Проект OWASP Cornucopia успешно завершил обновление карт и страниц помощи для издания Website App Edition v3.0.
Выражаем благодарность всем, кто внес свой вклад в переводы для новой версии карточной игры.
Приглашаем вас ознакомиться с текстом страниц помощи. Есть ли несоответствия? Считаете ли вы, что что-то следует добавить или удалить? Если вы обнаружите что-либо, не стесняйтесь связаться с нами или создать issue. Каждая страница содержит кнопку «Просмотреть исходный код на GitHub», которая позволяет быстро отредактировать текст. Мы приветствуем любые мнения и критику, поскольку стремимся создать идеальное решение для геймифицированного моделирования угроз.
Новое издание Website App Edition v3.0, доступное на 10 языках (EN, ES, FR, HI, NL, NO-NB, PT-PT, PT-BR, RU, UK), индивидуально связывает 202 CAPEC с набором требований ASVS 5.0 в отношении каждой из карт. Это означает, что хотя у вас всего 80 карт, на веб-сайте описано огромное количество возможных угроз, что делает игру настоящим изобилием угроз для веб-приложений. Возможности для размышлений во время игры просто безграничны — в этом и заключается суть Cornucopia.
Что, если вы хотите сосредоточиться на конкретном CAPEC и найти соответствующие требования OWASP ASVS?
Перейдите к карте, нажмите на CAPEC на карте CAPEC, и вы получите все возможные комбинации OWASP ASVS, тем самым связывая паттерны атак и требования безопасности. Это позволяет проводить тщательный и глубокий анализ требований безопасности веб-сайтов при обсуждении конкретной карты. Вы буквально можете неделями анализировать, играть и самостоятельно решать, «что может пойти не так?», «что с этим делать?» и даже сформировать собственное мнение о том, насколько хорошо вы справились с работой.
Мы не остановились на достигнутом! Для каждой карты также предусмотрен «Индекс серии чит-листов OWASP». Что это такое? Это индекс OWASP, который связывает каждое из требований ASVS с набором чит-листов OWASP, дающих рекомендации по реализации конкретного требования OWASP ASVS! Хотите узнать, как обеспечить защиту журналов в соответствии с «OWASP ASVS V16.4 — Log Protection»? Нет проблем! «Индекс серии чит-листов OWASP ASVS (5.0)», отображаемый на страницах помощи для каждой карты, направит вас к коллекции чит-листов OWASP, связанных с интересующим вас требованием.
Но это еще не все! Как насчет STRIDE? Как насчет моделирования угроз? Каждая карта имеет раздел STRIDE, раздел «Что может пойти не так?» и раздел «Что мы собираемся с этим делать?». Это означает, что во время моделирования угроз, если у вас возникнут вопросы по разделам «Что может пойти не так?» и «Что мы собираемся с этим делать?», просто перейдите на страницы отдельных карт, и вы найдете то, что ищете!
Вы можете спросить себя, неужели это все? Нет, у нас есть еще больше!
Threat Dragon и игры EoP
При выборе инструмента для публикации нашей модели угроз мы выбрали OWASP Threat Dragon. OWASP Threat Dragon — это бесплатное, открытое, кроссплатформенное приложение для моделирования угроз. Оно используется для создания диаграмм моделирования угроз и перечисления угроз для элементов внутри диаграмм. Майк Гудвин создал Threat Dragon как проект сообщества с открытым исходным кодом, который обеспечивает интуитивно понятный и доступный способ моделирования угроз.
OWASP Threat Dragon выпустит эту возможность в версии 2.6, которая ожидается на 9-й неделе, но уже сейчас вы можете попробовать ее на их демонстрационном сайте. Это только начало интеграции между двумя проектами; в будущем ожидается больше. OWASP Threat Dragon V2.6 будет поставляться со всевозможными интересными функциями.
Благодаря Херардо Канедо и его студентам из Католического университета Уругвая теперь можно создавать свою модель угроз OWASP Cornucopia непосредственно в OWASP Threat Dragon. При создании новой диаграммы для вашей модели угроз просто выберите создание диаграммы «Игры EoP». Мы решили назвать диаграмму EoP Games по двум причинам. Во-первых, OWASP Cornucopia происходит от игры Elevation of Privilege, созданной Адамом Шостаком. Во-вторых, мы не хотим останавливаться только на OWASP Cornucopia. Мы также хотим добавить другие игры EoP, такие как оригинальная игра EoP.
