Germany/Projekte/Top 10 fuer Entwickler-2013/Anmerkungen zum Risikobegriff

Obwohl frühere Versionen der OWASP Top 10 darauf ausgelegt waren, die häufigsten “Schwachstellen” zu identifizieren, waren diese Dokumente eigentlich immer um Risiken herum aufgebaut. Dies verursachte bei einigen Anwendern, die eine wasserdichte Schwachstellen-Klassifizierung suchten, eine gewisse nachvollziehbare Verwirrung. Diese aktualisierte Version stellt nun den Fokus der Top 10 auf den Risikobegriff deutlicher dar, indem noch expliziter darauf eingegangen wird, wie dieses Risiko durch das Zusammenspiel von Bedrohungs-quellen, Angriffsvektoren, Schwachstellen und den Auswirkungen auf die Technik und die Geschäftsprozesse des Unternehmens entsteht.

Zur Umsetzung entwickelten wir eine Methodik der Risikobewertung für die Top 10 basierend auf der OWASP Risk Rating Methodology. Für jeden Punkt der Top 10 schätzten wir das typische Risiko ab, das die entsprechende Schwachstelle in einer üblichen Webanwendung verursacht, indem wir die allgemeinen Wahrscheinlichkeits- und Auswirkungs-Faktoren für die jeweilige Schwachstelle betrachteten. Dann sortierten wir die Top 10 gemäß der Schwachstellen, die im Allgemeinen das größte Risiko in einer Anwendung verursachen.

Die OWASP Risk Rating Methodology definiert zahlreiche Faktoren, die helfen, das Risiko einer gefundenen Schwachstelle zu bewerten. Unabhängig davon ist die Top 10 eher allgemein gehalten und geht weniger auf spezifische Sicherheitslücken realer Anwendungen ein. Daher können wir niemals so genau wie ein Verantwortlicher sein, der das Risiko für seine eigene Anwendung abschätzt. Wir kennen weder den konkreten Schutzbedarf der Anwendung und der verarbeiteten Daten, weder wer oder was die Bedrohungsquellen darstellt, noch wie das System entwickelt wurde oder betrieben wird.

Unsere Methodik beinhaltet drei Wahrscheinlichkeits-Faktoren für jede Schwachstelle (“Verbreitung”, “Auffindbarkeit“ und “Ausnutzbarkeit”) und einen Faktor zur “Technischen Auswirkung”. Die Verbreitung einer Schwachstelle muss üblicherweise nicht abgeschätzt werden. Hierfür haben uns verschiedene Organisationen Statistiken zur Verfügung gestellt, die wir zu einer Top 10 Liste des Wahrscheinlichkeits-Faktors für die “Verbreitung“ gemittelt haben. Diese Daten wurden dann mit den beiden anderen Wahrscheinlichkeits-Faktoren für “Auffindbarkeit” und “Ausnutzbarkeit” kombiniert, um eine Bewertung der Wahrscheinlichkeit für jede Schwachstelle zu berechnen. Dieser Wert wurde im folgenden mit den geschätzten üblichen “Technischen Auswirkungen” des jeweiligen Punktes der Top 10 multipliziert, um so zu einer Gesamtbewertung der letztendlichen Risiko-Einstufung zu gelangen.

Es bleibt anzumerken, dass dieser Ansatz die Wahrscheinlichkeit der Bedrohungsquelle nicht mit berücksichtigt, ebenso wenig wie irgend-welche technischen Details der betroffenen Anwendung. Jeder dieser Faktoren könnte die Gesamtwahrscheinlichkeit, dass ein Angreifer eine bestimmte Schwachstelle findet und ausnutzt, signifikant beeinflussen. Dieses Bewertungsschema berücksichtig auch nicht die Auswirkungen auf das jeweilige Unternehmen und die Geschäftsprozesse. Die betroffene Organisation oder das Unternehmen wird für sich selbst entscheiden müssen, welches Sicherheits-Risiko durch Anwendungen sie oder es bereit ist, zu tragen. Es ist nicht Sinn und Zweck der OWASP Top 10, Ihnen diese Risiko-Analyse abzunehmen oder für Sie durchzuführen.

Das folgende Diagramm zeigt exemplarisch unsere Abschätzung des Risikos für Germany/Projekte/Top_10_fuer_Entwickler/A2_. Anzumerken ist, dass XSS so stark verbreitet ist, dass es als einziger Punkt den Verbreitungsgrad “AUSSERGEWÖHNLICH HÄUFIG” (=> Wert 0) erhalten hat. Alle anderen Werte bewegen sich zwischen “SEHR HÄUFIG”, “HÄUFIG” und “SELTEN” (=> Werte 1 bis 3).

2 0 1 2  Bewertung der Wahrscheinlichkeit: 1 (= Mittel aus Ausnutzbarkeit, Verbreitung und Auffindbarkeit) * 2  Risiko-Einstufung: 2 (= Wahrscheinlichkeit * Auswirkung)