Regole OWASP
Il set di regole di base OWASP per WAF contiene regole generiche di rilevamento degli attacchi. Le regole OWASP proteggono da molte categorie di attacchi comuni, inclusi SQL injection, script cross - site e inclusione di file locali. CIS fornisce, ma non cura queste regole.
OWASP è uno standard del settore che fornisce una buona baseline di sicurezza. Per ulteriori informazioni, consulta:
- OWASP su Github GitHub
- OWASP.org
- Documentazione del set di regole di base OWASP
- Regole di base OWASP - Registro delle modifiche
Gestione di OWASP
A seconda della gestione WAF in CIS, potresti essere su una versione differente di OWASP. OWASP v2.x utilizza soglie di sensibilità e OWASP v3.x utilizza livelli di paranoia. Le zone create a partire dall ' 8 maggio 2024 utilizzeranno OWASP v3.x. Le zone create prima di tale data utilizzano OWASP v2.x e verranno migrate entro il 14 febbraio 2025, a meno che tu non migri manualmente prima.
Informazioni sul pacchetto OWASP
Il set di regole di base OWASP ModSecurity assegna un punteggio a ciascuna richiesta in base al numero di regole OWASP che si attivano. Il set di regole in CIS è basato sulla versione OWASP 3.3.
Livello di paranoia
Le impostazioni del livello di paranoia fanno parte del set di regole di base. Il livello di paranoia (PL) aiuta a definire quanto sia aggressivo il set di regole di base.
| Livello di paranoia | Descrizione |
|---|---|
| PL 1 | Fornisce una serie di regole che raramente attivano un falso allarme, sebbene possano verificarsi falsi allarmi a seconda della configurazione locale. |
| PL 2 | Fornisce regole aggiuntive che rilevano più attacchi, ma le regole aggiuntive potrebbero anche innescare nuovi falsi allarmi su richieste di HTTP e legittime. |
| PL 3 | Fornisce ulteriori regole per determinati attacchi specializzati. Il rischio di falsi allarmi aumenta. |
| PL 4 | Fornisce regole così aggressive da rilevare quasi ogni possibile attacco. Questo livello di paranoia segnala un sacco di traffico legittimo come dannoso. |
Soglia di sensibilità
Una richiesta può attivare una serie di regole OWASP a cui è associato un punteggio di gravità da alto a basso. Il punteggio finale viene calcolato in base a tutte le regole attivate. Dopo aver calcolato il punteggio finale, l' CIS e lo confronta con la soglia di sensibilità selezionata all'inizio, quindi blocca, contesta o registra la richiesta in base all'opzione selezionata.
Si consiglia di impostare inizialmente la sensibilità OWASP su low, quindi esaminare i falsi positivi prima di aumentare la sensibilità. Se si imposta su high, controllare i log su CIS e perfezionare il set di regole
OWASP per la propria applicazione.
Tenete presente che potete solo attivare o disattivare le regole OWASP, a differenza delle regole dei set di regole CIS, che possono essere impostate su Disattiva, Simula, Contesta o Blocca.
Il punteggio di sensibilità richiesto per attivare il WAF per una sensibilità specifica è il seguente:
| Punteggio sensibilità | Soglia di attivazione |
|---|---|
| Basso | 60 e oltre |
| Medio | 40 e oltre |
| Alto | 25 e oltre |
Con una sensibilità elevata, caricamenti di file di grandi dimensioni attivano il WAF. (solo2.x )
Per le richieste Ajax, vengono invece applicati i seguenti punteggi:
| Punteggio sensibilità | Soglia di attivazione |
|---|---|
| Basso | 120 e superiore |
| Medio | 80 e superiore |
| Alto | 65 e superiore |
Esaminare il log degli eventi (di sicurezza) per visualizzare il punteggio finale e le singole regole attivate.
Gestione dei pacchetti OWASP
Il Core Ruleset dell'OWASP ( ModSecurity ) contiene diverse regole del progetto OWASP. L' CIS non scrive né cura le regole OWASP. Fare clic sul nome di un set di regole sotto Gruppo per visualizzare le descrizioni delle regole. A differenza del set di regole gestite dall' CIS, le regole specifiche dell'OWASP possono essere attivate o disattivate.
Per gestire le soglie OWASP, impostare il livello di paranoia nella sezione Package: OWASP ModSecurity Core Ruleset. L'impostazione del livello di paranoia su P1 disabilita l'intero pacchetto OWASP, incluse tutte
le relative regole. Determinare il livello di paranoia appropriato dipende dal tuo settore di business e dalle operazioni. Ad esempio, un'impostazione P1 è appropriata per i caricamenti di file di grandi dimensioni.
L'ID regola 981176 viene visualizzato quando una richiesta viene bloccata da OWASP. Inoltre, alcune regole OWASP elencate nel registro delle attività non compaiono nell'elenco delle regole sotto Pacchetto: OWASP ModSecurity Core Ruleset perché la disabilitazione di tali regole non è consigliata.
Nei log e negli eventi di sicurezza campionati, la regola associata alle richieste mitigate dal Cloudflare OWASP Core Ruleset è l'ultima regola di questo ruleset gestito: 949110: Inbound Anomaly Score Exceeded. Nella dashboard CIS,
gli utenti possono vedere i punteggi delle singole regole che contribuiscono al punteggio finale delle minacce alla richiesta espandendo la sottosezione dei contributi al punteggio OWASP. Allo stesso modo, un elenco di ID
di regole può essere visualizzato nel campo score_rules della risposta API GraphQL.