10 rủi ro an ninh mạng hàng đầu năm 2022

Theo một nghiên cứu mới của Viện Kiểm toán nội bộ (Chartered IIA), an ninh mạng sẽ là mối đe dọa số một mà các tổ chức phải đối mặt trong năm 2022, còn biến đổi khí hậu cũng là rủi ro ngày càng tăng. Đây là năm thứ tư liên tiếp an ninh mạng đứng đầu bảng xếp hạng hàng năm.

Báo cáo mới “Tiêu điểm Rủi ro năm 2022” là ấn bản thứ sáu của dự án nghiên cứu về tư duy lãnh đạo hàng năm nhằm phân tích những rủi ro hàng đầu mà các tổ chức phải đối mặt. Báo cáo này giúp những người phụ trách bộ phận kiểm toán nội bộ hiểu các đồng nghiệp của mình nhìn nhận bối cảnh rủi ro ngày nay như thế nào khi họ chuẩn bị kế hoạch kiểm toán cho năm 2022.

Tuy nhiên, 69% những người phụ trách bộ phận kiểm toán nội bộ vẫn không coi biến đổi khí hậu là một trong 5 rủi ro hàng đầu và chỉ có 12% tổ kiểm toán nội bộ là đang ưu tiên dành thời gian và nỗ lực đáng kể cho biến đổi khí hậu.

Chartered IIA cho rằng đây là điều “đáng báo động về khoảng cách giữa nhận thức và hành động” đối với rủi ro đang gia tăng này.

Tổng Giám đốc điều hành của Chartered IIA, ông John Wood cho biết “Sự thích ứng nhanh chóng và triệt để đã chứng kiến trong thời kỳ đại dịch thể hiện khả năng của các doanh nghiệp khi nhu cầu phát sinh.”

Ông Wood cho biết “Bây giờ là lúc cho sự đổi mới tương tự để đối phó với rủi ro ngày càng tăng do biến đổi khí hậu gây ra. Các doanh nghiệp nên chuẩn bị sẵn sàng cho các rủi ro về biến đổi khí hậu ngay từ bây giờ để tránh bị đứt gãy trên quy mô lớn trong những năm tới, và các kiểm toán viên nội bộ phải đóng

vai trò lập kế hoạch và giám sát quan trọng ở đây. Sự thiếu chuẩn bị cho rủi ro này sẽ ảnh hưởng nghiêm trọng đến sự sinh tồn của doanh nghiệp.”

Báo cáo mới này nhận diện những rủi ro hàng đầu đối với các tổ chức trong năm 2022 như: An ninh mạng và bảo mật dữ liệu, thay đổi về luật và quy định, đột phá số và trí tuệ nhân tạo.

Khi các doanh nghiệp cân nhắc những mô hình làm việc nào để áp dụng sau đại dịch, không thể đánh giá thấp những rủi ro về văn hóa, tinh thần và sự gắn kết của nhân viên. Nguồn nhân lực, tính đa dạng và quản lý tài năng được 40% những người phụ trách bộ phận kiểm toán nội bộ coi là một trong năm rủi ro hàng đầu của họ.

Trong sáu năm qua, Báo cáo Tiêu điểm Rủi ro đã nêu bật các lĩnh vực rủi ro chính để giúp kiểm toán viên nội bộ chuẩn bị công việc đánh giá rủi ro độc lập, lập kế hoạch hàng năm và xác định phạm vi kiểm toán.

(Theo AIR 06/10/2021)

Hiện nay, chuyển đổi số và ứng dụng công nghệ cao không phải là câu chuyện của riêng doanh nghiệp, mà còn của tất cả người dân. Tốc độ phát triển chóng mặt của công nghệ cũng như sự ảnh hưởng nặng nề của đại dịch Covid-19 đã khiến chúng ta nhận thức được sâu sắc tầm quan trọng của chuyển đổi số trong kỷ nguyên 4.0. Bởi vì, những thứ cần thiết hàng ngày như chuỗi cung ứng thực phẩm, phương tiện vận chuyển, thanh toán và giao dịch tài chính, hoạt động giáo dục, vận hành của Chính phủ, thậm chí cả khai thác nguồn tài nguyên cũng đang ngày càng phụ thuộc vào công nghệ số. Tuy nhiên, chính điều này lại làm cho chúng ta luôn có nguy cơ trở thành mục tiêu của các tội phạm mạng.

