OWASP® CRS dla ochrony aplikacji internetowych

Co to jest OWASP® CRS?

Open Worldwide Application Security Project® (OWASP) to fundacja non-profit, która działa na rzecz poprawy bezpieczeństwa oprogramowania. Jednym z wielu projektów OWASP® jest Core Rule Set (CRS). Jest to zestaw ogólnych reguł wykrywania ataków do użytku z kompatybilnymi zaporami aplikacji internetowych (Web Application Firewalls). CRS ma na celu ochronę aplikacji internetowych przed szerokim zakresem ataków, w tym z listy OWASP® Top Ten, przy minimalnej liczbie fałszywych alarmów. CRS zapewnia ochronę przed wieloma typowymi kategoriami ataków, w tym::

• SQL Injection (SQLi)
• Cross Site Scripting (XSS)
• Local File Inclusion (LFI)
• Remote File Inclusion (RFI)
• PHP Code Injection
• Java Code Injection
• HTTPoxy
• Shellshock
• Unix/Windows Shell Injection
• Session Fixation
• Scripting/Scanner/Bot Detection
• Metadata/Error Leakages

CRS od wersji 3.0 zapewnia ponad 90% redukcję fałszywych alertów w domyślnej instalacji.

Strona OWASP® CRS: https://coreruleset.org/

Strona OWASP® Top Ten: https://owasp.org/www-project-top-ten/

Dlaczego ochrona aplikacji internetowych jest niezbędna?

Jak wynika z badań ankietowych przeprowadzonych przez firmę Verizon, w ciągu ostatnich trzech lat aplikacje internetowe są jednym z najczęściej wykorzystywanych wektorów ataków. Edycja 2023 DBIR  potwierdza ten rosnący trend (patrz rysunki poniżej). Ochrona usług i aplikacji internetowych jest jedną z kluczowych technik obrony przed atakami w cyberprzestrzeni.

Inne ważne spostrzeżenia z dokumentu firmy Verizon 2023 Data Breach Investigations Report (DBIR):

• 83% naruszeń dotyczyło podmiotów zewnętrznych,
• motywacja w przypadku 95% naruszeń ma podłoże finansowe,
• atakujący uzyskują dostęp do organizacji na trzy główne sposoby: kradzież danych uwierzytelniających, phishing i wykorzystywanie luk w zabezpieczeniach,
• 9% incydentów wiąże się z wykorzystaniem luk w zabezpieczeniach, a 8% z wykorzystaniem skradzionych danych uwierzytelniających,
• w przypadku incydentów obejmujących wykorzystywanie luk w zabezpieczeniach, luki te były masowo wykorzystywane za pośrednictwem aplikacji internetowych (ponad 30%),
• ponad 32% wszystkich skanowań pod kątem luki Log4j w ciągu roku miało miejsce w ciągu 30 dni od jego wydania.

Incydenty opisane w tym raporcie miały miejsce między 1 listopada 2021 roku a 31 października 2022 roku. Link do raportu: https://www.verizon.com/business/resources/reports/dbir/

Aby zaadresować potrzeby w zakresie ochrony aplikacji internetowych, platforma decepcji Labyrinth od samego początku istnienia wykorzystuje unikalną technologię - Universal Web Point - więcej o tym w artykule pt. Ochrona aplikacji internetowych z użyciem technologii decepcji | Labyrinth

Technologia ta będzie wspierana przez OWASP® CRS w naszej nadchodzącej wersji platformy decepcji Labyrinth – dodany zostanie w pełni funkcjonalny Web Application Firewall (WAF), aby dokładniej wykrywać rodzaje ataków na sam Universal Web Point, w tym zarówno te z listy OWASP® Top 10, jak i inne podatności. Jednocześnie wykryte ataki nie będą miały wpływu na aplikację internetową, z którą powiązany jest wabik.

Jeśli chodzi o podatność Log4j, wspomnianą w dokumencie 2023 DBIR, nasz artykuł można znaleźć tutaj:
https://labyrinth.tech/news/posts/log4j-vulnerability