitate global bat da, baliabideak, tresnak, gidak eta kode irekiko proiektuak eskaintzera bideratzen dena, enpresei web aplikazio eta web zerbitzuetako ahultasunak ulertzen, identifikatzen eta arintzen laguntzeko eta aplikazio eta zerbitzu seguruak eraikitzeko.

Ahultasunen kudeaketa sistema informatiko baten segurtasun ahuleziak identifikatzea , sailkatu eta konpontzea dakar. Enpresek ahultasunak aztertzeko tresnak eta esparruak erabiltzen dituzte, hala nola CVE (Common Vulnerabilities and Exposures) eta CVSS (Common Vulnerability Scoring System) , aurkitutako ahultasun bakoitzari lotutako arriskua katalogatzeko eta ebaluatzeko (ezaguna den edo berehalako agerpenaren Zero Eguna den). ).

Bai pentesting (intrusio-proba) bai intrusio-proba, berdinak diruditen arren, ez dira. Sistema informatiko baten segurtasuna ebaluatzeko erabiltzen diren teknikak dira, baina ikuspegi eta irismenaren arabera desberdinak dira. Pentesting sistema (edo azpisistema) zehatz bakar baten aurkako benetako eraso bat simulatzean zentratzen da. Bere aldetik, sartze-probak izaera eta esparru zabalagoa du, azpiegitura oso baten segurtasuna ebaluatzen baitu, sistema, azpisistema, sare eta segurtasun politika guztiak barne.

OWASP-k beharrezko jarraibideak eta tresnak eskaintzen ditu bai pentesting- ean bai sartze-probetan erabiltzeko, sistema indibidual edo azpiegitura oso batean ahultasunak identifikatu eta arintzeko. Esaterako, OWASP ZAP (Zed Attack Proxy) tresnak oso erabiliak dira zibersegurtasuneko profesionalek sartze probetan web aplikazioetako ahultasunak identifikatzeko.

OWASPaz gain, badaude beste erakunde batzuk, hala nola MITRE (MITRE ATT&CK, edo eraso-tekniken matrizea) eta ICS2 (ICS2 edo International Information System Security Certification Consortium) zibersegurtasuna ardatz duten beste erakunde batzuk, baina ardatz eta interes-eremuak dituztenak. OWASPen desberdinak.

MITRE irabazi-asmorik gabeko erakunde bat da, zibersegurtasunarenaren alorrean teknologien eta estandarren ikerketan eta garapenean oinarritzen duena.

ICS2 zibersegurtasuneko profesionalen ziurtapenean eta prestakuntzan zentratzen da.

Nolanahi ere, horien guztien artean, OWASP, MITRE eta ICS2, gainjartzeak eta gainjartzeak daude hainbat ekintza-eremutan, nahiz eta >OWASP softwarearen zibersegurtasunan eta web aplikazioen zibersegurtasunean arreta bereziagatik nabarmentzen da.

OWASPek denboraren poderioz eboluzionatzen duten ahultasunenen 10 TOP ditu. Hau da web-aplikazioetako 10 ahultasun kritikoenen zerrenda. Hauek zibersegurtasun aditu aitortuen esperientzian oinarrituta sailkatzen dira.

Gaur egun, dagoen azken bertsioa2021eko OWASP Top 10 da. Bere GOIen ahultasunetako batzuk kode injekzioari , autentifikazio oker/akastunari eta datu sentikorren esposizioari dagozkionak dira. Zaurgarritasun horiek enpresek beren web aplikazioen segurtasuna bermatzeko aurre egin behar dituzten arrisku ohikoenak eta premiazkoenak dira.

Baina nola detektatzen, identifikatzen eta izendatzen dira ahultasunak ? Prozesu sistematikoa, sakona eta zorrotza da, 2021eko OWASP Top 10ari buruzko informazioa biltzeaz gain, haren eragin potentziala eta eskuragarri dauden arintze neurriak aztertzeaz gain.

Zaurgarritasunak ezarritako zibersegurtasun industriako estandarren arabera izendatzen dira, hala nola:

CVE (Ahultasun eta Esposizio Ohiko) . Hiztegi publiko batek edo mundu osoan erabiltzen den ahultasunen identifikazio eta nomenklatura sistema batek osatzen du, ahultasun bakoitzerako identifikatzaile bakarrak eskaintzen dituena, eta horrela segurtasun tresnen arteko elkarreragingarritasuna eta erakundeen arteko lankidetza errazten ditu.

CVSS (Common Vulnerability Scoring System) . Zaurgarritasun bati lotutako arriskua/ziberarriskua zenbakiz ebaluatzeko erabiltzen den puntuazio- sistemaz osatua, haren larritasuna , irismena , ustiatzeko erraztasuna eta balizko eragina bezalako faktoreak kontuan hartuta.

Amaitzeko, OWASPek funtsezko eginkizuna betetzen du softwarearen eta web aplikazioenen zibersegurtasuna hobetzeko, eskainiz. Erakundeei identifikatzen, arintzen eta ahulguneak konpontzen laguntzen dieten baliabideak eta tresnak, horrela aktibo digitalak babestuz eta erabiltzaileen pribatutasuna.

Komunitatean oinarritutako eta kode irekiko ikuspegiarekin, OWASP-k etengabeko bilakaeran jarraitzen du ziber-mehatxuen aurkako borrokan.

Jakina, Zerolynx -en aldizka erabiltzen dugu OWASP eta mundu mailan estandarizatutako eredu eta esparru horiek guztiak, gure Detekzio Zerbitzuak eskaintzerakoan, hala nola:

- Hacking CMS plataforman (Pentest Web) .
- Barneko eta kanpoko Pentesting .
- Web Segurtasunaren Auditoria .
- Mugikorreko aplikazioen segurtasun-ikuskaritza .
- Zerbitzuaren ukapena (DoS) probak .

Zerolynx zerbitzu guztiak ezagutzera gonbidatzen zaitugu.

Baina, guk ere hobeto informatzea eta xehetasun gehiago ematea nahi baduzu, modu pertsonalizatuagoan, ez izan zalantzarik eta jarri gurekin harremanetan .

Iñigo Ladrón Morales, Zerolynxeko eduki-idazlea.