Affrontare i 10 principali rischi OWASP
Panoramica
L'OWASP Top 10 è un documento di sensibilizzazione standard per gli sviluppatori e la sicurezza delle applicazioni web. Rappresenta un ampio consenso sui rischi di sicurezza più critici per le applicazioni web. I 10 principali rischi OWASP possono essere affrontati con gli strumenti e le linee guida forniti da AWS. Ad esempio, il pilastro della sicurezza del Well Architected Framework aiuta le aziende a creare progetti sicuri. AWS WAF è uno strumento importante, utilizzato come primo livello di difesa contro alcuni dei rischi elencati nella Top 10 di OWASP.
Modellazione delle minacce e pen test
Il primo passo per affrontare i 10 principali rischi OWASP consiste nel modellare le minacce riscontrate dall'applicazione. Ad esempio, è necessario identificare le minacce pertinenti all'applicazione. Le minacce SQLi sono principalmente rilevanti per le applicazioni con un database SQL. Quindi, per ogni minaccia, considera come mitigarla (ad esempio utilizzando quale strumento, a che livello, ecc...). Le 10 principali minacce OWASP includono minacce indirizzabili nell'applicazione, come la configurazione CORS e altre intestazioni di sicurezza, l'autenticazione e la gestione delle autorizzazioni, l'integrità dei dati nelle pipeline CI/CD, ecc. Include anche minacce che possono essere affrontate utilizzando AWS WAF.
I pen test periodici dell'applicazione riescono a valutare il livello di sicurezza e a scoprire nuove opportunità di miglioramento. È possibile utilizzare i pen test automatici o collaborare con i partner AWS in grado di condurre attività di pen test sulla propria applicazione. È possibile trovare questi strumenti e servizi su Marketplace AWS.
AWS WAF
AWS WAF è in grado di aiutare ad affrontare alcuni dei rischi identificati nell'esercizio di modellazione delle minacce. Ad esempio, in Broken Access Control, si consiglia di negare le richieste per impostazioni predefinite, ad eccezione delle risorse pubbliche. Ciò può essere implementato in AWS WAF, impostando l'azione predefinita su Blocca e autorizzando esplicitamente gli URL che corrispondono alle risorse pubbliche.
Oltre alle regole personalizzate configurate in AWS WAF, si consiglia di utilizzare Amazon Managed Rules (AMR). (AMRs) è un insieme di regole ispirato alla OWASP Top 10 e gestito dall'AWS Threat Research Team. È progettato per proteggere le applicazioni dalle minacce più comuni e ad alta gravità mantenendo un tasso di falsi positivi molto basso tra tutti i clienti. L'AWS Threat Research Team effettua test di routine delle regole AMR per garantire che siano efficaci e aggiornate e collabora direttamente con i clienti per migliorare gli AMR. AMR dispone di gruppi di regole di base e gruppi di regole specifici per i casi d'uso (ad esempio per SQL, Linux, ecc.). Gli AMR aiutano a migliorare la copertura dei 10 principali rischi OWASP, ma non sostituiscono l'esercizio di modellazione delle minacce.
Si possono anche prendere in considerazione le regole gestite che si ispirano al OWASP Top 10 di Marketplace AWS. Include HighSecurity OWASP Set di CSC, Web exploits OWASP le regole di F5 e il gruppo di regole Complete OWASP top 10 di Fortinet.