La lista 2021 de OWASP se baraja: Un nuevo plan de batalla y un nuevo enemigo principal
En este mundo cada vez más caótico, siempre ha habido algunas constantes con las que se puede contar de forma fiable: El sol saldrá por la mañana y se pondrá de nuevo por la noche, Mario siempre será más guay que Sonic the Hedgehog, y los ataques de inyección siempre ocuparán el primer puesto en la lista del Open Web Application Security Project (OWASP) de las diez vulnerabilidades más comunes y peligrosas que los atacantes están explotando activamente.
Bueno, el sol saldrá mañana, y Mario todavía tiene "una ventaja" sobre Sonic, pero los ataques de inyección han caído del puesto número uno en la infame lista OWASP, actualizada en 2021. Las vulnerabilidades de inyección, una de las formas más antiguas de ataque, existen desde hace casi tanto tiempo como las redes informáticas. La vulnerabilidad general es responsable de una amplia gama de ataques, que incluyen desde las tradicionales inyecciones SQL hasta los exploits lanzados contra las bibliotecas de navegación de gráficos de objetos (OGNL). Incluso incluye ataques directos contra servidores que utilizan técnicas de inyección de comandos del sistema operativo. La versatilidad de las vulnerabilidades de inyección para los atacantes -sin mencionar el número de lugares que podrían ser potencialmente atacados- ha mantenido esta categoría en el primer lugar durante muchos años.
Pero el rey de la inyección ha caído. Larga vida al rey.
¿Significa eso que por fin hemos resuelto el problema de la vulnerabilidad a las inyecciones? Ni mucho menos. No cayó muy lejos de su posición como enemigo de seguridad número uno, sólo bajó al número tres en la lista de OWASP. Sería un error subestimar los continuos peligros de los ataques de inyección, pero el hecho de que otra categoría de vulnerabilidad haya sido capaz de superarla es significativo, porque muestra lo extendido que está el nuevo enemigo número uno de OWASP, y por qué los desarrolladores deben prestarle mucha atención en el futuro.
Sin embargo, lo más interesante es que el Top 10 2021 de OWASP refleja una revisión significativa, con nuevas categorías que hacen su debut: Diseño inseguro, Fallos de integridad de software y datos, y una entrada basada en los resultados de la encuesta de la comunidad: Falsificación de solicitudes del lado del servidor. Todo ello apunta a una mayor atención a las vulnerabilidades arquitectónicas y a ir más allá de los fallos superficiales para el punto de referencia en la seguridad del software.
El control de acceso roto se lleva la corona (y revela una tendencia)
El control de acceso roto se ha disparado desde el quinto puesto de la lista de las diez principales vulnerabilidades de OWASP hasta la actual posición número uno. Al igual que con la inyección y las nuevas entradas como el diseño inseguro, la vulnerabilidad de acceso roto abarca una amplia gama de defectos de codificación, lo que se suma a su dudosa popularidad, ya que en conjunto permiten daños en múltiples frentes. La categoría incluye cualquier instancia en la que las políticas de control de acceso pueden ser violadas para que los usuarios puedan actuar fuera de sus permisos previstos.
Algunos ejemplos de control de acceso roto citados por OWASP al elevar la familia de vulnerabilidades al primer puesto incluyen las que permiten a los atacantes modificar una URL, el estado interno de la aplicación o parte de una página HTML. También pueden permitir a los usuarios cambiar su clave de acceso principal para que una aplicación, sitio o API crea que son otra persona, como un administrador con mayores privilegios. Incluso incluye vulnerabilidades en las que los atacantes no están restringidos para modificar los metadatos, permitiéndoles cambiar cosas como tokens web JSON, cookies o tokens de control de acceso.
Una vez explotada, esta familia de vulnerabilidades puede ser utilizada por los atacantes para saltarse las autorizaciones de archivos u objetos, lo que les permite robar datos o incluso realizar funciones destructivas a nivel de administrador, como borrar bases de datos. Esto hace que el control de acceso roto sea críticamente peligroso, además de ser cada vez más común.
