InsightAppSecによる OWASP Top 10脆弱性対策

しかし、OWASP Top 10 の最新の版を、どのようにアプリケーション・セキュリティ・プログラムに適用したらいいのでしょうか？

この質問に答えるために、Rapid7はInsightAppSec用のOWASP 2021 Attack Template and Reportをリリースしました。 この新機能は、OWASPの最新のカテゴリーを使用して、AppSecプログラムへの情報提供と集中、開発チームと密接に連携して発見された脆弱性の修正、コンプライアンス達成のためのベストプラクティスへの移行を支援します。

詳しく見ていきましょう。

見つける

脆弱性を修正する前に、脆弱性を発見する必要があります。そのためにはスキャンが必要です。どこを探せばよいかは分かっていても、何を探すべきかを判断するために必要な、業界のトレンドや一般的な脅威の状況に関する専門知識が不足していることがよくあります。

幸いなことに、OWASPは私たちのために重要な役割を果たしてくれています。新しいInsightAppSec OWASP 2021攻撃テンプレートには、OWASPの最新バージョンで定義されたカテゴリに関連するすべての攻撃が含まれます。

新しい攻撃モジュールは、最新版の OWASP トップ 10脆弱性 に盛り込まれた知識を活用し−たとえ専門知識がほとんどなくても−焦点を絞った、小規模の脆弱性セットを生成することが可能です。セキュリティと開発のリソースを割くことができず、コストがかかる場合、OWASPスキャンテンプレートを使用することで、適切な脆弱性に焦点を当てることができるようになります。

修正

脆弱性の発見は、なすべきこと全体のうちの一部でしかありません。開発チームが脆弱性を修正できるようにしなければ、この演習全体が無意味になってしまいます。

そのため、InsightAppSecは、脆弱性の確認と修復に必要なすべての情報とツールを開発チームに提供するために特別にフォーマットされた、詳細な修復レポートの形でガイダンスを提供します。

この改善レポートには、製品に搭載されているアタックリプレイ機能が含まれており、開発者は脆弱性を特定するために使用したトラフィックを再生することで、迅速かつ容易に脆弱性を検証することができます。

レポート

OWASP はコンプライアンス基準ではありませんが、監査担当者がOWASPトップ 10脆弱性 のスキャンを前向きに捉え、他のコンプライアンス基準に対しても同様の姿勢をとっているとみなす可能性もあります。

組織がグッドプラクティスを示すことができるように、InsightAppSecは、脆弱性を、関連するOWASPカテゴリに自動的にグループ化するOWASPレポートを提供しますが、これは脆弱性が発見されていない領域も対象となります。

OWASP 2021 レポートは、現在うまく対処できているカテゴリと、より集中し注意を払う必要があると思われるカテゴリの優れた概要を示し、あなたのセキュリティプログラムをより良くするための実行可能な情報を提供します。

InsightAppSecは、OWASPの分析とインテリジェンスを活用し、ワークフローを提供することで、スキャンから修復まで、アプリケーションセキュリティプログラムを制御し、適切な人が、適切なタイミングで、適切な情報を入手できるようにします。

参考資料：

• JSONにおけるXSS：モダンなアプリケーションのための旧来型の攻撃
• Cloud-Native Application Protection (CNAPP)。その背景には何があるのか？
• Rapid7、2022年マジック・クアドラント™のアプリケーション・セキュリティ・テスト部門で2年連続「ビジョナリー」に選出
• InsightAppSecとtCellによるDevSecOpsの改善