OWASP Top 10 - 2021 (neue Methodik)

Was hat sich in den Top 10 für 2021 geändert?

Es gibt drei neue Kategorien, vier Kategorien mit Namens- und Umfangsänderungen und eine gewisse Konsolidierung in den Top 10 für 2021.

Methodik

Diese Ausgabe der Top 10 ist datengetriebener denn je, aber nicht blind datengetrieben. Wir haben acht der zehn Kategorien aus eingereichten Daten und zwei Kategorien aus einer Branchenumfrage auf hohem Niveau ausgewählt. Wir tun dies aus einem fundamentalen Grund: Ein Blick auf die bereitgestellten Daten ist ein Blick in die Vergangenheit. AppSec-Forscher nehmen sich Zeit, um neue Schwachstellen und neue Testmethoden zu finden. Es braucht Zeit, diese Tests in Tools und Prozesse zu integrieren. Bis wir eine Schwachstelle zuverlässig testen können, sind wahrscheinlich Jahre vergangen. Um diese Ansicht auszugleichen, verwenden wir eine Branchenumfrage, um Menschen an vorderster Front zu fragen, was sie als wesentliche Schwächen ansehen, die die Daten möglicherweise noch nicht aufzeigen.
Es gibt einige kritische Änderungen, die wir vorgenommen haben, um die Top 10 weiter zu reifen.

Wie die Kategorien aufgebaut sind

Einige Kategorien haben sich gegenüber der vorherigen Ausgabe der OWASP Top Ten geändert. Hier ist eine allgemeine Zusammenfassung der Kategorieänderungen.

Frühere Datenerhebungsbemühungen konzentrierten sich auf eine vorgeschriebene Untergruppe von ungefähr 30 CWEs, wobei ein Feld nach zusätzlichen Erkenntnissen fragte. Wir haben erfahren, dass sich Organisationen hauptsächlich auf diese 30 CWEs konzentrieren und selten zusätzliche CWEs hinzufügen, die sie gesehen haben. In dieser Iteration haben wir es geöffnet und nur nach Daten gefragt, ohne Beschränkung auf CWEs. Wir haben nach der Anzahl der getesteten Anwendungen für ein bestimmtes Jahr (ab 2017) und der Anzahl der Anwendungen mit mindestens einer im Test gefundenen Instanz eines CWE gefragt. Dieses Format ermöglicht es uns, zu verfolgen, wie verbreitet jedes CWE in der Gesamtheit der Bewerbungen ist. Wir ignorieren die Frequenz für unsere Zwecke; während es für andere Situationen notwendig sein kann, verbirgt es nur die tatsächliche Prävalenz in der Anwendungspopulation. Ob eine Anwendung vier oder vier Instanzen einer CWE hat, 000 Instanzen sind nicht Teil der Berechnung für die Top 10. Wir sind von ungefähr 30 CWEs auf fast 400 CWEs gestiegen, um den Datensatz zu analysieren. Als Ergänzung planen wir in Zukunft weitere Datenanalysen. Dieser signifikante Anstieg der Zahl der CWEs erfordert Änderungen in der Strukturierung der Kategorien.

Wir verbrachten mehrere Monate damit, CWEs zu gruppieren und zu kategorisieren und hätten noch weitere Monate fortfahren können. Wir mussten irgendwann aufhören. Es gibt sowohl Grundursachen- als auch Symptomtypen von CWEs, wobei Grundursachentypen wie „Kryptografischer Fehler“ und „Fehlkonfiguration“ sind, im Gegensatz zu Symptomtypen wie „Sensible Datenexponierung“ und „Denial of Service“. Wir haben uns entschieden, uns nach Möglichkeit auf die eigentliche Ursache zu konzentrieren, da dies für die Identifizierung und Behebung logischer ist. Sich auf die Ursache statt auf das Symptom zu konzentrieren, ist kein neues Konzept; die Top Ten waren eine Mischung aus Symptom und Ursache . ; wir gehen einfach bewusster damit um und rufen es heraus. In dieser Ausgabe gibt es durchschnittlich 19,6 CWEs pro Kategorie, wobei die Untergrenzen bei 1 CWE für A10:2021-Server-Side Request Forgery (SSRF) bis 40 CWEs in A04:2021-Insecure Design liegen . Diese aktualisierte Kategorienstruktur bietet zusätzliche Schulungsvorteile, da sich Unternehmen auf CWEs konzentrieren können, die für eine Sprache/einen Rahmen sinnvoll sind.

Top 10

A01:2021-Broken Access Control rückt von der fünften Position nach oben; 94 % der Anwendungen wurden auf irgendeine Form von defekter Zugangskontrolle getestet. Die 34 CWEs, die Broken Access Control zugeordnet sind, hatten mehr Vorkommen in Anwendungen als jede andere Kategorie.

A02:2021-Cryptographic Failures verschiebt eine Position auf #2, früher bekannt als Sensitive Data Exposure, was eher ein weit verbreitetes Symptom als eine Grundursache war. Der erneute Fokus liegt hier auf Fehlern im Zusammenhang mit der Kryptographie, die oft zu einer Offenlegung sensibler Daten oder einer Systemkompromittierung führen.

A03:2021-Injection gleitet in die dritte Position. 94 % der Anträge wurden auf irgendeine Form der Injektion getestet, und die 33 CWEs, die dieser Kategorie zugeordnet wurden, weisen die zweithäufigsten Fälle in Anträgen auf. Cross-Site-Scripting gehört in dieser Ausgabe nun zu dieser Kategorie.

A04:2021-Unsicheres Design ist eine neue Kategorie für 2021, die sich auf Risiken im Zusammenhang mit Designfehlern konzentriert. Wenn wir uns als Branche wirklich „nach links bewegen“ wollen, erfordert dies einen stärkeren Einsatz von Bedrohungsmodellen, sicheren Designmustern und -prinzipien sowie Referenzarchitekturen.

A05:2021-Sicherheitsfehlkonfiguration rückt von #6 in der vorherigen Ausgabe nach oben; 90 % der Anwendungen wurden auf irgendeine Form von Fehlkonfiguration getestet. Mit mehr Verschiebungen in hoch konfigurierbare Software ist es nicht verwunderlich, dass diese Kategorie aufsteigt. Die frühere Kategorie für XML External Entities (XXE) ist jetzt Teil dieser Kategorie.

A06:2021-Vulnerable and Outdated Components wurde zuvor mit dem Titel Using Components with Known Vulnerabilities betitelt und ist #2 in der Branchenumfrage, hatte aber auch genug Daten, um durch Datenanalyse die Top 10 zu erreichen. Diese Kategorie rückt von Platz 9 im Jahr 2017 nach oben und ist ein bekanntes Problem, bei dem wir Schwierigkeiten haben, das Risiko zu testen und einzuschätzen. Es ist die einzige Kategorie, in der keine CVEs den enthaltenen CWEs zugeordnet sind, sodass ein Standard-Exploit und eine Auswirkungsgewichtung von 5,0 in ihre Bewertungen einfließen.

A07:2021-Identifikations- und Authentifizierungsfehler war zuvor Broken Authentication und rutscht von der zweiten Position nach unten und umfasst jetzt CWEs, die mehr mit Identifizierungsfehlern zusammenhängen. Diese Kategorie ist immer noch ein fester Bestandteil der Top 10, aber die zunehmende Verfügbarkeit standardisierter Frameworks scheint zu helfen.

A08:2021 – Software- und Datenintegritätsfehler ist eine neue Kategorie für 2021, die sich darauf konzentriert, Annahmen in Bezug auf Softwareupdates, kritische Daten und CI/CD-Pipelines zu treffen, ohne die Integrität zu überprüfen. Einer der am höchsten gewichteten Auswirkungen von CVE/CVSS-Daten, die den 10 CWEs in dieser Kategorie zugeordnet wurden. Die unsichere Deserialisierung von 2017 ist nun Teil dieser größeren Kategorie.

A09:2021-Sicherheitsprotokollierungs- und -überwachungsfehler war zuvor Unzureichende Protokollierung und Überwachung und wurde aus der Branchenumfrage (Nr. 3) hinzugefügt und ist von zuvor Nr. 10 nach oben gestiegen . Diese Kategorie wurde erweitert, um weitere Fehlertypen einzuschließen, ist schwierig zu testen und wird in den CVE/CVSS-Daten nicht gut dargestellt. Fehler in dieser Kategorie können sich jedoch direkt auf die Sichtbarkeit, die Vorfallwarnung und die Forensik auswirken.

A10:2021-Server-Side Request Forgery wurde aus der Branchenumfrage (#1) hinzugefügt. Die Daten zeigen eine relativ niedrige Inzidenzrate mit einer überdurchschnittlichen Testabdeckung sowie überdurchschnittlichen Bewertungen für das Exploit- und Impact-Potenzial. Diese Kategorie stellt das Szenario dar, in dem uns Branchenexperten sagen, dass dies wichtig ist, auch wenn dies derzeit nicht in den Daten dargestellt ist.

Vergleichstabelle zu 2017

0

Weitere Infos, siehe → https://owasp.org/

(Quellen: u.a. Heise, OWASP, ParrotSec)