Es bastante convincente -aunque no sorprendente- que las vulnerabilidades de autenticación y control de acceso se estén convirtiendo en el terreno más fértil para que los atacantes las exploten. El último informe de Verizon sobre investigaciones de fugas de datos revela que los problemas de control de acceso son frecuentes en casi todos los sectores, especialmente en el de las tecnologías de la información y la sanidad, y que la friolera del 85% de las fugas tienen un componente humano. Ahora bien, el "elemento humano" abarca incidentes como los ataques de phishing, que no son un problema de ingeniería, pero el 3% de las violaciones implicaron vulnerabilidades explotables y, según el informe, fueron predominantemente vulnerabilidades más antiguas y provocadas por errores humanos, como la desconfiguración de la seguridad.
Mientras que esos decrépitos errores de seguridad como el XSS y la inyección SQL siguen poniendo en aprietos a los desarrolladores, cada vez es más evidente que el diseño de seguridad básico está fallando, dando paso a vulnerabilidades arquitectónicas que pueden ser muy ventajosas para un actor de la amenaza, especialmente si quedan sin parchear después de que se haga público el fallo de seguridad de una versión concreta de una aplicación.
El problema es que pocos ingenieros reciben formación y desarrollo de habilidades que vayan más allá de lo básico, y aún son menos los que realmente amplían sus conocimientos y aplicación práctica más allá de los fallos localizados a nivel de código que suelen ser introducidos por los desarrolladores en primer lugar.
Prevenir los errores que los robots rara vez encuentran
La nueva familia agrupada de vulnerabilidades de control de acceso rotas es bastante diversa. Puedes encontrar algunos ejemplos específicos de controles de acceso rotos y cómo detenerlos en nuestro canal de YouTube y en nuestro blog.
Sin embargo, creo que es importante celebrar este nuevo Top 10 de OWASP; de hecho, es más variado, abarcando una gama más amplia de vectores de ataque que incluyen aquellos que los escáneres no necesariamente recogerán. Por cada debilidad a nivel de código que se encuentre, otros defectos arquitectónicos más complejos pasarán desapercibidos para la mayor parte de la pila tecnológica de seguridad, sin importar cuántos escudos y armas automatizadas haya en el arsenal. Aunque la mayor parte de la lista OWASP Top 10 se sigue elaborando a partir de datos de escaneado, las nuevas entradas que cubren el diseño inseguro y los fallos en la integridad de los datos -entre otros- muestran que los horizontes de formación de los desarrolladores deben ampliarse rápidamente para lograr lo que los robots no pueden.
En pocas palabras, los escáneres de seguridad no son grandes modeladores de amenazas, pero un equipo de desarrolladores con conocimientos de seguridad puede ayudar al equipo de AppSec de forma inconmensurable haciendo crecer su coeficiente de seguridad en línea con las mejores prácticas, así como las necesidades de la empresa. Esto debe tenerse en cuenta en un buen programa de seguridad, teniendo en cuenta que, si bien el OWASP Top 10 es un excelente punto de referencia, el panorama de las amenazas es tan rápido (por no hablar de las exigencias de los objetivos de desarrollo internos) que debe haber un plan para profundizar y ser más específico con la capacitación de los desarrolladores en materia de seguridad. Si no se hace así, inevitablemente se perderán oportunidades para remediarlas de forma temprana y se obstaculizará el éxito de un enfoque holístico de la ciberseguridad preventiva dirigida por el ser humano.
Estamos preparados para el OWASP Top 10 2021, ¡y eso es sólo el principio! Inicie a sus desarrolladores en un elevadas habilidades de seguridad hoy mismo.
Los ataques de inyección, el infame rey de las vulnerabilidades (por categoría), han perdido el primer puesto en favor del control de acceso roto como lo peor de lo peor, y los desarrolladores deben tomar nota.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
En este mundo cada vez más caótico, siempre ha habido algunas constantes con las que se puede contar de forma fiable: El sol saldrá por la mañana y se pondrá de nuevo por la noche, Mario siempre será más guay que Sonic the Hedgehog, y los ataques de inyección siempre ocuparán el primer puesto en la lista del Open Web Application Security Project (OWASP) de las diez vulnerabilidades más comunes y peligrosas que los atacantes están explotando activamente.
