OWASP: conheça o top 10 das vulnerabilidades

 Aplicação de uma gestão de vulnerabilidades eficaz é o principal objetivo da OWASP. 

A ideia é reunir as informações mais importantes que permitam a avaliação dos riscos de segurança e as formas de combatê-las em um conteúdo simples e de fácil acesso. 

Para entender melhor o que é a OWASP e porque você precisa conhecer o seu famoso Ranking Anual Top 10 de vulnerabilidades, acompanhe o artigo. 

 

O que é OWASP? 

A sigla OWASP é a abreviação para “Open Web Application Security Project”. Trata-se de uma comunidade global fundada em setembro de 2001 por Mark Curphey, sem fins lucrativos. 

A Owasp é reconhecida internacionalmente e atua na colaboração e fortalecimento de sistemas e softwares em todo o mundo. 

A equipe da Owasp é composta por desenvolvedores, técnicos em TI, pesquisadores e especialistas em segurança da informação, que disponibilizam gratuitamente conteúdos educacionais para auxiliar profissionais da área. 

O objetivo da OWASP é mitigar vulnerabilidades de segurança na web, compartilhando seus conhecimentos e experiências sobre as vulnerabilidades, ameaças e ataques virtuais. 

Para isso, a equipe se divide em diferentes locais, elaborando ações de conscientização. 

Entre os principais benefícios que o conhecimento partilhado pela OWASP proporciona às empresas de TI, destacamos: 

  • Otimização e blindagem das aplicações contra ataques cibernéticos; 
  • Contribuição para uma criptografia mais forte e eficaz; 
  • Elevação da imagem da empresa desenvolvedora do software. 
  • Diminuição das vulnerabilidades operacionais nos sistemas ao auxiliar sua gestão. 
  •  

Qual é a importância de fazer uma boa gestão de vulnerabilidades? 

Não aplicar a gestão de vulnerabilidades por si só é um risco que não vale a pena correr, já que o risco de remediar é bem maior do que o de prevenir, fora os danos causados à imagem da organização. 

Mas, vamos explicar o porquê de ser tão relevante esse assunto. 

É importante destacar que a gestão de vulnerabilidades é importante ainda que a empresa conte com um firewall extremamente eficiente. 

A OWASP atua com esse propósito. Os conteúdos produzidos e distribuídos pela comunidade procuram destacar as brechas mais comuns para que sejam observadas e solucionadas em tempo hábil. 

Afinal, mesmo com sistemas detectores de invasão (IDS) e de malwares, é possível que hackers explorem as vulnerabilidades da organização, acessando sistemas e dados confidenciais. 

Identificar essas vulnerabilidades antes dos invasores é o objetivo principal da gestão de vulnerabilidades. E o objetivo da OWASP. 

Reconhecer, analisar, relatar e priorizá-las permite que a sua equipe se concentre para fazer as devidas correções e evitar riscos, como sistemas mal configurados, senhas fracas de dispositivos ou servidores desprotegidos. 

A lista da OWASP, além de disponibilizar as brechas, realiza um demonstrativo de ranqueamento, listando as mais comuns e mais perigosas vulnerabilidades, o que facilita a análise e posterior solução. 

Depois dos diagnósticos e correções, é essencial realizar um teste de invasão para garantir que a vulnerabilidade fora corrigida antes de passar para a próxima vulnerabilidade.   

 

Ranking Anual OWASP Top 10 

O principal produto lançado por essa comunidade é, sem dúvida, o famoso ranking anual OWASP Top 10. 

Trata-se de uma lista com dez itens, em constante atualização, que indica as piores vulnerabilidades, ou brechas, em relação aos projetos web. 

Importante destacar que o OWASP Top 10 não se limita a listar as principais vulnerabilidades, mas fornece uma série de dicas e truques para que você evite e solucione esse tipo de problema em seus projetos. 

A mais recente versão do Ranking Anual da OWASP Top 10 é do ano de 2017. A edição de 2020 está em desenvolvimento.   

Segue abaixo a última lista disponibilizada pela OWASP, portanto, com as falhas de segurança e uma breve explicação desenvolvida pela Insider, por ordem de maior risco para o menor. Acompanhe: 

 

Injection (Injeção) 

As populares falhas de injeção (incluindo SQL, OS e LDAP) estão no topo da lista. Ocorre quando há uma interpretação manipulada por um usuário mal intencionado, executando comandos maliciosos. 

