01 OWASP security priniples - moojpanie/CyberPodstawy GitHub Wiki

Open Web Aplication Security Project (OWASP)

Zasady:

  1. Minimize attack surface area: Attack surface refers to all the potential vulnerabilities a threat actor could exploit.

Zminimalizować obszar ataku. Odnosi się to do wszystkich potencjalnych lik które podmiot zagrażający może wykorzystać jak wektory ataku które są ścieżkami dla atakujących do penetrowania zabezpieczeń. (maile phishingowe i słabe hasła. )

  1. Principle of least privilege: Users have the least amount of access required to perform their everyday tasks.

Zasada najmniejszych uprawnień oznacza upewnienie się, że użytkownicy mają najmniejszy dostęp niezbędny do korzystania z codziennych zadań. Główny powód ograniczenia dostepu do informacji oranizacji i zasobów polega na zmniejszeniu ilości szkody, jakie może spowodować naruszenie bezpieczeństwa. Na przykład jako początkujący analityk ds. możesz mieć dostęp do danych logowania ale może nie mieć dostępu do zmiany uprawnień użytkownika. Dlatego jeżel atakujący naruszy Twoje dane uwierzytelniające, będą mogli tylko zyskać ograniczony dostęp do zasobów cyfrowych lub fizycznych, co może im nie wystarczyć do przeprowadzenia zamierzonego ataku

  1. Defense in depth: Organizations should have varying security controls that mitigate risks and threats.

głęboka ochrona - organizacja powinna posiadać wiele kontroli bezpieczeństwa i reagować na rzyyko zagrożenia na różne sposoby - uwierzytelnianie wieloskladnikowe MFA - wymaga od użytkownika podjęcia dodatkowego kroku poza prostotą wpisania loginu i hasła. Inne kontrole obejmują zapory ogniowe (firewall), Systemy wykrywania włamań, Ustwienia uprawnień, jakie mogą być wykorzystywane do tworzenia wielu punktów obrony. Podmiot zagrażający musi się przedostać i złamać organizację.

  1. Separation of duties: Critical actions should rely on multiple people, each of whom follow the principle of least privilege.

podział obowiązków - które można wykorzystać do zapobiegania indywidualnym zjawiskom prowadzenia oszukańczych lub nielegalnych dziąłań. Zasda ta oznacza, że nikomu nie nalezy oddawać tak wiele przywilejów, żeby mogli naduzywać systemu. Osoba wypisująca wypłaty nie powinna ich przygotowywać.

  1. Keep security simple: Avoid unnecessarily complicated solutions. Complexity makes security difficult.

Zachowanie bezpieczeństwa - przy wdrażaniu kontroli bezpieczęństwa powinny być niepotrzebnie skomplikowane rozwiązania i nalezy ich unikać, poieważ mogą stać się nie do opanowania. Im bardziej złożone są kontrole bezpieczeństwa tym trudniej jest ludziom współpracować

  1. Fix security issues correctly: When security incidents occur, identify the root cause, contain the impact, identify vulnerabilities, and conduct tests to ensure that remediation is successful.

** Prawidłowe naprawienie problemów związanych z bezpieczńestwem**. Technologia to świetnie narzedzie,ae może również stanowić wyzwanie. Kiedy nastąpi incydent związany z bezpieczńęstwem tego oczekuje się od specjalistów ds bezpiecznestwa - abys zybko zidentyfikować pierwotną przyczynę! Od tego momentu ważne jest aby poprawić wszystkie zidentyfikowane luki i przeprowadzić testy aby upewnić się że naprawa przeiegła poyśnie. Słabe hasło do wifi organizacji - może prowadzić do naruszenia. - bardziej rygorystyczne zasady hasłem

Dodatkowe zasady OWASP

  • **Establish secure defaults **his principle means that the optimal security state of an application is also its default state for users; it should take extra work to make the application insecure.

Ustal bezpieczne ustawienia domyślne Zasada ta oznacza, że ​​optymalny stan bezpieczeństwa aplikacji jest jednocześnie jej stanem domyślnym dla użytkowników; zwiększenie bezpieczeństwa aplikacji powinno wymagać dodatkowej pracy.

  • Fail securely Fail securely means that when a control fails or stops, it should do so by defaulting to its most secure option. For example, when a firewall fails it should simply close all connections and block all new ones, rather than start accepting everything.

Bezpieczne niepowodzenie Bezpieczne niepowodzenie oznacza, że ​​w przypadku awarii lub zatrzymania kontroli należy to zrobić, domyślnie wybierając najbezpieczniejszą opcję. Na przykład, gdy zapora zawiedzie, powinna po prostu zamknąć wszystkie połączenia i zablokować wszystkie nowe, zamiast zaczynać akceptować wszystko.

  • Don’t trust services Many organizations work with third-party partners. These outside partners often have different security policies than the organization does. And the organization shouldn’t explicitly trust that their partners’ systems are secure. For example, if a third-party vendor tracks reward points for airline customers, the airline should ensure that the balance is accurate before sharing that information with their customers.

Nie ufaj usługom Wiele organizacji współpracuje z partnerami zewnętrznymi. Ci zewnętrzni partnerzy często mają inną politykę bezpieczeństwa niż organizacja. Organizacja nie powinna wprost ufać, że systemy jej partnerów są bezpieczne. Na przykład, jeśli zewnętrzny sprzedawca śledzi punkty lojalnościowe dla klientów linii lotniczych, linia lotnicza powinna upewnić się, że saldo jest dokładne, zanim udostępni te informacje swoim klientom.

  • Avoid security by obscurity The security of key systems should not rely on keeping details hidden. Consider the following example from OWASP (2016):

The security of an application should not rely on keeping the source code secret. Its security should rely upon many other factors, including reasonable password policies, defense in depth, business transaction limits, solid network architecture, and fraud and audit controls.

Unikaj bezpieczeństwa poprzez niejasność Bezpieczeństwo kluczowych systemów nie powinno polegać na ukrywaniu szczegółów. Rozważmy następujący przykład z OWASP (2016):

  • Bezpieczeństwo aplikacji nie powinno polegać na utrzymywaniu w tajemnicy kodu źródłowego. Jego bezpieczeństwo powinno opierać się na wielu innych czynnikach, w tym na rozsądnych zasadach dotyczących haseł, dogłębnej ochronie, limitach transakcji biznesowych, solidnej architekturze sieci oraz mechanizmach kontroli oszustw i audytów.