Bueno, el sol saldrá mañana, y Mario todavía tiene "una ventaja" sobre Sonic, pero los ataques de inyección han caído del puesto número uno en la infame lista OWASP, actualizada en 2021. Las vulnerabilidades de inyección, una de las formas más antiguas de ataque, existen desde hace casi tanto tiempo como las redes informáticas. La vulnerabilidad general es responsable de una amplia gama de ataques, que incluyen desde las tradicionales inyecciones SQL hasta los exploits lanzados contra las bibliotecas de navegación de gráficos de objetos (OGNL). Incluso incluye ataques directos contra servidores que utilizan técnicas de inyección de comandos del sistema operativo. La versatilidad de las vulnerabilidades de inyección para los atacantes -sin mencionar el número de lugares que podrían ser potencialmente atacados- ha mantenido esta categoría en el primer lugar durante muchos años.
Pero el rey de la inyección ha caído. Larga vida al rey.
¿Significa eso que por fin hemos resuelto el problema de la vulnerabilidad a las inyecciones? Ni mucho menos. No cayó muy lejos de su posición como enemigo de seguridad número uno, sólo bajó al número tres en la lista de OWASP. Sería un error subestimar los continuos peligros de los ataques de inyección, pero el hecho de que otra categoría de vulnerabilidad haya sido capaz de superarla es significativo, porque muestra lo extendido que está el nuevo enemigo número uno de OWASP, y por qué los desarrolladores deben prestarle mucha atención en el futuro.
Sin embargo, lo más interesante es que el Top 10 2021 de OWASP refleja una revisión significativa, con nuevas categorías que hacen su debut: Diseño inseguro, Fallos de integridad de software y datos, y una entrada basada en los resultados de la encuesta de la comunidad: Falsificación de solicitudes del lado del servidor. Todo ello apunta a una mayor atención a las vulnerabilidades arquitectónicas y a ir más allá de los fallos superficiales para el punto de referencia en la seguridad del software.
El control de acceso roto se lleva la corona (y revela una tendencia)
El control de acceso roto se ha disparado desde el quinto puesto de la lista de las diez principales vulnerabilidades de OWASP hasta la actual posición número uno. Al igual que con la inyección y las nuevas entradas como el diseño inseguro, la vulnerabilidad de acceso roto abarca una amplia gama de defectos de codificación, lo que se suma a su dudosa popularidad, ya que en conjunto permiten daños en múltiples frentes. La categoría incluye cualquier instancia en la que las políticas de control de acceso pueden ser violadas para que los usuarios puedan actuar fuera de sus permisos previstos.
Algunos ejemplos de control de acceso roto citados por OWASP al elevar la familia de vulnerabilidades al primer puesto incluyen las que permiten a los atacantes modificar una URL, el estado interno de la aplicación o parte de una página HTML. También pueden permitir a los usuarios cambiar su clave de acceso principal para que una aplicación, sitio o API crea que son otra persona, como un administrador con mayores privilegios. Incluso incluye vulnerabilidades en las que los atacantes no están restringidos para modificar los metadatos, permitiéndoles cambiar cosas como tokens web JSON, cookies o tokens de control de acceso.
Una vez explotada, esta familia de vulnerabilidades puede ser utilizada por los atacantes para saltarse las autorizaciones de archivos u objetos, lo que les permite robar datos o incluso realizar funciones destructivas a nivel de administrador, como borrar bases de datos. Esto hace que el control de acceso roto sea críticamente peligroso, además de ser cada vez más común.
Es bastante convincente -aunque no sorprendente- que las vulnerabilidades de autenticación y control de acceso se estén convirtiendo en el terreno más fértil para que los atacantes las exploten. El último informe de Verizon sobre investigaciones de fugas de datos revela que los problemas de control de acceso son frecuentes en casi todos los sectores, especialmente en el de las tecnologías de la información y la sanidad, y que la friolera del 85% de las fugas tienen un componente humano. Ahora bien, el "elemento humano" abarca incidentes como los ataques de phishing, que no son un problema de ingeniería, pero el 3% de las violaciones implicaron vulnerabilidades explotables y, según el informe, fueron predominantemente vulnerabilidades más antiguas y provocadas por errores humanos, como la desconfiguración de la seguridad.
Mientras que esos decrépitos errores de seguridad como el XSS y la inyección SQL siguen poniendo en aprietos a los desarrolladores, cada vez es más evidente que el diseño de seguridad básico está fallando, dando paso a vulnerabilidades arquitectónicas que pueden ser muy ventajosas para un actor de la amenaza, especialmente si quedan sin parchear después de que se haga público el fallo de seguridad de una versión concreta de una aplicación.
El problema es que pocos ingenieros reciben formación y desarrollo de habilidades que vayan más allá de lo básico, y aún son menos los que realmente amplían sus conocimientos y aplicación práctica más allá de los fallos localizados a nivel de código que suelen ser introducidos por los desarrolladores en primer lugar.
Prevenir los errores que los robots rara vez encuentran
La nueva familia agrupada de vulnerabilidades de control de acceso rotas es bastante diversa. Puedes encontrar algunos ejemplos específicos de controles de acceso rotos y cómo detenerlos en nuestro canal de YouTube y en nuestro blog.
Sin embargo, creo que es importante celebrar este nuevo Top 10 de OWASP; de hecho, es más variado, abarcando una gama más amplia de vectores de ataque que incluyen aquellos que los escáneres no necesariamente recogerán. Por cada debilidad a nivel de código que se encuentre, otros defectos arquitectónicos más complejos pasarán desapercibidos para la mayor parte de la pila tecnológica de seguridad, sin importar cuántos escudos y armas automatizadas haya en el arsenal. Aunque la mayor parte de la lista OWASP Top 10 se sigue elaborando a partir de datos de escaneado, las nuevas entradas que cubren el diseño inseguro y los fallos en la integridad de los datos -entre otros- muestran que los horizontes de formación de los desarrolladores deben ampliarse rápidamente para lograr lo que los robots no pueden.
En pocas palabras, los escáneres de seguridad no son grandes modeladores de amenazas, pero un equipo de desarrolladores con conocimientos de seguridad puede ayudar al equipo de AppSec de forma inconmensurable haciendo crecer su coeficiente de seguridad en línea con las mejores prácticas, así como las necesidades de la empresa. Esto debe tenerse en cuenta en un buen programa de seguridad, teniendo en cuenta que, si bien el OWASP Top 10 es un excelente punto de referencia, el panorama de las amenazas es tan rápido (por no hablar de las exigencias de los objetivos de desarrollo internos) que debe haber un plan para profundizar y ser más específico con la capacitación de los desarrolladores en materia de seguridad. Si no se hace así, inevitablemente se perderán oportunidades para remediarlas de forma temprana y se obstaculizará el éxito de un enfoque holístico de la ciberseguridad preventiva dirigida por el ser humano.
Estamos preparados para el OWASP Top 10 2021, ¡y eso es sólo el principio! Inicie a sus desarrolladores en un elevadas habilidades de seguridad hoy mismo.
En este mundo cada vez más caótico, siempre ha habido algunas constantes con las que se puede contar de forma fiable: El sol saldrá por la mañana y se pondrá de nuevo por la noche, Mario siempre será más guay que Sonic the Hedgehog, y los ataques de inyección siempre ocuparán el primer puesto en la lista del Open Web Application Security Project (OWASP) de las diez vulnerabilidades más comunes y peligrosas que los atacantes están explotando activamente.
Bueno, el sol saldrá mañana, y Mario todavía tiene "una ventaja" sobre Sonic, pero los ataques de inyección han caído del puesto número uno en la infame lista OWASP, actualizada en 2021. Las vulnerabilidades de inyección, una de las formas más antiguas de ataque, existen desde hace casi tanto tiempo como las redes informáticas. La vulnerabilidad general es responsable de una amplia gama de ataques, que incluyen desde las tradicionales inyecciones SQL hasta los exploits lanzados contra las bibliotecas de navegación de gráficos de objetos (OGNL). Incluso incluye ataques directos contra servidores que utilizan técnicas de inyección de comandos del sistema operativo. La versatilidad de las vulnerabilidades de inyección para los atacantes -sin mencionar el número de lugares que podrían ser potencialmente atacados- ha mantenido esta categoría en el primer lugar durante muchos años.
Pero el rey de la inyección ha caído. Larga vida al rey.
¿Significa eso que por fin hemos resuelto el problema de la vulnerabilidad a las inyecciones? Ni mucho menos. No cayó muy lejos de su posición como enemigo de seguridad número uno, sólo bajó al número tres en la lista de OWASP. Sería un error subestimar los continuos peligros de los ataques de inyección, pero el hecho de que otra categoría de vulnerabilidad haya sido capaz de superarla es significativo, porque muestra lo extendido que está el nuevo enemigo número uno de OWASP, y por qué los desarrolladores deben prestarle mucha atención en el futuro.
