Ads 468x60px

tiistai 26. elokuuta 2014

ASVS 2.0 - Sovellusturvallisuuden arviointistandardin uusi versio


Monelle lukijalle OWASP Top 10 -lista on varmasti tuttu, eli kyseessä on listaus kymmenestä vakavimmiksi arvioidusta sovellusten tietoturvahaavoittuvuudesta. Näihin lukeutuu muun muassa SQL-injektiohaavoittuvuudet, XSS-haavoittuvuudet ja heikko sessionhallinta. 

Sen sijaan OWASP:in Application Security Verification Standard (ASVS) saattaa olla vähemmän tunnettu. Se on erittäin käyttökelpoinen standardi, jonka tavoitteena on toimia avoimena sovellusturvallisuuden tarkastamisen työkaluna. ASVS-standardi määrittelee joukon teknisiä kontrolleja, joilla pyritään löytämään sovelluksessa olevat tietoturvahaavoittuvuudet, mukaan lukien Top 10 -listan haavoittuvuudet. Standardia voidaan käyttää osana sovellusturvallisuuden testauksen prosesseja.  

Ensimmäisen ASVS-standardin julkaisemisesta on kulunut jo viisi vuotta, ja elokuussa 2014 OWASP julkaisi siitä uuden version ASVS 2.0:n. Syitä uuden standardin luomiseen oli useita, ja yksi tärkeimmistä liittyi siihen, että tavoitteena oli keskittyä miten-kysymysten sijaan enemmän siihen mitä tulisi tehdä. Uudessa versiossa ei siis puhuta enää dynaamisesta skannaamisesta, staattisesta analyysista eikä uhkamallinnuksesta.

Mitä konkreettisia muutoksia uudessa ASVS-standardissa sitten on edelliseen verrattuna? Uusi ASVS-standardi määrittelee kolme sovellusturvallisuuden verifiointitasoa, jotka ovat: 

Taso 1: Opportunistinen (Opportunistic),  
Taso 2: Standardi (Standard) ja
Taso 3: Syventävä (Advanced). 

Opportunistinen taso on määritellyistä verifiointitasoista kevyin, ja se soveltuu tyypillisesti tilanteisiin, joissa haetaan jonkinlaista luottamusta sovelluksen turvallisuudesta ja tietoturvakontrollien oikeaoppisesta käytöstä. 

Standarditaso menee jo huomattavasti pidemmälle, ja tämä taso pitää sisällään myös liiketoimintalogiikkaa koskevat ja Top 10 -listan kontrollit. Taso sopii tyypillisesti sovelluksille, jotka suorittavat esimerkiksi liiketoimintakriittisiä toimintoja tai käsittelevät arkaluontoista dataa. 

Syventävän tason mukainen tarkastus sopii erityisen kriittisiin sovelluksiin, jotka liittyvät esimerkiksi yleiseen turvallisuuteen, kriittiseen infrastruktuuriin tai jotka voivat aiheuttaa organisaatiolle huomattavaa vahinkoa.

ASVS-standardissa kontrollit on jaoteltu luokkiin. Myös luokittelua on muutettu edellisestä versiosta. Standardin uudessa versiossa osa luokista on poistunut, ja niiden sisältämiä kontrolleja on upotettu muihin jo olemassa oleviin luokkiin. Lisäksi uuteen standardiin on tullut kolme uutta luokkaa, jotka ovat liiketoimintalogiikka, tiedostot ja resurssit sekä mobiililaitteet. Näiden sisältämät kontrollit pyrkivät vastaamaan muuttuneeseen toimintaympäristöön ja sen tuomiin haasteisiin. Kaiken kaikkiaan standardin rakenne on muuttunut selkeämmäksi, ja sitä voidaan suositella käytettävän osana sovellusturvallisuuden testauksen prosesseja.

Ei kommentteja:

Lähetä kommentti