In che modo la protezione contro gli attacchi insufficiente è una minaccia / un rischio definito per un'organizzazione?

3

Recentemente, OWASP ha introdotto due nuove serie di categorie dal 2017, ad aprile - al suo OWASP Top 10 :

  1. Protezione da attacchi insufficiente
  2. API non protette

Comprendo, le API non protette hanno un rischio immediato che implica la dimostrazione di un'enorme superficie di attacco insieme a possibilità di perdite di dati, tuttavia, non riesco a capire come Protezione da attacchi insufficienti sia una minaccia o un rischio per una categoria?

Migliorando la mia attenzione, vorrei riassumere citato da scamdemy :

Insufficient Attack Protection refers to the inability to detect, prevent and respond to various kinds of attacks against the application as a whole. This – due to the large number of unaudited third-party components that may contain critical vulnerabilities – necessitates the use of generic security tools such as intrusion detection systems (IDS), and web application firewalls (WAF) that can identify an ongoing attack such as SQL injection. It focuses on the consequences instead of the root causes of the weaknesses.

Questo implica l'avere la configurazione WAF in connessione diretta per avere una grande superficie di attacco senza la presenza di Firewall? Se l'assenza di un componente è una necessità di categorizzazione immediata su OWASP Top 10. Non è sicuro, in che modo gli altri non sono interessati dallo stesso?

es. Non avendo WAF, alcuni livelli di Injection (s) saranno evidenti dato che il loro è un difetto nel codice dell'applicazione.

Presumo, questa è una mossa per il team di controllo della sicurezza per commercializzare i loro prodotti Firewall mantenendo OWASP Top 10 come riferimento? O era davvero necessario tecnicamente?

    
posta Shritam Bhowmick 12.04.2017 - 07:43
fonte

2 risposte

4

"Insufficient Attack Protection" è una scelta orribile di parole, ma non ho un suggerimento su come migliorarlo.

Ho supervisionato le applicazioni a cui mancavano le capacità di rilevamento davvero basilari ed è frustrante cercare di comunicare l'urgenza di una sorta di risposta al team dell'applicazione.

Immagina un'applicazione con:

  • nessuna protezione contro attacchi brute force password,
  • nessuna registrazione dei tentativi di accesso,
  • nessuna registrazione di avvio o completamento della sessione,
  • nessuna registrazione dei tentativi di manipolare le sessioni scadute ecc.

Mi sono ritrovato a scrivere firme Snort fragili e imbarazzanti per estrarre dati di registrazione di base e ottimizzare i firewall delle applicazioni per cercare di recuperare i comportamenti mancanti mentre i team applicativi dicevano semplicemente "meh, è un problema di infosec".

Le firme IPS non possono sapere "è un utente valido?" o "questa sessione è attiva?" o "quanti dati ha usato questa persona oggi?", ma la logica applicativa potrebbe avere accesso a queste informazioni, o forse solo avere le sessioni registrate significherebbe che la potrebbe SIEM eseguire la logica.

Riguardo all'articolo di Scamdemy, penso che abbia sbagliato. Questo non ha nulla a che fare con i componenti di terze parti. Molti degli articoli sulla sicurezza che appaiono sulla A7 2017 proposta sembrano essere le reazioni istintive a pompare una risposta alla nuova Top-10 di OWASP, ma credo che gli autori abbiano dato la loro risposta con attenzione pensiero.

I collegamenti esterni all'interno del cheatsheet A7 sono molto, molto più descrittivi:

IMHO, A7 ha bisogno di qualche ritocco, penso che i riferimenti "patching" dovrebbero essere rimossi. Infosec può fare patch virtuali o i processi di sviluppo possono patch, ma i riferimenti qui detraggono da quello che credo sia il loro messaggio principale.

    
risposta data 12.04.2017 - 10:46
fonte
0

In base alla descrizione breve di OWASP ( full doc here ):

The majority of applications and APIs lack the basic ability to detect, prevent and respond to both manual or automated attacks. Attack protection goes far beyond basic input validation and involves automatically detecting, logging, responding and even blocking exploit attempts. Application owners also need to be able to deploy patches quickly to protect against attacks.

La tua domanda:

I understand, Unprotected APIs does have an immediate risk which involves proving a huge attack surface along with possibilities of data leakages, however, I fail to understand how Insufficient Attack Protection is any threat or a risk for a category?

Oltre a tenere tutto aggiornato e aver sviluppato un'API abbastanza sicura, un'organizzazione o un'azienda con una rete enorme (e mabye i suoi server di hosting web), ha bisogno di avere più di quei tipici. Firewall e IDS hanno bisogno di persone che li monitorino e sappiano come reagire in caso di intrusione o tentativo di sfruttamento. Ciò include politiche di risposta attiva (blocco degli ip, negazione dei servizi in specifici client (dannosi) ecc.). Ora, se gli hacker riescono a superare con successo firewall, IDS e causare danni, devono esserci procedure per specificare le azioni necessarie per il ripristino del sistema / rete e l'ulteriore patch. Mancando nelle persone di fare quelle cose e senza politiche specifiche (ad esempio iso 27001), la protezione da attacchi insufficienti è ENTRAMBI la minaccia e un rischio. Prenditi un momento e pensa che molte aziende (piccole / grandi / non importa) non conservano nemmeno i backup dei loro database.

    
risposta data 12.04.2017 - 11:17
fonte

Leggi altre domande sui tag