Sin embargo, lo más interesante es que el Top 10 2021 de OWASP refleja una revisión significativa, con nuevas categorías que hacen su debut: Diseño inseguro, Fallos de integridad de software y datos, y una entrada basada en los resultados de la encuesta de la comunidad: Falsificación de solicitudes del lado del servidor. Todo ello apunta a una mayor atención a las vulnerabilidades arquitectónicas y a ir más allá de los fallos superficiales para el punto de referencia en la seguridad del software.
El control de acceso roto se lleva la corona (y revela una tendencia)
El control de acceso roto se ha disparado desde el quinto puesto de la lista de las diez principales vulnerabilidades de OWASP hasta la actual posición número uno. Al igual que con la inyección y las nuevas entradas como el diseño inseguro, la vulnerabilidad de acceso roto abarca una amplia gama de defectos de codificación, lo que se suma a su dudosa popularidad, ya que en conjunto permiten daños en múltiples frentes. La categoría incluye cualquier instancia en la que las políticas de control de acceso pueden ser violadas para que los usuarios puedan actuar fuera de sus permisos previstos.
Algunos ejemplos de control de acceso roto citados por OWASP al elevar la familia de vulnerabilidades al primer puesto incluyen las que permiten a los atacantes modificar una URL, el estado interno de la aplicación o parte de una página HTML. También pueden permitir a los usuarios cambiar su clave de acceso principal para que una aplicación, sitio o API crea que son otra persona, como un administrador con mayores privilegios. Incluso incluye vulnerabilidades en las que los atacantes no están restringidos para modificar los metadatos, permitiéndoles cambiar cosas como tokens web JSON, cookies o tokens de control de acceso.
Una vez explotada, esta familia de vulnerabilidades puede ser utilizada por los atacantes para saltarse las autorizaciones de archivos u objetos, lo que les permite robar datos o incluso realizar funciones destructivas a nivel de administrador, como borrar bases de datos. Esto hace que el control de acceso roto sea críticamente peligroso, además de ser cada vez más común.
Es bastante convincente -aunque no sorprendente- que las vulnerabilidades de autenticación y control de acceso se estén convirtiendo en el terreno más fértil para que los atacantes las exploten. El último informe de Verizon sobre investigaciones de fugas de datos revela que los problemas de control de acceso son frecuentes en casi todos los sectores, especialmente en el de las tecnologías de la información y la sanidad, y que la friolera del 85% de las fugas tienen un componente humano. Ahora bien, el "elemento humano" abarca incidentes como los ataques de phishing, que no son un problema de ingeniería, pero el 3% de las violaciones implicaron vulnerabilidades explotables y, según el informe, fueron predominantemente vulnerabilidades más antiguas y provocadas por errores humanos, como la desconfiguración de la seguridad.
Mientras que esos decrépitos errores de seguridad como el XSS y la inyección SQL siguen poniendo en aprietos a los desarrolladores, cada vez es más evidente que el diseño de seguridad básico está fallando, dando paso a vulnerabilidades arquitectónicas que pueden ser muy ventajosas para un actor de la amenaza, especialmente si quedan sin parchear después de que se haga público el fallo de seguridad de una versión concreta de una aplicación.
El problema es que pocos ingenieros reciben formación y desarrollo de habilidades que vayan más allá de lo básico, y aún son menos los que realmente amplían sus conocimientos y aplicación práctica más allá de los fallos localizados a nivel de código que suelen ser introducidos por los desarrolladores en primer lugar.
Prevenir los errores que los robots rara vez encuentran
La nueva familia agrupada de vulnerabilidades de control de acceso rotas es bastante diversa. Puedes encontrar algunos ejemplos específicos de controles de acceso rotos y cómo detenerlos en nuestro canal de YouTube y en nuestro blog.
Sin embargo, creo que es importante celebrar este nuevo Top 10 de OWASP; de hecho, es más variado, abarcando una gama más amplia de vectores de ataque que incluyen aquellos que los escáneres no necesariamente recogerán. Por cada debilidad a nivel de código que se encuentre, otros defectos arquitectónicos más complejos pasarán desapercibidos para la mayor parte de la pila tecnológica de seguridad, sin importar cuántos escudos y armas automatizadas haya en el arsenal. Aunque la mayor parte de la lista OWASP Top 10 se sigue elaborando a partir de datos de escaneado, las nuevas entradas que cubren el diseño inseguro y los fallos en la integridad de los datos -entre otros- muestran que los horizontes de formación de los desarrolladores deben ampliarse rápidamente para lograr lo que los robots no pueden.
