Germany/Projekte/Top 10 fuer Entwickler-2013/Anmerkungen zum Risikobegriff

Obwohl die früheren OWASP Top 10 -Versionen von und vor  2007  darauf ausgelegt waren, die häufigsten „Schwachstellen” zu identifizieren, waren diese Dokumente eigentlich immer um Risiken herum aufgebaut. Dies verursachte bei einigen Anwendern, die eine wasserdichte Schwachstellen- Klassifizierung suchten, eine gewisse nachvollziehbare Verwirrung. Ab der OWASP Top 10 in der Version von 2010  wird nun der Fokus auf den Risikobegriff deutlicher dargestellt, indem noch expliziter darauf eingegangen wird, wie dieses Risiko durch das Zusammenspiel von Bedrohungsquellen, Angriffsvektoren, Schwachstellen und den Auswirkungen auf die Technik und die Geschäftsprozesse des Unternehmens entsteht.

Die Methodik der Risikobewertung für die Top 10 basiert auf der OWASP Risk Rating Methodology. Für jeden Punkt der Top 10 schätzten wir das typische Risiko ab, das die entsprechende Schwachstelle in einer üblichen Webanwendung verursacht, indem wir die allgemeinen Wahrscheinlichkeits- und Auswirkungs-Faktoren für die jeweilige Schwachstelle betrachteten. Dann sortierten wir die Top 10 gemäß der Schwachstellen, die im Allgemeinen das größte Risiko in einer Anwendung verursachen.

Zur Umsetzung entwickelten wir eine Methodik der Risikobewertung für die Top 10 basierend auf der OWASP Risk Rating Methodology. Für jeden Punkt der Top 10 schätzten wir das typische Risiko ab, das die entsprechende Schwachstelle in einer üblichen Webanwendung verursacht, indem wir die allgemeinen Wahrscheinlichkeits- und Auswirkungs-Faktoren für die jeweilige Schwachstelle betrachteten. Dann sortierten wir die Top 10 gemäß der Schwachstellen, die im Allgemeinen das größte Risiko in einer Anwendung verursachen.

Die OWASP Risk Rating Methodology definiert zahlreiche Faktoren, die helfen, das Risiko einer gefundenen Schwachstelle zu bewerten. Unabhängig davon ist die Top 10 eher allgemein gehalten und geht weniger auf spezifische Sicherheitslücken realer Anwendungen ein. Daher können wir niemals so genau wie die Verantwortlichen sein, die das Risiko für ihre eigenen Anwendungen abschätzen. Sie selbst können am Besten beurteilen, wie hoch der konkrete Schutzbedarf der Anwendung ist, wie wichtig die verarbeiteten Daten sind, wer oder was die Bedrohungsquellen darstellen und wie das System entwickelt wurde und betrieben wird.

Unsere Methodik beinhaltet drei Wahrscheinlichkeits-Faktoren für jede Schwachstelle („Verbreitung”, „Auffindbarkeit“ und „Ausnutzbarkeit”) und einen Faktor zur „Technischen Auswirkung”. Die Verbreitung einer Schwachstelle muss üblicherweise nicht abgeschätzt werden. Hierfür haben uns verschiedene Organisationen (vgl. Danksagung in der Einleitung (E) auf Seite 3) Statistiken zur Verfügung gestellt, die wir zu einer Top 10 Liste des Wahrscheinlichkeits-Faktors für die „Verbreitung“ gemittelt haben. Diese Daten wurden dann mit den beiden anderen Wahrscheinlichkeits-Faktoren für „Auffindbarkeit” und „Ausnutzbarkeit” kombiniert, um eine Bewertung der Wahrscheinlichkeit für jede Schwachstelle zu berechnen. Dieser Wert wurde im Folgenden mit den geschätzten üblichen „Technischen Auswirkungen” des jeweiligen Punktes der Top 10 multipliziert, um so zu einer Gesamtbewertung der letztendlichen Risiko-Einstufung zu gelangen.

Dieser Ansatz berücksichtigt die Wahrscheinlichkeit der Bedrohungsquelle nicht, ebenso wenig wie irgendwelche technischen Details der betroffenen Anwendung. Jeder dieser Faktoren könnte die Gesamtwahrscheinlichkeit, dass ein Angreifer eine bestimmte Schwachstelle findet und ausnutzt, signifikant beeinflussen. Dieses Bewertungsschema berücksichtigt auch nicht die Auswirkungen auf das jeweilige Unternehmen und die Geschäftsprozesse. Ihre Organisation oder Ihr Unternehmen wird für sich selbst – unter Berücksichtigung der Firmenkultur, der Industriestandards und Regulierungsanforderungen – entscheiden müssen, welches Sicherheits- Risiko durch Anwendungen sie oder es bereit ist zu tragen. Es ist nicht Sinn und Zweck der OWASP Top 10, Ihnen diese Risiko-Analyse abzunehmen.

Das folgende Diagramm zeigt exemplarisch unsere Abschätzung des Risikos für /A3-. Anzumerken ist, dass XSS so stark verbreitet ist, dass es als einziger Punkt den Verbreitungsgrad „AUSSERGEWÖHNLICH HÄUFIG“ mit dem Verbreitungs-Wert 0 erhalten hat. Alle anderen Werte bewegen sich zwischen „SEHR HÄUFIG“, „HÄUFIG“ und „SELTEN“ (Werte 1 bis 3).

2 0 1 2  Bewertung der Wahrscheinlichkeit: 1 (= Mittel aus Ausnutzbarkeit, Verbreitung und Auffindbarkeit) * 2  Risiko-Einstufung: 2 (= Wahrscheinlichkeit * Auswirkung)