Profesionales de seguridad de aplicaciones móviles que siguen las mejores prácticas para las pruebas de seguridad de aplicaciones móviles de OWASP ahora tienen un nuevo recurso para mejorar su eficiencia. Como parte de una serie de actualizaciones de OWASP MASVS y OWASP MASTG, el Proyecto de Seguridad de Aplicaciones Móviles de OWASP lanzó recientemente una nueva versión totalmente automatizada de su Lista de verificación de seguridad de aplicaciones móviles de OWASP con un diseño aerodinámico. La lista de verificación facilita el proceso de cumplimiento para cumplir con los requisitos estándar de la industria desde la planificación y el desarrollo tempranos hasta las pruebas de seguridad de las aplicaciones móviles.
Las pruebas de penetración móvil requieren la documentación adecuada de su trabajo y el Modelo de madurez de garantía de software (SAMM) de OWASP y NIST enfatizan la importancia de las listas de verificación. “Las listas de verificación son un recurso esencial en las pruebas de seguridad”, dice Carlos Holguera, investigador de seguridad móvil de NowSecure y colíder del Proyecto de seguridad de aplicaciones móviles OWASP. “Si está realizando una prueba de penetración y no puede sumergirse tan profundamente como le gustaría debido a las limitaciones de tiempo o la complejidad de la aplicación, puede esperar perder algunos problemas de seguridad potenciales. Pero no validar los controles enumerados en una lista de verificación es imperdonable”.
Las listas de verificación son un recurso esencial en las pruebas de seguridad.
– Carlos Holguera, NowSecure
Abundantes recursos móviles de OWASP
OWASP, una organización internacional sin fines de lucro, se enfoca en mejorar la seguridad de las aplicaciones brindando a los desarrolladores y equipos de seguridad los recursos que necesitan para crear software seguro. El Proyecto de seguridad móvil de la fundación clasifica los riesgos de seguridad móvil y proporciona controles de desarrollo para reducir su impacto o probabilidad de explotación. (Consulte el recurso de NowSecure, An Essential Guide to the OWASP Mobile Application Security Project, para obtener consejos sobre cómo crear y ejecutar un programa de seguridad de aplicaciones móviles basado en riesgos). programa.)
El Proyecto de Seguridad de Aplicaciones Móviles de OWASP ofrece una trifecta de recursos complementarios para la seguridad de aplicaciones móviles: los Estándares de Verificación de Aplicaciones Móviles de OWASP (MASVS), la Guía de Pruebas de Seguridad de Aplicaciones Móviles de OWASP (MASTG) y la Lista de Verificación de Pruebas de Seguridad de Aplicaciones Móviles de OWASP. Los tres trabajan juntos para promover una sólida seguridad en las aplicaciones móviles.
El MASVS describe el estándar definitivo para la seguridad de las aplicaciones móviles. Los propietarios, arquitectos y desarrolladores de aplicaciones móviles consultan el MASVS para crear seguridad por diseño y los profesionales de la seguridad confían en el MASVS para establecer una línea de base de seguridad para todas las aplicaciones móviles y probarlas de manera consistente.
El MASVS cubre ocho dominios que abordan la superficie de ataque móvil:
- V1: Arquitectura, Diseño y Modelado de Amenazas
- V2: Almacenamiento de datos y privacidad
- V3: Criptografía
- V4: Autenticación y gestión de sesiones
- V5: Comunicación de red
- V6: Interacción Ambiental
- V7: calidad del código y configuración de compilación
- V8: resiliencia contra la ingeniería inversa
La Guía de prueba de seguridad de aplicaciones móviles de OWASP (MASTG) proporciona a los analistas de seguridad de aplicaciones móviles una guía de referencia para las pruebas de penetración móvil. El manual detalla las pruebas de seguridad de aplicaciones móviles Android e iOS basadas en MASVS.
Y la Lista de verificación de seguridad de aplicaciones móviles de OWASP une el MASVS y el MASTG. La hoja de cálculo permite a los evaluadores de penetración móviles descartar los requisitos de MASVS que no forman parte del modelo de amenazas de la aplicación, marcar elementos con un estado de aprobación o falla y hace referencia a las secciones relevantes de MASTG para guiar las pruebas de Android e iOS.
Acercándonos a la lista de verificación de seguridad móvil de OWASP
La lista de verificación de seguridad de aplicaciones móviles de OWASP renovada ofrece varias mejoras. El principal de ellos es la automatización para reemplazar una hoja de cálculo que antes tenía que generarse manualmente y un diseño atractivo que refleja la evolución de OWASP y es más fácil de usar.
“Trabajar con Excel no es divertido, pero trabajar con una hoja de cálculo fea de Excel desmotiva”, bromea Holguera. Sin embargo, señala que el lavado de cara es más que simplemente gráficos. “Refleja todas las cosas nuevas del proyecto, incluida la limpieza, la estructura, el reflejo de Android e iOS y la interconexión de MASVS y MSTG”, explica.
Las características adicionales incluyen:
- Admite 13 idiomas
- Unifica todas las categorías de MASVS en una sola hoja
- Rastreable a través de versiones exactas de MASVS y MSTG e ID de confirmación
- Siempre actualizado con las últimas versiones de MSTG y MASVS
- Permite al usuario agregar más columnas u hojas según sea necesario
Todas las mejoras anteriores agilizan los informes necesarios para demostrar pruebas exhaustivas de penetración móvil y medir el cumplimiento de los estándares OWASP MASVS. En el futuro, Holguera dice que la automatización puede permitir que OWASP agregue más elementos que ofrezcan información útil. Anticipa que después de la actual Refactorización MASVS está completo, el MSTG también se refactorizará para permitir que las listas de verificación amplíen el mapeo para incluir pruebas de MSTG más específicas para ayudar al cumplimiento. OWASP lo invita a enviar comentarios e ideas con respecto a las listas de verificación a los miembros del proyecto. Debates de GitHub sección.
En NowSecure Connect 2021, Holguera y el colíder del proyecto de seguridad de aplicaciones móviles de OWASP, Sven Schleier de F-Secure, ofrecieron una vista previa de algunos de los trabajos en curso del grupo para refactorizar MASVS y alinear más estrechamente los recursos de MASVS y MASTG para avanzar en las pruebas de seguridad de aplicaciones móviles. practicas Puede ver la repetición de la sesión bajo demanda registrándose aquí.
“Nosotros en el Proyecto de Seguridad de Aplicaciones Móviles de OWASP estamos mejorando continuamente nuestros procesos estándar y subyacentes para ofrecerle nuevas formas de interactuar con MASVS y MASTG para hacer que sus esfuerzos de cumplimiento sean lo más eficientes posible”, dice Holguera. Te invita a monitorear y participar en la actualidad esfuerzos de refactorización.
NowSecure es compatible con OWASP
NowSecure se enorgullece de apoyar el proyecto de seguridad de aplicaciones móviles de OWASP dedicando personal a la evolución de la especificación de estándares. El equipo de NowSecure continúa haciendo contribuciones sustanciales a OWASP MASVS y MASTG y también sirve como patrocinador de OWASP God Mode.
Relacionado:
Pruebas de penetración del servidor web: definición, lista de verificación y herramientas
La lista de verificación de seguridad definitiva para lanzar una aplicación móvil en Nigeria
Serie de seminarios web de cumplimiento de Zimperium: ¿Cree que tiene el cumplimiento cubierto? Piensa otra vez. Los dispositivos móviles son los puntos finales olvidados.