En pocas palabras, los escáneres de seguridad no son grandes modeladores de amenazas, pero un equipo de desarrolladores con conocimientos de seguridad puede ayudar al equipo de AppSec de forma inconmensurable haciendo crecer su coeficiente de seguridad en línea con las mejores prácticas, así como las necesidades de la empresa. Esto debe tenerse en cuenta en un buen programa de seguridad, teniendo en cuenta que, si bien el OWASP Top 10 es un excelente punto de referencia, el panorama de las amenazas es tan rápido (por no hablar de las exigencias de los objetivos de desarrollo internos) que debe haber un plan para profundizar y ser más específico con la capacitación de los desarrolladores en materia de seguridad. Si no se hace así, inevitablemente se perderán oportunidades para remediarlas de forma temprana y se obstaculizará el éxito de un enfoque holístico de la ciberseguridad preventiva dirigida por el ser humano.
Estamos preparados para el OWASP Top 10 2021, ¡y eso es sólo el principio! Inicie a sus desarrolladores en un elevadas habilidades de seguridad hoy mismo.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónMatias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
En este mundo cada vez más caótico, siempre ha habido algunas constantes con las que se puede contar de forma fiable: El sol saldrá por la mañana y se pondrá de nuevo por la noche, Mario siempre será más guay que Sonic the Hedgehog, y los ataques de inyección siempre ocuparán el primer puesto en la lista del Open Web Application Security Project (OWASP) de las diez vulnerabilidades más comunes y peligrosas que los atacantes están explotando activamente.
Bueno, el sol saldrá mañana, y Mario todavía tiene "una ventaja" sobre Sonic, pero los ataques de inyección han caído del puesto número uno en la infame lista OWASP, actualizada en 2021. Las vulnerabilidades de inyección, una de las formas más antiguas de ataque, existen desde hace casi tanto tiempo como las redes informáticas. La vulnerabilidad general es responsable de una amplia gama de ataques, que incluyen desde las tradicionales inyecciones SQL hasta los exploits lanzados contra las bibliotecas de navegación de gráficos de objetos (OGNL). Incluso incluye ataques directos contra servidores que utilizan técnicas de inyección de comandos del sistema operativo. La versatilidad de las vulnerabilidades de inyección para los atacantes -sin mencionar el número de lugares que podrían ser potencialmente atacados- ha mantenido esta categoría en el primer lugar durante muchos años.
Pero el rey de la inyección ha caído. Larga vida al rey.
¿Significa eso que por fin hemos resuelto el problema de la vulnerabilidad a las inyecciones? Ni mucho menos. No cayó muy lejos de su posición como enemigo de seguridad número uno, sólo bajó al número tres en la lista de OWASP. Sería un error subestimar los continuos peligros de los ataques de inyección, pero el hecho de que otra categoría de vulnerabilidad haya sido capaz de superarla es significativo, porque muestra lo extendido que está el nuevo enemigo número uno de OWASP, y por qué los desarrolladores deben prestarle mucha atención en el futuro.
Sin embargo, lo más interesante es que el Top 10 2021 de OWASP refleja una revisión significativa, con nuevas categorías que hacen su debut: Diseño inseguro, Fallos de integridad de software y datos, y una entrada basada en los resultados de la encuesta de la comunidad: Falsificación de solicitudes del lado del servidor. Todo ello apunta a una mayor atención a las vulnerabilidades arquitectónicas y a ir más allá de los fallos superficiales para el punto de referencia en la seguridad del software.
El control de acceso roto se lleva la corona (y revela una tendencia)
El control de acceso roto se ha disparado desde el quinto puesto de la lista de las diez principales vulnerabilidades de OWASP hasta la actual posición número uno. Al igual que con la inyección y las nuevas entradas como el diseño inseguro, la vulnerabilidad de acceso roto abarca una amplia gama de defectos de codificación, lo que se suma a su dudosa popularidad, ya que en conjunto permiten daños en múltiples frentes. La categoría incluye cualquier instancia en la que las políticas de control de acceso pueden ser violadas para que los usuarios puedan actuar fuera de sus permisos previstos.