As injeções vão desde acessos indevidos até a inversão da lógica dos aplicativos para a finalidade da intenção do ataque. 

O processo culmina na invasão de sistemas e roubo de dados pessoais em um banco de dados, entre outros. 

 

Broken Authentication (Autenticação interrompida) 

Autenticação interrompida é um conceito extenso que envolve diversas vulnerabilidades. 

Em resumo, tais vulnerabilidades são exploradas para que os invasores se passem por usuários legítimos on-line e acessem domínios virtuais privados. 

A autenticação interrompida refere-se a brechas encontradas fundamentalmente em dois gerenciamentos da empresa, o de sessão e o de credencial.   

Os dois são classificados como quadros de autenticação interrompida porque permitem aos usuários o disfarce necessário para quebrar o sigilo dos bancos de dados. 

Os hackers se utilizam de estratégias bem elaboradas para reconhecer essas brechas, podendo ir desde ataques comuns de preenchimento de credenciais para acesso aos bancos de dados até esquemas que visam um usuário em específico. 

Há algum tempo os ataques de autenticação interrompida têm se enquadrado como perigosos e, por isso, com lugar cativo na lista da OWASP desde 2017, em 2020 subiu para o segundo lugar. 

Contratempos na implementação ou uso incorreto de recursos de autenticação por colaboradores podem ser explorados por criminosos para comprometer credenciais, obtendo acesso não autorizado a sistemas internos e banco de dados, sendo um risco grave de violação.

 

Sensitive Data Exposure (Exposição de dados sensíveis) 

Também em colocação elevada na lista da OWASP, a exposição de dados confidenciais acontece quando um sistema, planilha, aplicativo ou qualquer meio da organização expõe inadvertidamente dados confidenciais. 

É diferente de uma violação de dados, na qual um hacker acessa e rouba as informações, a exposição de dados confidenciais ocorre quando um banco de dados não é protegido adequadamente. 

Como resultado, as informações são vazadas. 

Aplicativos mal configurados, sistemas ou servidores públicos podem acabar expondo dados que permitem a identificação de seus titulares, algo extremamente grave especialmente considerando a Lei Geral de Proteção de Dados (LGPD). 

 

XML External Entities (XXE) (Entidades Externas de XML (XXE) 

Os ataques de XXE (XML eXternal Entity) ocorrem quando uma entrada XML contendo uma referência a uma entidade externa é processada por um analisador XML configurado de forma que não é segura o suficiente. 

O XML possui uma característica que permite que o desenvolvedor aponte para um endereço onde o dado está armazenado, local ou remotamente. 

 

Broken Acess Control (Quebra no controle de acesso) 

Como o nome já indica, o controle de acesso impõe a política de modo que os usuários não possam agir fora de suas permissões pretendidas. 

As quebras – falhas – nesse controle normalmente levam à divulgação não autorizada de informações, modificação ou destruição de todos os dados confidenciais, ou ao desempenho e alteração de uma função comercial fora dos limites de acesso do usuário. 

 

Security Misconfiguration (Configuração incorreta de segurança) 

A configuração incorreta de segurança é uma categoria bastante ampla e também bastante comum. 

Ela engloba algumas das outras dez principais vulnerabilidades do OWASP, como exposição de dados confidenciais, autenticação interrompida, configuração incorreta de segurança, etc. 

Também inclui outros cenários que não se encaixam em nenhuma outra categoria e justificam esse novo item, como o tratamento de brechas, de erros, portas abertas desnecessárias que se enquadram como vulnerabilidades fáceis. 

 

Cross-Site Scripting XSS 

Cross-site scripting (XSS) é um tipo de vulnerabilidade de sites por meio da qual o invasor é capaz de inserir scripts maliciosos em páginas e aplicativos que seriam confiáveis e usá-los para instalar malwares nos navegadores dos usuários. 

 

Insecure Deserialiation (Desserialização insegura) 

A desserialização insegura é uma brecha que acontece quando dados não confiáveis são usados para confundir a lógica de um aplicativo, infligir um ataque de negação de serviço (DoS) ou até mesmo executar código arbitrário ao ser desserializado. 

Para que o conceito de desserialização insegura fique mais claro, primeiro iremos esclarecer o que é serialização e desserialização. 

serialização se refere ao processo de conversão de um objeto em um formato que pode ser instalado em disco (por exemplo, salvo em um arquivo ou armazenamento de dados), enviado por meio de fluxos ou o mais comum: enviado por uma rede. 

