Wenn es um die Cyber-Verteidigung Man denkt immer an böse Computerpiraten und diejenigen, die auf der anderen Seite des Zauns gegen sie kämpfen. Dabei begann alles viel früher.
Insbesondere bei Softwareaspekten beginnt alles mit der Konzeption und Implementierung eines Programms.
Schlechtes Design, mangelnde Kenntnisse im Bereich der sicheren Softwareprogrammierung, Ineffizienz beim Testen und bei der Qualitätskontrolle sind die Ursachen für die Probleme, mit denen wir täglich konfrontiert sind Cyberspace. Dennoch gibt es Standards für die Erstellung sicherer Anwendungen: Öffnen Sie das Webanwendungssicherheitsprojekt, kurz OWASP, ist ein Standard für die Produktion sicherer Webanwendungen und wenn man bedenkt, dass mittlerweile fast alle Anwendungen Webanwendungen sind...
OWASP ist ebenfalls eine weltweite Organisation, die sich die Verbesserung der Softwaresicherheit zum Ziel gesetzt hat. Die von der Organisation erstellte Dokumentation wird unter Lizenz veröffentlicht Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen.
Die OWASP Foundation ist seit dem 1. Dezember 2001 online und als Organisation anerkannt Non-Profit- Amerikaner seit dem 21. April 2004. Die Stiftung und ihre Mitarbeiter halten sich an die Grundregel, sich keiner Technologiebranche anzuschließen, um ihre Unparteilichkeit und Glaubwürdigkeit zu wahren.
OWASP hat natürlich einen Gründer: Mark Curphey, der in England aufgewachsen ist. Im Jahr 2000 erwarb Curpey einen Master-Abschluss in Informationssicherheit, der Kryptographie studiert, verlässt England in Richtung USA, wo er für das zu arbeiten beginnt Internet-Sicherheitssysteme, später von IBM übernommen. In diesen Jahren erweckte er OWASP zum Leben.
Nach verschiedenen Erfahrungen im Sicherheitsbereich gründete er 2014 QuelleClear mit Sitz in San Francisco und trägt weiterhin zur Verbreitung von OWASP bei.
Aber warum ist OWASP so wichtig?
Owasp ist wichtig, weil es heute ein weltweiter Standard für die Entwicklung sicherer Software ist, aber nicht nur, weil es Tausende von IT-Sicherheitsexperten gibt, die jeden Tag an OWASP-Projekten zusammenarbeiten, sondern auch, weil es eine Sammlung von Best Practices ist die kostenlos zur Verfügung gestellt werden, ist wichtig, denn unter den vielen Projekten gibt es auch die OWASP-Akademie Ziel ist es, Wissen über sichere Softwareentwicklung zu verbreiten.
OWASP ist ein Standard de facto, übernommen von einzelnen Entwicklern, aber auch von großen Softwareherstellern. Da es sich tatsächlich um einen Standard handelt, ist es selbstverständlich, dass seine Übernahme durch eine Organisation ein integraler Bestandteil der Struktur von wird Cyber-Verteidigung der Organisation selbst, das liegt daran, dass Cyber-Verteidigung Es geht nicht nur um das, was man in den Filmen sieht, was wir als „Taktik“ bezeichnen können, sondern auch um das, was man nicht sieht, das aber Teil des Kontexts, der „Strategie“ ist.
Eine Organisation, die Software produziert, sowie eine Organisation, deren Geschäftsprozesse stark von der verwendeten Software (von ihr produziert oder nicht) abhängen, müssen auch Aspekte von berücksichtigen Datenschutzrichtlinien wie die interne Einführung von OWASP.
Die Einführung von OWASP oder anderen Sicherheitsstandards ist daher ein wesentlicher Bestandteil von Cyber-Verteidigung unternehmensintern und verdient daher die Aufmerksamkeit des Managements. Tatsächlich ist es absolut sinnlos, Investitionen in den Sicherheitssektor zu tätigen, ohne darüber nachzudenken Datenschutzrichtlinien des Sektors.
Um einen albernen, aber für jeden verständlichen Vergleich anzustellen: Es ist, als ob man das Wasser mit einem Sieb filtern möchte. Wenn man Partikel einer bestimmten Größe aus dem Wasser entfernen muss und mein Sieb nicht effektiv ist, kann ich auch ein größeres Sieb kaufen, aber wenn Beim Kauf macht mir die Größe der Löcher nichts aus. Ich habe wahrscheinlich nur mehr Geld für ein größeres Sieb ausgegeben, ohne dass sich die Leistung verbessert hat!
Nun, wenn Sie bei der Erstellung (oder dem Kauf) von Software nicht auf die Sicherheitsstandards achten, die in der Produktions- und Testphase verwendet werden, müssen Sie eine ganze Reihe nachfolgender Sicherheitskontrollen einführen, die es Ihnen ermöglichen, sich dem zu stellen Risiken, die dadurch entstehen, dass ich viel mehr ausbringe, als ich ausgeben würde, wenn ich mich von Anfang an um die Sicherheitsaspekte der Software kümmern würde.
Natürlich ist die Einführung eines sicheren Softwareproduktionsstandards keine Garantie dafür, dass keine Probleme auftreten, aber sie schützt zumindest vor bereits bekannten Problemen.
Eines der wichtigsten Produkte von OWASP ist das Top Ten, eine Liste der 10 größten Risiken im Zusammenhang mit Web Applikationen. In der ursprünglichen Fassung waren dies die vorgeschlagenen Punkte, die auch heute noch unter Beobachtung stehen:
A1-Injektion
A2 Defekte Authentifizierung und Sitzungsverwaltung
A3 Cross-Site-Scripting (XSS)
A4 Zugangskontrolle defekt
A5 Sicherheitsfehlkonfiguration
A6 Offenlegung sensibler Daten
A7 Unzureichender Angriffsschutz
A8 Cross-Site Request Forgery (CSRF)
A9 Verwendung von Komponenten mit bekannten Schwachstellen
A10 Untergeschützte APIs
Obwohl die Liste von 2017 der vorherigen sehr ähnlich ist, wurde sie vor allem wegen Punkt 7, der nicht von allen als akzeptabel angesehen wird, viel diskutiert. Tatsache ist, dass dies, auch wenn es nicht von allen geteilt wird, als hervorragender Ausgangspunkt für die Untersuchung der in der Welt vorhandenen Risiken angesehen werden kann Web-Anwendung.
Um mehr zu erfahren:
- https://www.owasp.org
- https://www.sourceclear.com
- http://www.cert.org/secure-coding/standards/index.cfm
- https://2017.appsecusa.org/
