Когда дело доходит до кибер обороны мы всегда думаем о плохих хакерах и тех, кто по ту сторону забора борется с ними. Но все начинается гораздо раньше.
В частности, для программных вопросов все начинается с разработки и внедрения программы.
Плохой дизайн, недостаток знаний в области безопасного программирования, неэффективность в тестировании качества и средствах контроля являются источником проблем, с которыми мы сталкиваемся каждый день в киберпространстве, Тем не менее существуют стандарты для создания безопасных приложений: Открытый проект безопасности веб-приложений, вкратце OWASP, является стандартом для безопасного производства веб-приложений, и если мы считаем, что почти все приложения теперь основаны на веб-интерфейсах ...
OWASP также является глобальной организацией, целью которой является повышение безопасности программного обеспечения. Документация, подготовленная организацией, выдается по лицензии Creative Commons Attribution-ShareAlike.
Фонд OWASP работает с 1 декабря 2001 года и признан организацией некоммерческие Американец от 21 Апрель от 2004. Фонд и его сотрудники придерживаются основного принципа не быть связанным с какой-либо технологической отраслью, чтобы сохранить свою беспристрастность и авторитет без изменений.
У OWASP, естественно, есть основатель: Марк Карфи, выросший в Англии. В 2000 году Курпи, получив степень магистра в Информационная безопасность, специализация в области шифрования, покидает Англию для Соединенных Штатов, где он начинает работать Системы безопасности в Интернете, а затем приобретено IBM. Это в те годы, что дает жизнь OWASP.
После нескольких опытов в области безопасности, в 2014, он основал SourceClear Штаб-квартира в Сан-Франциско и продолжает сотрудничать в распространении OWASP.
Но почему OWASP так важен?
Owasp имеет важное значение, поскольку теперь он является мировым стандартом для разработки безопасного программного обеспечения, но не только важно, потому что тысячи экспертов по ИТ-безопасности ежедневно сотрудничают в проектах OWASP, потому что это набор лучших практик, которые оказываются доступный бесплатно, важен, потому что среди многих проектов есть также Академия OWASP которая направлена на распространение знаний о разработке безопасного программного обеспечения.
OWASP - это стандарт де-факто, принятые отдельными разработчиками, а также основными производителями программного обеспечения. Фактически, поскольку это стандарт, это потому, что его принятие организацией становится неотъемлемой частью кибер обороны самой организации, это потому, что кибер обороны это не только то, что мы видим в фильмах, которые мы можем назвать тактикой, но и то, что мы не видим, а являемся частью контекста «стратегии».
Организация, производящая программное обеспечение, а также организация, чьи бизнес-процессы в значительной степени зависят от используемого программного обеспечения (независимо от того, производится оно или нет), также должны обратить внимание на аспекты политика таких как принятие OWASP в его интерьере.
Поэтому принятие OWASP или других стандартов безопасности является неотъемлемой частью кибер обороны бизнес и как таковой заслуживает внимания руководства. На самом деле, инвестировать в сектор безопасности, не задумываясь о политика сектора.
Чтобы сделать глупое, но понятное сравнение со всеми, это похоже на фильтрацию воды с дуршлаг, если вам нужно удалить частицы с определенным размером из воды, а мой дуршлаг не эффективен, я также могу купить большой дуршлаг, но если в покупке я не забочусь о размере отверстий, я, вероятно, потрачу больше денег на большую соломинку, не повышая производительность!
Здесь, если программное обеспечение (или приобретенное) не соответствует стандарту безопасности, используемому во время производства и тестирования, необходимо будет внедрить ряд последующих средств контроля безопасности, которые будут учитывать риски, связанные с проведением большого количества больше, чем я потратил бы, если бы я с самого начала беспокоился о аспектах безопасности программного обеспечения.
Разумеется, принятие стандартного программного обеспечения для безопасного программного обеспечения не гарантирует, что могут быть проблемы, но, по крайней мере, гарантии от уже известных проблем.
Одним из наиболее важных продуктов OWASP является Десять, список первых рисков 10, связанных с веб-приложений, В первоначальном варианте это были предложенные пункты, которые все еще находятся под наблюдением:
Инъекция A1
A2 Сломанная аутентификация и управление сеансом
Межсайтовый скриптинг в A3 (XSS)
A4 Broken Access Control
Неверная настройка безопасности A5
A6 Чувствительные данные
A7 Недостаточная защита от атак
A8 Cross-Site Request Forgery (CSRF)
A9 Использование компонентов с известными уязвимостями
A10 недостаточно защищенный API
Список 2017 года, несмотря на то, что он очень похож на предыдущий, вызвал много споров, главным образом из-за пункта 7, который, по мнению не всех, разделяют. Дело в том, что, хотя это не все разделяют, это можно считать отличной отправной точкой для изучения рисков, существующих в мире веб-приложение.
Для получения дополнительной информации:
- https://www.owasp.org
- https://www.sourceclear.com
- http://www.cert.org/secure-coding/standards/index.cfm
- https://2017.appsecusa.org/