10 rủi ro an ninh mạng hàng đầu năm 2022

Tội phạm mạng đang là vấn đề nhức nhối đối với rất nhiều ngành công nghiệp và ngành ngân hàng cũng không phải ngoại lệ

Thực trạng tội phạm mạng hiện nay

Thực tế cho thấy tội phạm mạng đang gia tăng với mức độ ngày càng tinh vi. Theo báo cáo về tội phạm mạng của FBI, kể từ khi đại dịch Covid-19 bắt đầu, một số loại tấn công mạng đã tăng hơn 300% và chi phí liên quan của một số tội phạm mạng tăng hơn 2,400% (WEF, 2020). Xu hướng này cũng được Google khẳng định khi công bố rằng mỗi ngày công ty đã chặn hơn 18 triệu nỗ lực lừa đảo bằng cách ghi tên Corona lên các tệp hoặc link chứa mã độc (FBI, 2020). Còn theo tổ chức Cybersecurity Ventures, thiệt hại do tội phạm mạng ước tính lên tới 6 nghìn tỷ đô la Mỹ vào năm 2021 và 10,5 nghìn tỷ USD vào năm 2025 so với chỉ 3 nghìn tỷ vào năm 2015. Con số này tương đương với GDP của nền kinh tế lớn thứ ba thế giới chỉ sau Mỹ và Trung Quốc (Steve Morgan, 2021).

Lĩnh vực Tài chính – Ngân hàng trở thành mục tiêu hàng đầu của các cuộc tấn công mạng

Trong số các lĩnh vực bị tấn công, tài chính – ngân hàng là lĩnh vực thu hút sự chú ý nhất của tội phạm mạng. Trong báo cáo toàn cầu về An ninh mạng của Keepersecurity (2020), gần 70% tổ chức tài chính từng là nạn nhân của các cuộc tấn công mạng. Còn theo báo cáo về an ninh mạng của Insights (2021), hơn 25% các cuộc tấn công bằng phần mềm độc hại là nhằm vào các ngân hàng và tổ chức tài chính; số lượng này nhiều hơn bất kỳ ngành nào khác. Điều này có lẽ xuất phát từ tính đặc thù của ngành Tài chính – Ngân hàng khi mà mô hình hoạt động kinh doanh cũng như việc cung ứng sản phẩm dịch vụ của ngành dựa trên nền tảng công nghệ kỹ thuật số.

Trường hợp tấn công an ninh mạng Ngân hàng số tại Việt Nam

Việt Nam hiện đứng thứ 21 trên thế giới về các vụ tấn công lừa đảo với 673,743 cuộc tấn công được ghi nhận trong năm 2020. Nếu xét riêng khu vực Đông Nam Á, Việt nam ở trong nhóm dẫn đầu bị tấn công mạng, chỉ sau Thái Lan và Indonesia. Theo khảo sát của Hiệp hội An toàn thông tin Việt Nam, hơn 50% các cuộc tấn công mạng là nhằm vào các tổ chức tài chính và ngân hàng. Còn theo báo cáo của Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an, trong năm 2020 các ngân hàng đã bị thiệt hại khoảng 100 tỷ đồng từ 4,000 vụ tấn công an ninh mạng, trong đó có ngân hàng bị thiệt hại tới 44 tỷ đồng.

Trong thời gian qua, các ngân hàng thương mại Việt Nam đã đẩy mạnh quá trình chuyển đổi số. Mục tiêu của quá trình này là nhằm nâng cao hiệu quả hoạt động ngân hàng, gia tăng trải nghiệm khách hàng và đặc biệt tạo thuận lợi cho khách hàng trong sử dụng dịch vụ ngân hàng hiện đại. Tuy nhiên, cùng với xu hướng chuyển đổi số, chính là những thách thức về an ninh mạng. Điển hình như hệ thống dữ liệu ngân hàng bị xâm nhập để lấy cắp dữ liệu hoặc để thực hiện các hành vi gây thiệt hại về tài sản của ngân hàng và khách hàng. Các vụ tấn công nhằm vào các khách hàng của ngân hàng như lừa tiền qua tài khoản, mạo danh nhân viên ngân hàng hoặc gửi link giả mạo ngân hàng và các website mạo danh ngân hàng để lừa tiền khách hàng cũng đang trở nên phổ biến. Như vậy, có thể thấy hoạt động ngân hàng số ở Việt Nam đang đứng trước rủi ro an ninh mạng rất cao bởi vì cả ba chủ thể tham gia vào hoạt động ngân hàng số bao gồm ngân hàng, các đối tác và các khách hàng đều có thể là mục tiêu tấn công của tội phạm mạng.