Algunos ejemplos de control de acceso roto citados por OWASP al elevar la familia de vulnerabilidades al primer puesto incluyen las que permiten a los atacantes modificar una URL, el estado interno de la aplicación o parte de una página HTML. También pueden permitir a los usuarios cambiar su clave de acceso principal para que una aplicación, sitio o API crea que son otra persona, como un administrador con mayores privilegios. Incluso incluye vulnerabilidades en las que los atacantes no están restringidos para modificar los metadatos, permitiéndoles cambiar cosas como tokens web JSON, cookies o tokens de control de acceso.
Una vez explotada, esta familia de vulnerabilidades puede ser utilizada por los atacantes para saltarse las autorizaciones de archivos u objetos, lo que les permite robar datos o incluso realizar funciones destructivas a nivel de administrador, como borrar bases de datos. Esto hace que el control de acceso roto sea críticamente peligroso, además de ser cada vez más común.
Es bastante convincente -aunque no sorprendente- que las vulnerabilidades de autenticación y control de acceso se estén convirtiendo en el terreno más fértil para que los atacantes las exploten. El último informe de Verizon sobre investigaciones de fugas de datos revela que los problemas de control de acceso son frecuentes en casi todos los sectores, especialmente en el de las tecnologías de la información y la sanidad, y que la friolera del 85% de las fugas tienen un componente humano. Ahora bien, el "elemento humano" abarca incidentes como los ataques de phishing, que no son un problema de ingeniería, pero el 3% de las violaciones implicaron vulnerabilidades explotables y, según el informe, fueron predominantemente vulnerabilidades más antiguas y provocadas por errores humanos, como la desconfiguración de la seguridad.
Mientras que esos decrépitos errores de seguridad como el XSS y la inyección SQL siguen poniendo en aprietos a los desarrolladores, cada vez es más evidente que el diseño de seguridad básico está fallando, dando paso a vulnerabilidades arquitectónicas que pueden ser muy ventajosas para un actor de la amenaza, especialmente si quedan sin parchear después de que se haga público el fallo de seguridad de una versión concreta de una aplicación.
El problema es que pocos ingenieros reciben formación y desarrollo de habilidades que vayan más allá de lo básico, y aún son menos los que realmente amplían sus conocimientos y aplicación práctica más allá de los fallos localizados a nivel de código que suelen ser introducidos por los desarrolladores en primer lugar.
Prevenir los errores que los robots rara vez encuentran
La nueva familia agrupada de vulnerabilidades de control de acceso rotas es bastante diversa. Puedes encontrar algunos ejemplos específicos de controles de acceso rotos y cómo detenerlos en nuestro canal de YouTube y en nuestro blog.
Sin embargo, creo que es importante celebrar este nuevo Top 10 de OWASP; de hecho, es más variado, abarcando una gama más amplia de vectores de ataque que incluyen aquellos que los escáneres no necesariamente recogerán. Por cada debilidad a nivel de código que se encuentre, otros defectos arquitectónicos más complejos pasarán desapercibidos para la mayor parte de la pila tecnológica de seguridad, sin importar cuántos escudos y armas automatizadas haya en el arsenal. Aunque la mayor parte de la lista OWASP Top 10 se sigue elaborando a partir de datos de escaneado, las nuevas entradas que cubren el diseño inseguro y los fallos en la integridad de los datos -entre otros- muestran que los horizontes de formación de los desarrolladores deben ampliarse rápidamente para lograr lo que los robots no pueden.
En pocas palabras, los escáneres de seguridad no son grandes modeladores de amenazas, pero un equipo de desarrolladores con conocimientos de seguridad puede ayudar al equipo de AppSec de forma inconmensurable haciendo crecer su coeficiente de seguridad en línea con las mejores prácticas, así como las necesidades de la empresa. Esto debe tenerse en cuenta en un buen programa de seguridad, teniendo en cuenta que, si bien el OWASP Top 10 es un excelente punto de referencia, el panorama de las amenazas es tan rápido (por no hablar de las exigencias de los objetivos de desarrollo internos) que debe haber un plan para profundizar y ser más específico con la capacitación de los desarrolladores en materia de seguridad. Si no se hace así, inevitablemente se perderán oportunidades para remediarlas de forma temprana y se obstaculizará el éxito de un enfoque holístico de la ciberseguridad preventiva dirigida por el ser humano.
Estamos preparados para el OWASP Top 10 2021, ¡y eso es sólo el principio! Inicie a sus desarrolladores en un elevadas habilidades de seguridad hoy mismo.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.