10 mối đe dọa hàng đầu của OWASP và cách phòng chống

10 mối đe dọa hàng đầu của OWASP và cách phòng chống

September 23, 2021 | vietsunshine

Bất chấp bối cảnh mối đe dọa đang thay đổi và các tác nhân đe dọa liên tục nâng cao trò chơi của họ, các lỗ hổng đằng sau các mối đe dọa vẫn nhất quán. OWASP Top 10, được xếp hạng bởi Dự án Bảo mật Ứng dụng Web Mở (Open Web Application Security Project) đã liệt kê 10 rủi ro và mối đe dọa nổi bật và nguy hiểm nhất đối với các ứng dụng.

Top 10 OWASP chỉ xuất bản vài năm một lần. Vì vậy, mặc dù hiện tại không có top 10 OWASP cho năm 2021, một danh sách có thể sẽ được công bố trong năm nay. Những người viết báo cáo không mong đợi danh sách sẽ thay đổi nhiều, nếu có, so với bảng xếp hạng hiện tại.

Nếu bạn có thể giải quyết phần lớn 10 lỗ hổng bảo mật phổ biến nhất của OWASP, thì tình hình bảo mật của bạn sẽ rất tốt. Vậy, top 10 hiện tại là gì và bạn có thể bảo vệ chúng như thế nào?

OWASP A1:2017 – Injection

Có thể bạn đã nghe nói về SQL Injection, kiểu injection phổ biến nhất. SQL Injection được tiết lộ lần đầu tiên vào năm 1998 và không khó để bảo vệ chống lại, nhưng nó vẫn còn phổ biến. Các lỗi chèn khác bao gồm NoSQL, OS và LDAP Injection. Tóm lại, việc injection xảy ra khi kẻ tấn công gửi hoặc chèn mã không đáng tin cậy vào truy vấn cơ sở dữ liệu. Trong các cuộc tấn công thành công, kẻ tấn công giành được quyền kiểm soát cơ sở dữ liệu của bạn.

A2:2017 – Broken Authentication

Khi các biện pháp kiểm soát xác thực người dùng không được thiết lập chính xác hoặc bị bỏ qua, khả năng tài khoản bị vi phạm có thể tăng vọt. Nếu những kẻ tấn công có thể xâm phạm mật khẩu, mã phiên hoặc khóa của bạn, thì sẽ không có giới hạn về loại thiệt hại mà chúng có thể gây ra. Các phương pháp được sử dụng để khai thác lỗ hổng này bao gồm nhồi nhét thông tin xác thực, truy cập bạo lực và chiếm quyền điều khiển phiên. Các phương pháp được sử dụng để khai thác lỗ hổng này bao gồm credential stuffing, brute force và session hijacking.

A3:2017 – Sensitive Data Exposure

Quá nhiều ứng dụng web và giao diện lập trình ứng dụng thiếu sự bảo vệ thích hợp đối với dữ liệu bí mật, chẳng hạn như chăm sóc sức khỏe, tài chính và thông tin khác. The HTTP protocol is unencrypted and can be compromised at any node along the traffic route.

A4:2017 – XML External Entities (XXE)

XML, ngôn ngữ đánh dấu eXtensible, vẫn được sử dụng để phân phối dữ liệu qua Internet. Các bộ xử lý XML cũ hơn hoặc bị định cấu hình sai có thể xử lý các tham chiếu đến các nguồn bên ngoài trong tài liệu, cho phép kẻ tấn công có quyền truy cập vào các tệp nội bộ, thực hiện thực thi mã từ xa và thậm chí khởi chạy các cuộc tấn công từ chối dịch vụ.

A5:2017 – Broken Access Control

Điều gì xảy ra khi tài khoản của người dùng của bạn có nhiều quyền truy cập hơn mức họ cần để thực hiện công việc của mình? Đối với bạn, nó có thể là một rủi ro; nhưng đối với những kẻ tấn công, đó là một mỏ vàng, OWASP nói. Khi không có giới hạn về mức độ truy cập của người dùng đã xác thực (kiểm soát truy cập), kẻ tấn công có thể tàn phá hệ thống của bạn nếu chúng xâm phạm các tài khoản đó.

A6:2017 – Security Misconfiguration

Có lẽ vấn đề phổ biến nhất trong danh sách này, cấu hình sai xảy ra khi người dùng và nhà phát triển không tuân thủ các điều khiển cơ bản như thay đổi mật khẩu mặc định, vá các hệ thống lỗi thời hoặc ứng dụng được cấu hình kém.

A7:2017 – Cross-Site Scripting (XSS)

Trong các cuộc tấn công tập lệnh xuyên trang (XSS), những kẻ tấn công inject mã vào một trang web hợp pháp. Sau đó, mã đó sẽ thực thi khi trang web tải vào trình duyệt của nạn nhân. XSS thành công vì vốn dĩ, các trình duyệt web sẽ tin tưởng rằng mã họ cần tải là an toàn. XSS có thể thay đổi trang web, chiếm quyền điều khiển phiên người dùng hoặc lừa người dùng truy cập các trang web độc hại.

A8:2017 – Insecure Deserialization

OWASP cho biết: Serialization và deserialization là phổ biến đối với nhiều ứng dụng web dựa trên các ngôn ngữ lập trình như Java và .Net. Serialization thay đổi một đối tượng thành một định dạng đĩa (disk) có thể truyền. Deserialization chuyển đổi dữ liệu được tuần tự hóa thành một đối tượng có thể sử dụng được. Lỗ hổng giải mã không an toàn xảy ra nếu quy trình không được bảo mật đúng cách. Deserialization có thể cho phép kẻ tấn công thực hiện mã từ xa, injection, replay và tấn công leo thang đặc quyền.

A9:2017 – Using Components With Known Vulnerabilities

Các thành phần của bên thứ ba hoặc mã nguồn mở như libraries, frameworks và các mô-đun phần mềm khác thường thực thi với các đặc quyền giống như ứng dụng. Nếu kẻ tấn công khai thác một trong các thành phần này, nạn nhân có thể bị mất dữ liệu nghiêm trọng hoặc bị chiếm quyền sử dụng máy chủ.

A10:2017 – Insufficient Logging & Monitoring

Bạn không thể quản lý những gì bạn không đo lường được và nếu bạn không ghi nhật ký (log) và theo dõi lưu lượng truy cập hoặc truy cập bất thường, bạn có thể không bao giờ biết mình đã bị xâm phạm. Với rất nhiều hệ thống tạo ra nhiều nhật ký, không có gì lạ khi các công ty gặp khó khăn trong việc quản lý việc này.

Cách bảo vệ chống lại OWASP Top 10

Bây giờ bạn đã biết 10 lỗ hổng bảo mật hàng đầu là gì, đã đến lúc tìm hiểu cách ngăn chặn chúng xảy ra trong doanh nghiệp của bạn.

Dưới đây là 10 gợi ý và chiến lược hàng đầu:

Nắm bắt và áp dụng Zero Trust

Zero trust framework chạy trên nguyên tắc ít đặc quyền nhất. Về bản chất, zero trust có tên vì nó không tin tưởng ai hoặc không có gì theo mặc định – trừ khi và cho đến khi chúng được xác minh. Mặc dù zero trust có thể không phải là một giải pháp đơn giản, nhưng nó là một yếu tố quan trọng để bảo vệ chống lại nhiều lỗ hổng hàng đầu trong 10 lỗ hổng OWASP.

MFA và chính sách mật khẩu mạnh mẽ

Điều tạo nên một mật khẩu mạnh là liên tục thay đổi, nhưng các chính sách mật khẩu nên khuyến khích hoặc thực thi sự kết hợp của số, chữ cái và các ký tự đặc biệt. Độ dài mật khẩu tối thiểu phải là 10 ký tự, vì tám ký tự quá dễ bị bẻ khóa. Không lưu trữ cục bộ mật khẩu và đảm bảo mã hóa chúng. Xác thực đa yếu tố có thể hiệu quả trong việc giảm thiểu các lỗ hổng xác thực bị hỏng.

Tường lửa ứng dụng web (WAF) hoặc tường lửa thế hệ tiếp theo (Next-Gen Firewalls)

Tường lửa ứng dụng web (WAF) hoạt động ở lớp ứng dụng (lớp 7), giám sát lưu lượng đến và chặn lưu lượng độc hại, hoạt động như một cổng chống lại các cuộc tấn công ứng dụng. WAF có thể định cấu hình để tìm kiếm các mối đe dọa mới nổi hoặc những mối đe dọa đã được thiết lập, chẳng hạn như những mối đe dọa trong danh sách OWASP và có thể được điều chỉnh cho phù hợp với hồ sơ rủi ro cụ thể của bạn. Tường lửa thế hệ tiếp theo (NGFW) hoạt động ở lớp mạng (lớp 3 và 4), đại diện cho một tuyến phòng thủ chống lại việc truy cập mạng không mong muốn và bảo vệ mạng nội bộ. NGFW thậm chí có thể thúc đẩy zero trust.

Kiểm soát truy cập thích hợp

Kiểm soát truy cập nên tiến gần tới zero trust nhất có thể. Có thể bạn không đạt được full zero trust, nhưng các chuyên gia khuyên bạn nên sử dụng ít nhất cách tiếp cận dựa trên vai trò và ít đặc quyền nhất để truy cập. Chỉ giới hạn quyền truy cập vào những gì ai đó cần để thực hiện công việc của họ. Các tài khoản, điểm truy cập và dịch vụ không được sử dụng nên bị xóa.

Xác thực đầu vào

Rất đơn giản: khi người dùng hoặc ứng dụng gửi truy vấn, tải lên hoặc thông tin đầu vào khác, nó phải được xác thực. Khi đầu vào được xác thực, các cuộc tấn công như injections và cross-site scripting có xác suất thành công thấp hơn nhiều.

Mã hóa bất cứ khi nào có thể

Một vài quy tắc ở đây, đầu tiên, nếu dữ liệu của bạn là nhạy cảm, thì dữ liệu đó phải được mã hóa. Mã hóa mật khẩu với quyền truy cập vào dữ liệu bí mật. Cuối cùng, khi chuyển tiếp, dữ liệu phải được mã hóa bằng SSL.

Ghi nhật ký (log) và giám sát

Ghi nhật ký có thể tẻ nhạt, nhưng phần mềm ghi nhật ký và kiểm tra có thể đơn giản hóa quy trình. Thường xuyên phân tích nhật ký của bạn và giám sát lưu lượng, dữ liệu và quyền truy cập có thể ngăn chặn các cuộc tấn công trong tương lai và giúp thiết lập chính sách bảo mật.

Kiểm tra, quét lỗ hổng bảo mật và kiểm thử thâm nhập

Biết được vị trí các lỗ hổng bảo mật là rất quan trọng trong việc duy trì tư thế tốt trong bối cảnh các mối đe dọa đang phát triển ngày nay. Đánh giá lỗ hổng và quét, kiểm tra và kiểm tra thâm nhập là cách tốt nhất để thực hiện điều này. Tiến hành chúng thường xuyên nhất có thể và sắp xếp rủi ro theo tác động có thể xảy ra.

Thực hành mã hóa an toàn chống lại các mối đe dọa hàng đầu của OWASP

Nếu mã của bạn không an toàn, thì các ứng dụng của bạn cũng vậy. Tuân theo các phương pháp mã hóa an toàn là rất quan trọng. Các nhà phát triển và nhóm bảo mật nên làm việc cùng nhau để thiết lập các nguyên tắc và mục tiêu có thể đạt được và công bằng.

Thực hành tốt vệ sinh mạng (Cyber Hygiene)

Các phương pháp hay – như vá lỗi và cập nhật thường xuyên, chỉ sử dụng phần mềm đáng tin cậy, giảm thiểu shadow IT và nâng cao nhận thức về bảo mật – đều có thể giúp bạn giảm thiểu rủi ro một cách lâu dài. Cuối cùng, các tổ chức có tư thế an ninh mạng tốt nhất cần nuôi dưỡng một nền văn hóa an ninh mạng mạnh mẽ và có được sự ủng hộ từ tất cả các bộ phận, nhân viên và quản lý cấp cao. Bằng cách đó, bạn sẽ sẵn sàng chống lại các mối đe dọa mà OWASP cảnh báo và những mối đe dọa khác có thể xảy ra.

Nguồn: The OWASP Top 10 Threats Haven’t Changed in 2021 — But Defenses Have

VietSunshine là nhà phân phối các giải pháp của IBM Security tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.

Xem thêm: IBM Security – Giải pháp an ninh mang cho doanh nghiệp

Tags: , , ,