OWASP ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Softwaresicherheit einsetzt.
OWASP (Open Worldwide Application Security Project) ist eine offene Community, deren Ziel es ist, Organisationen bei der Konzeption, Entwicklung, Beschaffung, Bedienung und Wartung von Software für sichere und vertrauenswürdige Anwendungen zu unterstützen. Zu seinen Programmen gehören von der Community geleitete Open-Source-Softwareprojekte sowie lokale und globale Konferenzen mit Hunderten von Niederlassungen auf der ganzen Welt und Zehntausenden von Mitgliedern.
OWASP spielt eine entscheidende Rolle bei der Sensibilisierung für Sicherheitsrisiken von Web-Anwendungen und bietet wertvolle Ressourcen, Tools, Dokumentationen und Best Practices, um die zunehmenden Herausforderungen der Web-Anwendungssicherheit zu bewältigen. OWASP hilft Entwicklern, Sicherheitsexperten und Organisationen, potenzielle Bedrohungen zu verstehen und bewährte Sicherheitsmethoden zu übernehmen.
OWASP führt eine Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen sowie wirksame Prozesse, Verfahren und Kontrollen zu deren Eindämmung. OWASP bietet außerdem eine Liste der zehn größten API-Sicherheitsrisiken, um die an der Entwicklung und Wartung von APIs Beteiligten zu schulen und das Bewusstsein für gängige API-Sicherheitslücken zu schärfen.
Die OWASP-Community ermutigt Einzelpersonen und Organisationen, zu ihren Projekten und Ressourcen beizutragen. Dieser kollaborative und umfragebasierte Ansatz ermöglicht es der Community, das kollektive Wissen und die Fachkompetenz ihrer Mitglieder zu nutzen, was zu umfassenden und aktuellen Ressourcen führt.
Sowohl bei Apps als auch bei APIs bestehen Sicherheitsrisiken , die bei der Implementierung von Sicherheitslösungen berücksichtigt werden müssen. Zum Beispiel:
Die OWASP Top 10 sind eine weithin anerkannte Liste der kritischsten Sicherheitsrisiken für Webanwendungen. Die Liste dient Entwicklern, Sicherheitsexperten und Organisationen als Leitfaden bei der Priorisierung ihrer Bemühungen zur Identifizierung und Eindämmung kritischer Sicherheitsrisiken für Web-Anwendungen.
Das Vorhandensein eines Risikos in der OWASP-Top-10-Liste bedeutet nicht unbedingt, dass es in allen Webanwendungen weit verbreitet ist oder schwerwiegend ist. Zudem sind die Top Ten weder in einer bestimmten Reihenfolge noch nach Priorität angeordnet.
Die OWASP Top 10 Sicherheitsrisiken für Webanwendungen für 2021 sind:
Defekte Zugriffskontrollen. Diese Sicherheitslücke entsteht, wenn Angreifer durch unzureichende Durchsetzung von Zugriffskontrollen und Autorisierungen unbefugten Zugriff auf Funktionen oder Daten erhalten. Der Grund hierfür können unsichere direkte Objektverweise (IDORs) sein, die entstehen können, wenn es einer Anwendung nicht gelingt, Benutzereingaben zu validieren oder zu autorisieren, die als direkte Referenz auf ein internes Objekt verwendet werden. Dies kann auch an fehlenden Zugriffskontrollen auf Funktionsebene liegen, wenn die Anwendung die Zugriffskontrollen nur in der ersten Authentifizierungs- oder Autorisierungsphase validiert, diese Kontrollen aber nicht konsistent in allen Funktionen oder Vorgängen der Anwendung durchsetzt. Eine Web Application Firewall (WAF) kann zum Schutz vor diesen Angriffen beitragen, indem sie Zugriffskontrollen überwacht und durchsetzt, um unbefugten Zugriff auf vertrauliche Objekte oder Ressourcen zu verhindern.
Die OWASP Top 10 von 2021 weisen einige neue Kategorien und Namensänderungen gegenüber den vorherigen OWASP Top 10 von 2017 auf. Zu diesen Änderungen gehörten die Integration der Risikobedrohung „XML External Entities“ (XXE) aus dem Jahr 2017 in die Kategorie „Sicherheitsfehlkonfiguration“ von 2021 und das Hinzufügen von „Cross-Site Scripting“ (XSS) aus dem Jahr 2017 zur Kategorie „Injection“ von 2021. Das Risiko „Unsichere Deserialisierung“ aus dem Jahr 2017 ist jetzt Teil der Kategorie „Software- und Datenintegritätsfehler“ von 2021.
OWASP sponsert derzeit 293 Projekte, darunter die folgenden 16 OWASP-Flaggschiffprojekte, die einen strategischen Wert für OWASP und die Anwendungssicherheit insgesamt bieten.
OWASP spielt eine entscheidende Rolle im fortwährenden Bestreben, die Softwaresicherheit zu verbessern, indem es das Bewusstsein für Sicherheitsrisiken von Webanwendungen schärft und sich bei Entwicklern, Sicherheitsexperten und Organisationen für Best Practices einsetzt. Als Community-gesteuertes Projekt bringt OWASP Experten und Enthusiasten zusammen, um gemeinsam an der Verbesserung der Sicherheit von Web-Anwendungen zu arbeiten und zum Aufbau einer sicherheitsbewussten Kultur beizutragen, die sichere Codierungspraktiken und sichere Entwicklungsmethoden fördert.