 O formato no qual um objeto é serializado pode ser binário ou texto estruturado (por exemplo XML, JSON YAML…). JSON e XML são dois dos formatos de serialização mais comumente usados em aplicativos da web. 

desserialização, por outro lado, é o oposto da serialização, ou seja, transformar dados serializados vindos de um arquivo, stream ou socket de rede em um objeto. 

 

Using Components with Known Vulnerabilities (Uso de componentes com vulnerabilidades comuns) 

Esse tipo de ameaça ocorre quando os componentes de uso de um sistema de dados, como bibliotecas e estruturas usadas no aplicativo, são executados sem nenhuma restrição, com privilégios totais. 

Assim sendo, quem consegue um acesso simples, acaba tendo acesso a todos os conteúdos inseridos na plataforma. 

Logo, caso um desses componentes vulneráveis seja explorado, o trabalho do hacker será mais fácil de causar uma perda grave de dados ou controle do servidor. 

 

Insufficient Logging & Monitoring (Análise e monitoramento insuficientes) 

Mais importante do que entender as vulnerabilidades é a análise para saber diagnosticá-las e o constante monitoramento para que sejam solucionadas de uma vez por todas e não retornem. 

Logo, não basta conhecer e aplicar métodos eficientes e supersistemas se há brechas no TI quanto ao desenvolvimento da observação do software como um todo. 

Essas aplicações podem ser automatizadas para que exista um suporte em possíveis esquecimentos dos colaboradores, mas ainda assim, é fundamental que ocorra uma análise precisa da rede. 

Até aqui você já deve ter percebido o motivo da OWASP ter esse reconhecimento. O OWASP Top 10 é um guia essencial para qualquer desenvolvedor que esteja trabalhando em projetos web. 

Já em 2017 seu uso era indispensável. Porém, com os novos tempos, a necessidade aumentou. 

 

O OWASP é uma necessidade 

A pandemia do novo coronavírus (SARS-CoV2), fez com que muitos colaboradores trabalhem de forma remota e dependam ainda mais de ferramentas de fácil acesso, disponíveis na nuvem, por exemplo e com fácil aplicação. 

Além é claro do aumento da demanda de projetos web e consequentemente, da percepção das vulnerabilidades e métodos para solucioná-las.   

Sendo assim, para evitar problemas com exposições indevidas de dados pessoais ou ataques cibernéticos contra seus usuários, é essencial que os desenvolvedores utilizem os recursos da OWASP durante todo o processo de desenvolvimento e manutenção de seus projetos. 

Também é imprescindível realizar auditorias constantes para garantir que o ciclo dos projetos esteja em conformidade com novos riscos que surgem diariamente. 

Por isso, é tão importante realizar de forma preventiva a gestão de vulnerabilidades na organização. Estar à frente dos problemas, permite solucioná-los em tempo hábil e não ser pego de surpresa com ataques virtuais. 

Além dos prejuízos ocasionados à própria empresa internamente, a Lei Geral de Proteção de Dados promete sanções sérias a quem não respeitar suas normas. 

A gestão de vulnerabilidades contempla o diagnóstico, análise, classificação e tratamento das vulnerabilidades, além de inserir os colaboradores no comando da situação, estando sempre à frente de qualquer problema que precise ser solucionado, diminuindo os impactos causados ou, até mesmo, excluindo-os. 

Aliada à OWASP, a gestão deve ser um processo contínuo e que precisa ser acompanhado de perto. 

Com o suporte da equipe de TI contratada, as avaliações são periodicamente repetidas e, dessa forma, é possível determinar quais mudanças ocorreram em comparação com a última auditoria. 

Esse processo busca medir o progresso, ou a falta dele, e avalia os riscos aos quais a organização está submetida em cada momento do ciclo. 

Devido ao seu reconhecimento mundial, mostrar aos clientes que a sua empresa participa ativamente da OWASP, colaborando com as informações disponibilizadas, ou seguindo seus protocolos de recomendação, pode ajudar a fomentar a organização, além de melhorar significativamente a imagem da empresa no mercado. 

Mas, para que a OWASP faça sentido na sua empresa, é preciso que a gestão de vulnerabilidades seja efetivamente uma preocupação da sua organização. Por isso, indicamos que você leia nosso e-book sobre LGPD e gestão de vulnerabilidades.

 

 

Se você ainda não executa a gestão de vulnerabilidades da sua empresa em conformidade com a OWASP essa pode ser uma grande oportunidade de começar! 

Receba novidades:







    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *