Solución de los 10 riesgos principales de OWASP

Las 10 vulnerabilidades principales de OWASP es un documento estándar de concienciación para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web. Los 10 riesgos principales de OWASP pueden abordarse con las herramientas y la orientación proporcionadas por AWS. Por ejemplo, el pilar de seguridad de Well Architected Framework ayuda a las empresas a crear diseños seguros. AWS WAF es una herramienta importante, que se utiliza como primera capa de defensa contra algunos de los riesgos enumerados en las 10 vulnerabilidades principales de OWASP.

El primer paso para abordar los 10 riesgos principales de OWASP es modelar las amenazas a las que se enfrenta su aplicación. Por ejemplo, necesita identificar las amenazas que son relevantes para su aplicación. Las amenazas SQLi son principalmente relevantes para aplicaciones con una base de datos SQL. A continuación, para cada amenaza, considere cómo va a mitigarlas (por ejemplo, mediante qué herramienta, a qué nivel, etc.). Las 10 vulnerabilidades principales de OWASP incluyen amenazas que se pueden abordar en su aplicación, como la configuración de CORS y otros encabezados de seguridad, la autenticación y la administración de permisos, la integridad de los datos en los conductos de CI/CD, etc.. También incluye amenazas que se pueden abordar mediante AWS WAF.

Las pruebas de intrusión periódicas de su aplicación le ayudan a evaluar la postura de seguridad y a descubrir nuevas oportunidades de mejora. Puede utilizar pruebas de intrusión automatizadas o trabajar con socios de AWS que puedan llevar a cabo actividades de pruebas de intrusión en su aplicación. Puede encontrar este tipo de herramientas y servicios en AWS Marketplace.

AWS WAF puede ayudarle a abordar algunos de los riesgos identificados en su ejercicio de modelado de amenazas. Por ejemplo, en Broken Access Control, se recomienda denegar solicitudes de manera predeterminada excepto para recursos públicos. Esto se puede implementar en AWS WAF, mediante la configuración de la acción por defecto a Block, y permitir explícitamente las URL que corresponden a sus recursos públicos.

Además de las reglas personalizadas que configure en AWS WAF, se recomienda utilizar reglas administradas de Amazon (AMR). Las AMR son un conjunto de reglas inspiradas en las 10 vulnerabilidades principales de OWASP y mantenidas por el equipo de investigación de amenazas de AWS. Se diseñó para proteger las aplicaciones de las amenazas más comunes y de mayor gravedad, a la vez que se mantiene una tasa muy baja de falsos positivos en todos los clientes. El equipo de investigación de amenazas de AWS lleva a cabo pruebas rutinarias de las AMR para garantizar que sean eficaces y se mantengan actualizadas, y colabora directamente con los clientes para mejorar las AMR. Las AMR cuentan con grupos de reglas básicas y grupos de reglas específicas para cada caso de uso (por ejemplo, para SQL, Linux, etc.). Las AMR le ayudan a mejorar su cobertura de los 10 riesgos principales de OWASP, pero no sustituyen el ejercicio de modelado de amenazas.

También puede considerar las reglas administradas que también están inspiradas en las 10 vulnerabilidades principales de OWASP de AWS Marketplace. Incluye el conjunto HighSecurity OWASP de CSC, las reglas Web exploits OWASP de F5 y el grupo de reglas Complete OWASP top 10 de Fortinet.

• AWS Summit ANZ 2021 - How to approach threat modelling
• Encuentre socios de entrega de AWS WAF