Die OWASP Top 10 für das Jahr 2021:
Eine neue Welle von Risiken
EINLEITUNG
Die Möglichkeiten für Angreifer haben sich in der digitalen Wirtschaft von heute, die sich auf moderne Apps und Architekturen, Multi-Cloud-Implementierungen und Drittanbieter-Integrationen sowie Software-Lieferketten und CI/CD-Pipelines stützt, geradezu explosionsartig vermehrt. Die Liste der OWASP Top 10 für das Jahr 2021 trägt einer neuen Welle von Risiken Rechnung und ist ein unverzichtbarer Leitfaden zur Verbesserung der Sicherheit bei der Entwicklung und Implementierung von Anwendungen.
Das bedeutendste Update seit 20 Jahren
Die OWASP Top 10, die erstmals im Jahr 2003 veröffentlicht wurden, repräsentieren die allgemein als am gefährlichsten geltenden Sicherheitsrisiken für Webanwendungen. Nachdem sich an der Liste der bedeutendsten Risiken 20 Jahre lang nur wenig geändert hat, bringt das Update 2021 signifikante Änderungen, die sich mit Anwendungsrisiken in drei Themenbereichen befassen:
Neueinstufung von Risiken, um Symptome ihren eigentlichen Ursachen zuzuordnen
Neue Risikokategorien, die moderne Anwendungsarchitekturen und -entwicklungen umfassen
Ausnutzung von Sicherheitslücken und missbräuchliche Verwendung der Geschäftslogik
Was ist die Hauptursache für Sicherheitsverletzungen?
Unbefugte Zugriffshandlungen
„Unbefugte Zugriffshandlungen, also Angriffe auf benutzerseitige Authentifizierungsoberflächen, waren die häufigste Ursache für Sicherheitsverletzungen.“1
– 2022 Application Protection Report: In Expectation of Exfiltration
Themen aus dem Jahr 2021
Die maßgebenden Faktoren haben sich auf die Aktualisierung der OWASP Top 10 ausgewirkt:
2017
Schwerpunkt auf traditionellen Webanwendungen
Kleiner Datensatz (vorgeschriebene Teilmenge aus 30 CWEs)
Viele verschiedene Risikofaktoren, technische/geschäftliche Auswirkungen
Einschleusung als größtes Risiko seit über 20 Jahren
2021
Umstellung auf moderne Architekturen
Datengesteuerter Prozess mit 400 CWEs
Neu kategorisiert nach Symptomen und Ursachen
Eine neue Welle von Risiken: unsichere Entwürfe und Implementierungen
Die Sicherheitsrisiken der OWASP Top 10 2021
A01
Broken Access Control
A02
Cryptographic Failures
A03
Injection
A04
Insecure Design
A05
Security Misconfiguration
A6
Vulnerable and Outdated Components
A7
Identification and Authentication Failures
A8
Software and Data Integrity Failures
A9
Security Logging and Monitoring Failures
A10
Server-Side Request Forgery (SSRF)
THEMA NR. 1
Zuordnung von Symptomen zu Ursachen
Was gibt es Neues?
Die in der Liste der OWASP Top 10 genannten Risiken entsprechen der Aufzählung typischer Schwachstellen (Common Weakness Enumeration, CWE), die häufig zur Ausnutzung von Sicherheitslücken führen. Frühere OWASP-Datenerhebungen konzentrierten sich jedoch auf eine vorgeschriebene Anzahl von 30 CWEs, und frühere Listen unterschieden im Wesentlichen nicht zwischen CWEs, die Ursachen darstellen, und eher symptomatischen Schwachstellen mit einer Vielzahl möglicher Ursachen. Die Liste für das Jahr 2021 umfasst 400 CWEs und ermöglicht somit eine breiter gefasste Analyse.
2017: Symptom
A3: 2017
Sensitive Data Exposure
A7: 2017
Cross-Site-Scripting (XSS)
A4: 2017
XML External Entities (XXE)
A9: 2017
Using Components with Known Vulnerabilities
A8: 2017
Insecure Deserialization
A10: 2017
Insufficient Logging & Monitoring
2021: Ursache
A02: 2021
Cryptographic Failures
A03: 2021
Injection
A05: 2021
Security Misconfiguration
A06: 2021
Vulnerable and Outdated Components
A08: 2021
Software and Data Integrity Failures
A09: 2021
Security Logging and Monitoring Failures
Warum spielt dies eine wichtige Rolle?
Die Liste für das Jahr 2021 ordnet die Symptome genauer ihren jeweiligen Ursachen zu und hilft den Sicherheitsteams, sich auf die Reduzierung der Risiken an der Quelle zu konzentrieren.
Was ist die Hauptursache für Cloud-Verletzungen?
Sicherheitsfehler in der Konfiguration
„Wir möchten, dass Sie sich gedanklich mit den Ursachen auseinandersetzen und überlegen, was Sie dagegen unternehmen können, anstatt zu versuchen, die Symptome mit Pflastern zu lindern.“2
– Andrew van der Stock, Geschäftsführer, OWASP Foundation
THEMA NR. 2
Neue Risikokategorien
Was gibt es Neues?
Drei neue Risikokategorien unterstreichen die Notwendigkeit, sich von Beginn der Anwendungsentwicklung an mit dem Thema Sicherheit zu befassen und die Sicherheit in den Lebenszyklus der Software einzubeziehen.
A04: 2021
Insecure Design
A08: 2021
Software and Data Integrity Failures
A10: 2021
Server-Side Request Forgery
Warum spielt dies eine wichtige Rolle?
Die jüngste Veröffentlichung der log4j2-Sicherheitslücke verdeutlicht die Bedeutung von Open-Source-Software-Exploits. Die Schwachstellen im log4j2-Protokollierungsprogramm lassen sich zwei Risikokategorien aus der Liste der OWASP Top 10 zuordnen, und eine CVE mit realen Exploits macht sie zu einem Dreiergespann aus Einschleusungs-, Software- und Datenintegritätsfehlern sowie gefährdeten und veralteten Komponenten.
Abbildung 1: Der Log4Shell-Exploit im Open-Source-Protokollierungsprogramm Apache Log4j2 ist ein Beispiel für einen Angriff, der mehrere Risikokategorien abdeckt. Er ermöglicht die Ausführung von beliebigem Code, der von LDAP-Servern geladen wird, wenn die Nachschlage-Ersetzung aktiviert ist.
„Auch ein sicherer Entwurf kann Implementierungsfehler aufweisen, die zu Sicherheitslücken führen, die ausgenutzt werden können.“
– OWASP Top 10 für das Jahr 2021
THEMA NR. 3
Schutz für moderne Apps und Architekturen
Was gibt es Neues?
Die Anwendungsarchitekturen haben sich weiterentwickelt, mit Cloud-Bereitstellungen, Containerisierungen, mobilen Anwendungen und einer Vielzahl an APIs und Drittanbieter-Integrationen. Anmeldeseiten, Warenkörbe und andere Geschäftslogik-Elemente sind zwar als solches keine Mängel, doch sind sie von Natur aus anfällig für eine missbräuchliche Verwendung. Die Liste der OWASP Top 10 für das Jahr 2021 bietet eine Anleitung für proaktive und präventive Sicherheitsmaßnahmen in dieser neuen Weltordnung.
Abbildung 2: Die bewährten Verfahren von gestern reichen für die verteilten modernen Anwendungen und Architekturen von heute nicht mehr aus.
Warum spielt dies eine wichtige Rolle?
Das Thema Sicherheit muss in den gesamten Anwendungsentwicklungsprozess integriert werden, einschließlich sicherer CI/CD-Pipelines, Komponenteninventare, Bedrohungsmodelle und eines soliden Risikomanagements. Die aktuelle Liste der OWASP Top 10 bietet eine Ressource für Sicherheits- und AppDev/DevOps-Experten, die daran arbeiten, Sicherheit weiter nach links in den Bereich der grundlegenden Designprinzipien zu verschieben.
1F5 2022 Application Protection Report.
2 Van der Stock, Andrew, OWASP Top 10, YouTube. 8. Okt. 2021.
Weitere Informationen
BERICHT
F5 Labs 2022 Application Protection Report
Erfahren Sie, wie sich die Bedrohungen im letzten Jahr entwickelt haben und wie die Sicherheitsabwehr auf die neuesten Angriffe abgestimmt werden kann.
E-BOOK
Die OWASP Top 10 für das Jahr 2021: Die neue Welle der Risiken
Erfahren Sie, wie Sie die OWASP Top 10 als Grundlage für eine sicherere Entwicklung und Verbesserung der Anwendungssicherheit nutzen können.
WEBINAR
Die OWASP Top 10 für das Jahr 2021: Die neue Risikoordnung
Sehen Sie sich an, was sich in der Liste der OWASP Top 10 geändert hat und wie Lösungen wie F5 Distributed Cloud WAAP diese Risiken entschärfen.
Lösungssimulator
F5 Distributed Cloud Web App and API Protection (WAAP)
Erleben Sie eine interaktive Demo des ganzheitlichen as-a-Service-Schutzes für Anwendungen – egal, wo sie ausgeführt werden.
VIDEO
OWASP Top 10 2021 – Lightboard-Video-Lektionsreihe
Hier finden Sie eine detaillierte Aufschlüsselung der neuen Sicherheitsrisiken für Webanwendungen gemäß OWASP Top 10.