Dentro de los proyectos destacados de OWASP (Open Web Application Security) se encuentra el OWASP TOP 10, que actualmente está disponible en su versión del 2017. El TOP 10 representa los 10 riesgos y amenazas más prominentes y peligrosos para las aplicaciones.

El informe es elaborado por un equipo de expertos en seguridad de todo el mundo que analizan datos provenientes de varias organizaciones para posteriormente publicarlo. OWASP se refiere al Top 10 como un “documento de concientización” y recomienda que todas las organizaciones incorporen el informe en sus procesos para mitigar los riesgos de seguridad. Una cosa importante para recordar es que no es un estándar. Las organizaciones pueden definir la matriz en función de su propio entorno.

Con un panorama de amenazas cambiante y actores de ataques que siguen mejorando su técnicas y tácticas, las vulnerabilidades detrás de las amenazas siguen siendo consistentes. Se rumora que para este 2021, OWASP realizará la actualización de un nuevo TOP 10 después de varios años. Aunque se espera que la lista no cambie mucho, se observarán clasificaciones actualizadas.

Es probable encontrar tres nuevas categorías, cuatro cambios de nomenclatura y alcance, así como la consolidación de algunas categorías del TOP 10 del 2017, como se observa en el draft del TOP para el 2021 que ya está disponible. A continuación, se mencionan lo relevante del TOP 10 2021 con relación al 2017.

A01:2021-Broken Access Control.
En 2017 se encontraba en la posición número cinco; en este listado lo vemos como número uno debido a que el 94% de las aplicaciones se han probado para detectar algún tipo de control de acceso vulnerable.

A02:2021-Cryptographic Failures
Subiendo una posición, conocida anteriormente como Sensitive Data Exposure, otorga un enfoque renovado a las fallas relacionadas con la criptografía que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.

A03:2021-Injection
Este riesgo estaba posicionado en el primer lugar y para el 2021 se desliza hasta la tercera posición a pesar de que el 94% de las aplicaciones fueron probadas para alguna forma de inyección; se destaca que Cross-site Scripting forma parte de esta categoría en esta edición.

A04:2021-Insecure Design
Es una nueva categoría para 2021 con un enfoque en los riesgos relacionados con fallas de diseño, la cual se enfoca al mayor uso del modelado de amenazas, patrones y principios de diseño seguros y arquitecturas de referencia.

A05:2021-Security Misconfiguration
Avanza desde el puesto seis de la edición anterior, ya que el 90% de las aplicaciones probaron detectar algún tipo de configuración incorrecta.

A06:2021-Vulnerable and Outdated Components
Esta categoría avanza desde el puesto nueve y se debe a la complejidad conocida para realizar la evaluación de riesgos; esta categoría es la única que no cuenta con CVE (Common Vulnerabilities and Exposures) asignados a los CWE (Common Weakness Enumeration) incluidos por OWASP.

A07:2021-Identification and Authentication Failures
Anteriormente esta categoría era conocida como Broken Authentication, la cual estaba posicionada en el lugar número dos. Esta categoría sigue siendo una parte integral del Top 10, ya que ahora incluye CWE que están más relacionados con fallas de identificación.

A08:2021-Software and Data Integrity Failures
Es una nueva categoría para 2021, que se centra en hacer suposiciones relacionadas con actualizaciones de software, datos críticos y pipelines de CI / CD (integración continua/distribución continua) sin verificar la integridad.  La categoría de Insecure Deserialization de 2017 ahora es parte de esta nueva categoría.

A09:2021-Security Logging and Monitoring Failures
Cuando se presentó la categoria Insufficient Logging & Monitoring fue posicionada en el tercer puesto del TOP 10. Conforme al paso del tiempo, avanzó a la posición número 10 en el TOP 10 del 2017, y en esta ocasión esta categoría es presentada en la posición número 9. Esta categoría se amplía para incluir más tipos de fallas que afectan directamente la visibilidad, las alertas de incidentes y los análisis forenses.

A10:2021-Server-Side Request Forgery
Categoría agregada por la encuesta que realiza OWASP a su comunidad, que representa el escenario en el que los miembros de la comunidad de seguridad nos dicen que esto es importante, aunque no está ilustrado en los datos en este momento.

Resulta interesante que para la realización de las modificaciones del TOP 10 se necesita tiempo para integrar pruebas en herramientas y procesos, y probar de manera confiable una debilidad a escala, aunque es probable que hayan pasado años y las vulnerabilidades hayan cambiado. Para equilibrar ese punto de vista, OWASP utiliza una encuesta dirigida a la comunidad para preguntar a los expertos en seguridad y desarrollo de aplicaciones en primera línea qué ven como debilidades esenciales que no pueden mostrar los datos todavía.

Es fundamental seguir prácticas de codificación seguras. Los desarrolladores y los equipos de seguridad deben trabajar juntos para establecer pautas y objetivos que sean alcanzables y justos. Promover la conciencia de la seguridad puede contribuir en gran medida a reducir el riesgo.

Referencias:
https://owasp.org/
https://owasp.org/Top10/fr/A00_2021_Introduction/