Darüber hinaus bietet OWASP zahlreiche kostenlose und Open-Source-Tools, Dokumente und Ressourcen, die es Unternehmen ermöglichen, ihre Sicherheitslage zu verbessern, darunter die OWASP Top 10, die OWASP API Security Top 10 und das Automated Threats to Web Applications Project. Zu den weiteren OWASP-Initiativen gehören:
Engagieren Sie sich, indem Sie Mitglied bei OWASP werden oder an einem Treffen eines Ortsverbands teilnehmen. Die Treffen sind kostenlos und sowohl für Mitglieder als auch für Nichtmitglieder offen. Darüber hinaus veranstaltet OWASP jedes Jahr fast ein Dutzend globale und regionale Events , die großartige Gelegenheiten bieten, Ihre beruflichen Fähigkeiten zu verbessern, Ihr berufliches Netzwerk aufzubauen und sich über neue Trends in der Branche zu informieren.
F5 unterstützt die OWASP Foundation und ihr Engagement, die Softwaresicherheit zu verbessern und das Bewusstsein für Sicherheitsrisiken und Schwachstellen von Webanwendungen zu schärfen. Die Web Application Firewall-Lösungen von F5 blockieren und mindern ein breites Spektrum an Risiken aus den OWASP Top 10 .
F5 WAF-Lösungen kombinieren Signatur- und Verhaltensschutz, einschließlich Bedrohungsinformationen von F5 Labs und ML-basierter Sicherheit, um mit neuen Bedrohungen Schritt zu halten. Es verringert den Aufwand und die Komplexität der konsistenten Sicherung von Anwendungen in Clouds, lokalen Umgebungen und Edge-Umgebungen und vereinfacht gleichzeitig die Verwaltung über eine zentralisierte SaaS-Infrastruktur. F5 WAFs optimieren außerdem die App-Sicherheit, indem sie Schutzmaßnahmen in Entwicklungsframeworks und CI/CD-Pipelines mit zentralen Sicherheitsfunktionen, zentraler Orchestrierung und Überwachung über ein einziges Dashboard mit einer 360-Grad-Ansicht der App-Leistung und Sicherheitsereignisse über verteilte Anwendungen hinweg integrieren.
F5 begegnet außerdem den in den OWASP API Security Top 10 identifizierten Risiken mit Lösungen, die die wachsende Angriffsfläche und neu auftretenden Bedrohungen schützen , während sich Apps weiterentwickeln und die Zahl der API-Bereitstellungen zunimmt. Die WAAP-Lösungen (Web Application and API Protection) von F5 schützen die gesamte Angriffsfläche moderner Apps mit umfassenden Schutzmechanismen, darunter WAF, API-Sicherheit , L3-L7-DDoS-Minderung sowie Bot-Abwehr gegen automatisierte Bedrohungen und Betrug. Mithilfe der verteilten Plattform können Sie ganz einfach einheitliche Richtlinien implementieren und die Sicherheit für Ihren gesamten App- und API-Bestand skalieren, unabhängig davon, wo diese gehostet werden. Zudem können Sie die Sicherheit in den API-Lebenszyklus und umfassendere Ökosysteme integrieren.
F5 bietet außerdem Lösungen zum Umgang mit den im OWASP-Projekt „Automated Threats to Web Applications“ beschriebenen Risiken. F5 Distributed Cloud Bot Defense verhindert Betrug und Missbrauch, die vorhandene Bot-Management-Lösungen umgehen können, und bietet Echtzeitüberwachung und -informationen sowie ML-basierte Retrospektivanalysen, um Unternehmen vor automatisierten Angriffen zu schützen, ohne Reibungsverluste für den Benutzer zu verursachen oder das Kundenerlebnis zu beeinträchtigen. Die Wirksamkeit von Distributed Cloud Bot Defense bleibt unabhängig davon bestehen, wie die Angreifer ihre Werkzeuge umstellen, ob die Angriffe von Webanwendungen auf APIs verlagert werden oder ob sie versuchen, Abwehrmaßnahmen gegen die Automatisierung durch Fälschung der Telemetrie oder den Einsatz menschlicher CAPTCHA-Löser zu umgehen.
F5 bietet außerdem mehrstufigen DDoS-Schutz für erweiterte Online-Sicherheit als verwalteten, über die Cloud bereitgestellten Abwehrdienst an, der groß angelegte, auf Netzwerke, Protokolle und Anwendungen ausgerichtete Angriffe in Echtzeit erkennt und abwehrt; die gleichen Schutzfunktionen sind auch als Hardware-, Software- und Hybridlösungen vor Ort verfügbar. F5 Distributed Cloud DDoS Mitigation schützt vor volumetrischen und anwendungsspezifischen Angriffen der Schichten 3–4 und erweiterten Angriffen der Schicht 7, bevor diese Ihre Netzwerkinfrastruktur und Anwendungen erreichen.
LÖSUNGSÜBERSICHT
F5 BIG-IP Advanced WAF – Schutz für jede App, überall ›