После создания диаграммы EoP Games вы можете добавить угрозы OWASP Cornucopia в свою модель угроз. Каждая добавленная угроза получит ссылку на веб-сайт OWASP Cornucopia, где вы найдете руководство по моделированию угроз и STRIDE, которое поможет вам определить, что может пойти не так и что с этим делать. Вы также можете найти полное сопоставление с OWASP ASVS, OWASP Developer Guide и всеми соответствующими CAPEC.
Я хочу выразить искреннюю признательность Херардо Канедо, Себастьяну Фейрресу и их студентам из Католического университета Уругвая за то, что они сделали это возможным. Без их преданности и усилий у OWASP Cornucopia не было бы такой возможности.
Рамки четырех вопросов Шостака для моделирования угроз
OWASP Cornucopia вместе с OWASP Threat Dragon помогают нам отвечать на вопросы:
- Над чем мы работаем?
- Что может пойти не так?
- Что мы собираемся с этим делать?
…но «Достаточно ли хорошо мы справились?»
В Admincontrol, где я работаю, мы всегда отправляли анонимный опрос после каждой сессии моделирования угроз с OWASP Cornucopia. Общий балл удовлетворенности респондентов всеми сессиями, проведенными с начала использования OWASP Cornucopia в 2023 году, составляет 4.5 из 5. На вопрос о релевантности сессии для работы участника средний балл составил 4.7 из 5. На вопрос, помогла ли сессия OWASP Cornucopia участникам понять, какие меры безопасности (митигации) им необходимо реализовать/протестировать, балл составил 4.5. На вопрос, улучшила ли сессия общее понимание требований безопасности приложений, балл составил 4.0. На вопрос «Хорошо ли мы справились?», балл составил 4.3. Так что, безусловно, мы можем сделать лучше!
Задавая вопрос «Достаточно ли хорошо мы справились?», не произносите его вслух во время сессии. Вы действительно думаете, что люди прямо выскажут вам свою честную критику? Отправьте анонимный опрос и попросите обратную связь!
Как получить OWASP Cornucopia?
Возможно, вы задаетесь вопросом: «Как мы можем использовать эти ресурсы и играть в эту игру?» Нет проблем! Это можно сделать различными способами: онлайн или лично, наслаждаясь обществом коллег, используя доступную колоду карт.
Что дальше…
А как насчет DevOps? Что насчет LLM и AI-агентов? Мы работаем и над этим. Новое издание OWASP Cornucopia Companion Edition, которое скоро будет опубликовано, может использоваться вместе с OWASP Website App Edition и включает 6 новых дополнительных наборов карт, охватывающих новые темы: Agentic AI (AAI), Automated Threats (BOT), Cloud (CLD), Frontend (FRE), Large Language Models (LLM) и DevOps (DVO). Набор в дополнительной колоде может заменить (или использоваться в дополнение к) наборам в существующем издании для веб-сайтов, чтобы игроки могли добавить специфический фокус в свое моделирование угроз: например, если вы создаете приложение LLM и хотите выполнить моделирование угроз специально для LLM. В этом случае вы будете использовать OWASP Cornucopia Website Edition и набор компаньонов LLM в качестве выбранной вами области фокусировки OWASP Cornucopia.
OWASP Cornucopia приветствует любые предложения или улучшения, которыми вы готовы поделиться с нами относительно нашей текущей модели угроз. По общему признанию, мы создали систему до того, как смогли выявить все наши угрозы, и необходимо внести несколько улучшений, чтобы должным образом сбалансировать присущие риски компрометации с текущими мерами безопасности. Для всех, кто размещает игровой движок, пожалуйста, учтите это. Для тех, кто хочет поделиться своим мнением, не стесняйтесь оставлять отзывы.
OWASP — это некоммерческий фонд, который стремится к миру без небезопасного программного обеспечения. Наша миссия — быть глобальным открытым сообществом, которое обеспечивает безопасное программное обеспечение через образование, инструменты и сотрудничество.