不十分な攻撃防御はどのように組織への明確な脅威/リスクですか？

Question

最近、OWASPは2017年4月の時点で2つの新しいカテゴリのセットを導入しました-OWASPトップ10に：

不十分な攻撃防御
保護されていないAPI

私は理解しています、保護されていないAPIには、データ漏洩の可能性とともに巨大な攻撃面を証明することを含む即時のリスクがありますが、どのようにして理解できません不十分な攻撃保護カテゴリに脅威またはリスクはありますか？

私の焦点を改善するために、私は scamdemy からの引用を要約します：

不十分な攻撃保護とは、アプリケーション全体に対するさまざまな種類の攻撃を検出、防止、および対応できないことを意味します。これには、重大な脆弱性を含む可能性のある未監査のサードパーティコンポーネントが多数あるため、侵入検知システム（IDS）などの一般的なセキュリティツールや、次のような進行中の攻撃を特定できるWebアプリケーションファイアウォール（WAF）の使用が必要ですSQLインジェクション。弱点の根本原因ではなく、結果に焦点を当てています。

これは、直接接続でWAFを設定して、ファイアウォールが存在しない大きな攻撃対象領域を持つことを意味しますか？コンポーネントの不在がOWASPトップ10での即時分類の必要性である場合、不明な点がありますが、他のコンポーネントは同じ影響を受けませんか？

例えばWAFがないことにより、特定のレベルのインジェクションがアプリケーションコードの欠陥であることを考えると、明らかになります。

これは、セキュリティ監査チームがファイアウォール製品を市場に出して、OWASPトップ10を参照として販売する動きだと思いますか？それとも技術的に本当に必要でしたか？

mgjk · Accepted Answer

「不十分な攻撃防御」はひどい言葉の選択ですが、それを改善する方法についての提案はありません。

私は本当に基本的な検出機能が欠けているアプリケーションを監視してきました。アプリケーションチームに何らかの応答の緊急性を伝えようとするのはイライラします。

次のようなアプリケーションを想像してください。

ブルートフォースパスワード攻撃に対する保護はありません。
ログイン試行のロギングなし、
セッションの開始または完了のロギングなし、
期限切れのセッションなどを操作する試みのロギングはありません。

アプリケーションチームが単純に「情報セキュリティの問題だ」と言っている間に、基本的なロギングデータを抽出し、不足している動作を補うためにアプリケーションファイアウォールを調整するために、脆弱で扱いにくいSnort署名を書いていることに気付きました。

IPSシグネチャは「これは有効なユーザーですか？」を認識できません。または「このセッションはアクティブですか？」または「この人が今日使用しているデータの量は？」ですが、アプリケーションロジックがこの情報にアクセスできる場合や、セッションをログに記録するだけでSIEMを意味する場合があります可能性がありますロジックを実行します。

詐欺の記事に関しては、彼はそれを間違っていると思います。これはサードパーティのコンポーネントとは関係ありません。提案された2017 A7に出てくるセキュリティ記事の多くは、OWASPの新しいTop-10への応答を汲み出すことへの突拍子もない反応のようです。思想。

A7チートシート内の外部リンクははるかに説明的です。

http://cwe.mitre.org/data/definitions/778.html
http://cwe.mitre.org/data/definitions/799.html
http://projects.webappsec.org/w/page/13246938/Insufficient%20Anti-automation

私見、A7には微調整が必要です。「パッチング」参照は削除する必要があると思います。 Infosecは仮想パッチを実行できますが、開発プロセスはパッチを適用できますが、ここでの参照は、コアメッセージであると私が信じているものを損ないます。

Chris Tsiakoulas · Answer

OWASPの短い説明によると（ここに完全なドキュメント）：

ほとんどのアプリケーションとAPIには、手動攻撃と自動攻撃の両方を検出、防止、および対応する基本的な機能がありません。攻撃保護は、基本的な入力検証をはるかに超えており、エクスプロイトの試みを自動的に検出、ログ記録、応答、さらにはブロックすることも含まれます。また、アプリケーションの所有者は、攻撃から保護するためにパッチをすばやく展開できる必要があります。

あなたの質問：

保護されていないAPIには、データ漏えいの可能性とともに巨大な攻撃面を証明することを含む直接的なリスクがありますが、不十分な攻撃保護がカテゴリの脅威またはリスクであることを理解できていません。

すべてを最新に保ち、かなり安全なAPIを開発したことを除いて、巨大なネットワーク（および独自のWebホスティングサーバー）を備えた組織またはビジネスには、これらの標準以上のものを用意する必要があります。ファイアウォールとIDSは、それらを監視し、侵入または悪用の試みが発生した場合の対応方法を知っている人々を必要とします。これには、アクティブな応答ポリシー（IPのブロック、特定の（悪意のある）クライアントでのサービスの拒否など）が含まれます。さて、攻撃者がファイアウォール、IDSをうまく通り抜けて損傷を与えた場合、システム/ネットワークの回復とさらなるパッチ適用のために実行する必要があるアクションを指定する手順が必要です。人々がそれらのことを行うことができず、特定のポリシー（つまり、iso 27001）が欠けているため、不十分な攻撃防御は脅威とリスクの両方です。少し時間を取って、多くの企業（小規模/大規模/重要ではない）がデータベースのバックアップさえ保持していないと考えてください。