OWASPの2021年リストシャッフル：新しいバトルプランと主な敵

このますます混沌とした世界では、人々が頼りにできることが常にいくつかあります。太陽は朝に昇り、夜には再び沈み、マリオは常にソニック・ザ・ヘッジホッグよりも涼しく、インジェクション攻撃は常にオープンウェブアプリケーションセキュリティプロジェクト（OWASP）のリストでトップの座を占めるようになります。 最も一般的なトップ10 また、攻撃者が積極的に悪用している危険な脆弱性もあります。

さて、明日は太陽が昇り、マリオはまだソニックに「ワンアップ」していますが、2021年に刷新された悪名高いOWASPリストでは、インジェクション攻撃はナンバーワンの座から外れています。最も古い攻撃形態の 1 つは、 インジェクションの脆弱性 コンピュータネットワークとほぼ同じくらい長い間存在してきました。この包括的な脆弱性は、従来の攻撃も含め、さまざまな攻撃の原因となっています。 SQL インジェクション オブジェクトグラフナビゲーションライブラリ (OGNL) に対して起動されたエクスプロイト用さらに、以下を使用するサーバーに対する直接の攻撃も含まれます。 OS コマンド・インジェクション技術。攻撃者にとってインジェクションの脆弱性は多種多様であり、攻撃される可能性のある場所の数は言うまでもなく、このカテゴリは長年にわたってトップの座を維持してきました。

しかし、インジェクションキングは倒れました。王様万歳

つまり、インジェクションの脆弱性の問題はついに解決したということですか？チャンスはない。セキュリティ敵のナンバーワンという位置からそれほど離れず、OWASPリストの3位まで下がっただけです。インジェクション攻撃の継続的な危険性を過小評価するのは間違いですが、別の脆弱性カテゴリがそれを超えることができたという事実は重要です。なぜなら、新しいOWASPトップドッグが実際にどれほど広く普及しているか、そして開発者が今後それに細心の注意を払う必要がある理由を示しているからです。

しかし、おそらく最も興味深いのは、OWASP Top 10 2021に大幅な見直しが反映され、「安全でない設計」、「ソフトウェアとデータの整合性の失敗」というまったく新しいカテゴリが登場し、コミュニティ調査の結果に基づくエントリ「サーバーサイドリクエストフォージェリ」が追加されたことです。これは、ソフトウェア・セキュリティのベンチマークでは表面レベルのバグにとどまらず、アーキテクチャの脆弱性への注目が高まっていることを示しています。

アクセス制御の破綻が栄冠を握る（そして傾向を明らかにする）

壊れたアクセス制御は、OWASPの脆弱性トップ10の5位から現在の1位まで急上昇しました。インジェクションや安全でない設計などの新規エントリーの場合と同様に、アクセス権限の脆弱性にはさまざまなコーディング上の欠陥が含まれており、複数の面で被害が及ぶ可能性があることから、この脆弱性は疑わしい人気をさらに高めています。このカテゴリには、アクセス制御ポリシーに違反して、ユーザーが意図した権限の範囲外で行動する可能性がある事例がすべて含まれます。

OWASPが脆弱性ファミリーの上位にランクインした理由として、攻撃者がURL、内部アプリケーションの状態、またはHTMLページの一部を変更できる脆弱性の例を挙げています。また、ユーザーがプライマリアクセスキーを変更して、アプリケーション、サイト、または API に自分がより高い権限を持つ管理者など、他人であると認識させる場合もあります。さらに、攻撃者がメタデータを変更することを制限されず、JSON Web トークン、Cookie、アクセスコントロールトークンなどを変更できてしまう脆弱性も含まれています。

攻撃者は、いったん悪用されると、この脆弱性を悪用して次のことを行えるようになります。 ファイルまたはオブジェクトをバイパスする 権限を与えることで、データを盗んだり、データベースの削除などの管理者レベルの破壊的な機能を実行したりすることができます。これにより、アクセス制御が破られることがますます一般的になるだけでなく、重大な危険性も高まっています。

認証とアクセス制御の脆弱性が攻撃者にとって最も悪用されやすい場所になりつつあることは、非常に説得力がありますが、驚くことではありません。ベライゾンの最新ニュース データ漏えい調査レポート アクセス制御の問題はほとんどすべての業界、特にITとヘルスケアで蔓延しており、すべての侵害のなんと85％が人的要素に関係していることが明らかになりました。現在、「人的要素」は、エンジニアリング上の問題ではないフィッシング攻撃などのインシデントを対象としていますが、侵害の 3% は悪用可能な脆弱性に関係しており、レポートによると、セキュリティの設定ミスなど、主に古い脆弱性やヒューマンエラーによるものでした。

XSSやSQLインジェクションなどの老朽化したセキュリティバグが開発者を悩ませ続けている一方で、コアセキュリティ設計が失敗し、脅威アクターにとって非常に有利なアーキテクチャ上の脆弱性に取って代わられることがますます明らかになっています。特に、特定のバージョンのアプリケーションのセキュリティ欠陥が公開された後にパッチが適用されない場合はそうです。

問題は、基本を超えるトレーニングやスキル開発を受けているエンジニアが少なく、そもそも開発者が通常導入したローカライズされたコードレベルのバグを超えて、知識と実践的な応用を真に受けているエンジニアがまだ少ないことです。

ロボットがめったに見つけないバグを防ぐ

新しく分類された壊れたアクセス制御の脆弱性群は、かなり多様です。アクセス制御が破られた具体例と、それを阻止する方法がいくつか紹介されています。 当社の YouTube チャンネル そして私たち ブログ。

ただし、この新しいOWASPトップ10を祝うことは重要だと思います。実際、スキャナーが必ずしも検出しないものも含め、より多様な攻撃ベクトルが含まれています。コードレベルの弱点が見つかるたびに、どんなに多くの自動シールドや武器があっても、セキュリティ技術スタックのほとんどが、より複雑なアーキテクチャ上の欠陥に気付かないでしょう。OWASP Top 10 リストの大部分は依然としてスキャンデータに基づいてまとめられていますが、安全でない設計やデータインテグリティの失敗などを扱った新しいエントリを見ると、ロボットでは達成できないことを達成するには、開発者のトレーニング範囲を急速に拡大する必要があることが分かります。

簡単に言えば、セキュリティスキャナーは優れた脅威モデラーにはなりませんが、セキュリティスキルのある開発者チームは、ベストプラクティスやビジネスニーズに合わせてセキュリティIQを高めることで、AppSecチームを計り知れないほど支援できます。これを優れたセキュリティプログラムに組み込む必要があります。OWASP Top 10は優れたベースラインですが、脅威の状況は非常に速いペースであるため（社内開発目標の要求は言うまでもありません）、セキュリティにおける開発者のスキルアップについて、より深く、より具体的に取り組む計画が必要であることを理解しておく必要があります。これを怠ると、必然的に早期に修復する機会を逃すことになり、予防的で人間主導のサイバーセキュリティに対する包括的なアプローチの成功が妨げられます。

‍

私たちはOWASPトップ102021への準備が整いました。これは始まりに過ぎません！で開発者を始めましょう セキュリティスキルの向上経路 今日。