Jak je sestavován žebříček OWASP Top 10 a co mi na něm vadí

Organizace OWASP každý rok sestavuje žebříček nejčastějších slabin v testovaných aplikacích.

Ten byl po dobu několika let víceméně stejný, jen v něm docházelo k drobným změnám na jednotlivých pozicích, kdy si občas nějaké slabiny prostě jen vyměnily místo. Letos v něm však došlo k několika významným změnám.

Nás však bude spíš zajímat, jak je tento žebříček sestavován. Na prvním místě je třeba zdůraznit, že se jedná o žebříček slabin, nikoliv zranitelností, jak bývá občas nesprávně uváděno, a že pojmenování jednotlivých slabin je převzato z CWE.

OWASP Top 10 se při hodnocení rizik vyplývajících z jednotlivých slabin odvolává na svoji metodiku pro hodnocení rizik, která s ní však není zcela konzistentní, neboť pracuje s více faktory a ty nabývají i více různých hodnot.

OWASP Top 10 používá pro hodnocení slabin v zásadě jen dva faktory, detectability a exploitability, kterým odpovídá v metodice hodnocení rizik, na kterou se OWASP Top 10 odvolává, pojem Easy of discovery a Easy of exploit. Pravděpodobnost hrozby pak zastupuje faktor Prevelance a dopad pak Technical Impact.

Detectability vyjadřuje, jak náročné je danou slabinu detekovat. Přičemž detekce může být snadná (3), průměrná (2) anebo obtížná (1). V metodice pro hodnocení rizik se používá pojem Easy of discovery, který může nabývat hodnot Practically impossible (1), difficult (3), easy (7), automated tools available (9).

Exploitability vyjadřuje, jak náročné je dané slabiny zneužít. Přičemž zneužití dané slabiny může být snadné (3), průměrné (2) anebo obtížné (1). V metodice pro hodnocení rizik se používá pojem Easy of exploit, který může nabývat hodnot Theoretical (1), difficult (3), easy (5), automated tools available (9).

Prevalance zachycuje četnost výskytu těchto slabin v testovaných aplikacích příslušnými respondenty za rok, a může nabývat hodnot Uncommon (1), Common (2) a Widespread (3). Tomuto pojmu v metodice hodnocení rizik nic neodpovídá. Tento faktor je trochu nešťastný, protože byť je jedna slabina častější než druhá, tak to ještě neznamená, že musí být nutně i ve vaší aplikaci, a že proto představuje tu největší hrozbu. I když i tak je to možné chápat.

Technical Impact je poslední komponentou a vyjadřuje dopad na systém, kde byla slabina nalezena. Ten může nabývat hodnot minor (1), moderate (2) a severe (3) a toto hodnocení rovněž vůbec neodpovídá vodítkům hodnocení technického dopadu v odkazované metodice pro hodnocení rizik, kde se samostatně vyhodnocuje dopad na důvěrnost, integritu, dostupnost a neodmítnutelnost.

Spočtením aritmetického průměru hodnot detectability, exploitability a prevalance je stanovena pravděpodobnost zneužití dané slabiny hrozbou neboli Likelihood. A vynásobíme-li Likelihood a Technical Impact, získáme výši rizika vyplývající z dané slabiny.

Riziko v tomto případě může nabývat hodnot z intervalu <1,9> a můžeme se jen domnívat, že riziko nacházející se v intervalu <1,3) je nízké, <3,6) je střední a <6,9> je vysoké.

Ale v zásadě je to i jedno, protože tímto způsobem stanovená hodnota rizika slouží více méně jen k tomu, aby bylo možné jednotlivé slabiny seřadit sestupně od těch nejzávažnějších, až po ty nejméně závažné a sestavit tak onen známý žebříček OWASP Top 10.

Pomineme-li skutečnost, že neexistuje převodník mezi hodnocením faktorů v OWASP Top 10 a metodikou hodnocení rizik, tak je toto hodnocení poznamenáno značnou mírou subjektivity, protože není zřejmé, na základě čeho je stanoveno, proč a jak byla uvedená hodnota detectability, exploitability, prevelance a technical impact určena a zda všichni respondenti chápali ono slovní hodnocení stejně.

Pro vlastní hodnocení slabin a zranitelností a rizik se nabízí používat spíše odkazovanou metodiku, která zaujímá mnohem exaktnější přístup anebo nějakou úplně jinou.



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Google+
Google+
Email this to someone
email
Print this page
Print

Štítky:


K článku “Jak je sestavován žebříček OWASP Top 10 a co mi na něm vadí” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: