OWASP Top 10 Web Application Security Risks è un documento redatto da esperti di sicurezza informatica che elenca i 10 problemi più critici per la sicurezza delle applicazioni web.
Il progetto è nato per sensibilizzare IT Manager, CISO e Information Security Manager ed è diventato lo standard de facto di sicurezza delle applicazioni web.
A quattro anni dalla pubblicazione della lista OWASP Top 10 2017, il trend delle vulnerabilità sembra rimanere costante anche nel 2021.
Indice degli argomenti
Nonostante siano vulnerabilità ben note al settore della sicurezza informatica, le vulnerabilità più sfruttate si riconfermano le seguenti:
È interessante notare come nessuna delle precedenti sia una 0-day vulnerability: si tratta infatti di problemi noti da anni nel settore della cybersecurity e dunque nessuna sorpresa nella OWASP Top Ten.
Non tutte le vulnerabilità colpiscono allo stesso modo le diverse tipologie di risorse informatiche. Ad esempio:
Per questo motivo è importante creare un piano di vulnerability management dalle prime fasi del ciclo di vita dello sviluppo software (il cosiddetto SDLC, “Software Development Lifecycle”).
Particolarmente utile è avvalersi di tecniche di Secure SDLC.
Per valutare il rischio di esposizione ad attacchi informatici è frequente eseguire test del tipo Vulnerability Assessment.
Un vulnerability assessment, spesso abbreviato come VA, rappresenta uno dei pezzi alla base di un piano di sicurezza di un OSWAP Vulnerability Management.
Per i propri clienti, BIT4LAW suggerisce di eseguire un Vulnerability Assessment almeno una volta l’anno (dipende dalla criticità del settore) e comunque:
Questa tipologia di controlli, che può eventualmente essere seguito da un più approfondito Penetration Test, è inoltre fondamentale per le aziende che intendono conseguire una certificazione ISO 27001.