Abordar os 10 principais riscos do OWASP

O OWASP Top 10 é um documento de conscientização padrão para desenvolvedores e segurança de aplicações Web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicações Web. Os riscos no OWASP Top 10 podem ser abordados com as ferramentas e orientações fornecidas pela AWS. Por exemplo, o pilar de segurança da Well Architected Framework ajuda as empresas a criar Designs seguros. O AWS WAF é uma ferramenta importante, usada como primeira camada de defesa contra alguns dos riscos listados no Top 10 da OWASP.

A primeira etapa para abordar os 10 principais riscos da OWASP é modelar as ameaças enfrentadas pela sua aplicação. Por exemplo, você precisa identificar as ameaças que são relevantes para sua aplicação. As ameaças ao SQLi são principalmente relevantes para aplicações com um banco de dados SQL. Em seguida, para cada ameaça, considere como você as mitigará (por exemplo, usando qual ferramenta, em que nível, etc...). O OWASP Top 10 inclui ameaças endereçáveis na sua aplicação, como configuração do CORS e outros cabeçalhos de segurança, gerenciamento de autenticação e permissão, integridade de dados em pipelines de CI/CD, etc. Também inclui ameaças que podem ser tratadas usando o AWS WAF.

Testes de penetração periódico da sua aplicação ajudam a avaliar sua postura de segurança e a descobrir novas oportunidades de melhorias. Você pode usar testes periódicos automatizados ou trabalhar com parceiros da AWS que podem realizar atividades de testes periódicos na sua aplicação. É possível encontrar essas ferramentas e serviços no AWS Marketplace.

O AWS WAF pode ajudar você a lidar com alguns dos riscos identificados no seu exercício de modelagem de ameaças. Por exemplo, no Broken Access Control, é recomendável negar solicitações por padrão, exceto para recursos públicos. Isso pode ser implementado no AWS WAF, definindo a ação padrão como Bloquear, e permitir explicitamente URLs que correspondam aos seus recursos públicos.

Além das regras personalizadas que você configura no AWS WAF, é recomendável usar o Amazon Managed Rules (AMR). O (AMR) é um conjunto de regras inspirado no OWASP Top 10 e mantido pela Equipe de pesquisa de ameaças da AWS. Ele foi projetado para proteger as aplicações das ameaças mais comuns e de alta gravidade, mantendo uma taxa muito baixa de falsos positivos em todos os clientes. A Equipe de pesquisa de ameaças da AWS realiza testes rotineiros de regras do AMR para garantir que elas sejam efetivas e atualizadas e trabalha diretamente com os clientes para aprimorar o AMR. O AMR tem grupos de regras básicas e grupos de regras específicos para casos de uso (por exemplo, para SQL, Linux etc.). O AMR ajuda você a aprimorar sua cobertura dos riscos do OWASP Top 10, mas não substitui a prática de modelagem de ameaças.

Você também pode considerar regras gerenciadas que também são inspiradas pelo OWASP Top 10 no AWS Marketplace. Elas incluem o HighSecurity OWASP Set da CSC, as regras Web exploits OWASP da F5 e i Complete OWASP Top 10 Rulegroup da Fortinet.

• AWS Summit ANZ 2021: Como abordar a modelagem de ameaças
• Encontre parceiros de entrega do AWS WAF