An ninh mạng đóng vai trò then chốt với sự phát triển theo hướng số hóa trong ngành ngân hàng hiện nay

Đề xuất giải pháp hạn chế rủi ro an ninh mạng trong hoạt động Ngân hàng số

Để khắc phục được những điều này, nhóm tác giả đề xuất các nhóm giải pháp xoay quanh 3 trụ cột chính: Quy trình (Processes), Công nghệ (Technology), và Con người (People). Cụ thể, nhóm giải pháp về quy trình sẽ tập trung vào giới thiệu chi tiết các bước trong quản trị rủi ro an ninh mạng cùng với các hướng dẫn chi tiết nhằm giúp các ngân hàng nhận diện, đánh giá các mối đe dọa, và qua đó có kế hoạch ngăn chặn các vi phạm an ninh mạng và đặc biệt có phương án sẵn sàng ứng phó khi sự cố xảy ra. Trong khi đó, nhóm giải pháp công nghệ được xây dựng trên cơ sở kết hợp các công cụ và kỹ thuật bảo mật hiện đại. Hai công nghệ “Trí tuệ nhân tạo (Artificial Intelligence)” và “Tự động hóa, phản hồi, điều phối và bảo mật (Security Orchestration, Automation and Response)” được đề xuất bởi vì đây là hai loại hình công nghệ đang được các ngân hàng trên thế giới đánh giá cao nhất về hiệu quả trong chiến lược đầu tư công nghệ nhằm giảm thiểu rủi ro an ninh mạng (Accenture Security, 2020). Mặc dù Blockchain là công nghệ đang được cho là đầy hứa hẹn trong đảm bảo an ninh mạng nhưng các ngân hàng cũng cần có những cân nhắc thật kỹ lưỡng trước khi đưa vào sử dụng. Bởi vì công nghệ này vẫn còn chứa đựng nhiều rủi ro chưa thể dự đoán trước được. Đối với nhóm giải pháp về nhân sự, chúng tôi tiếp cận theo hướng đẩy mạnh nhận thức và xây dựng văn hóa an ninh mạng trong ngân hàng. Ngoài ra, các kiến nghị đối với Chính phủ và NHNN trong các vấn đề liên quan đến hành lang pháp lý và xây dựng chiến lược an ninh mạng ở tầm quốc gia cũng được chú trọng.

Vấn đề cuối cùng mà nhóm tác giả muốn đề xuất chính là nhóm giải pháp hạn chế rủi ro an ninh mạng cho mô hình ngân hàng số toàn diện. Mặc dù chưa được phép tại Việt Nam nhưng việc thành lập một ngân hàng số toàn diện là hướng đi chuyển đổi số mà các ngân hàng Việt Nam đang hướng đến. Trên cơ sở kinh nghiệm phát triển của ngân hàng số C6 ở Brazil (Keri Pearlson và cộng sự, 2020), chúng tôi, vì thế, đề xuất chính sách an ninh mạng cho ngân hàng số toàn diện trên cơ sở năm nhóm chính, bao gồm: nhóm phòng thủ, nhóm kỹ thuật, nhóm quản trị, nhóm an toàn ứng dụng, và nhóm phụ trách văn hóa an ninh mạng. Bên cạnh đó, rủi ro an ninh mạng cũng cần được kiểm soát chặt chẽ bằng cách sử dụng mô hình kiểm soát rủi ro 3 lớp: lớp liên quan đến quy trình hoạt động, lớp liên quan đến kiểm soát rủi ro và đảm bảo tính tuân thủ các nguyên tắc bảo mật, và cuối cùng là lớp liên quan đến kiểm soát nội bộ.

Về phía khách hàng, an ninh mạng cũng là vấn đề đáng được quan tâm hàng đầu. Nhóm tác giả đề xuất một số lời khuyên khái quát cho phía khách hàng nhằm bảo vệ bản thân đối với vấn đề an ninh mạng dựa trên những rủi ro đã đề cập ở trên bao gồm: luôn giữ thông tin cá nhân ở mức an toàn cao nhất có thể khi sử dụng dịch vụ ngân hàng qua các thiết bị điện tử (sử dụng các phần mềm chống virus, tường lửa trên các thiết bị có kết nối mạng), đề phòng các trang mạng không uy tín, email, tin nhắn mạo danh lừa đảo (đặc biệt chú ý với hình thức lừa đảo chiếm đoạt thông tin khách hàng thông qua hình thức mở tệp đính kèm hoặc liên kết được nhúng), sử dụng mật khẩu mạnh, khác nhau cho các tài khoản khác nhau (không nên sử dụng thông tin cá nhân để đặt làm mật khẩu).

Tóm lại, rủi ro an ninh mạng là một trong những vấn đề vấn đề sống còn trong quá trình chuyển đổi số của hệ thống ngân hàng Việt Nam hiện nay. Để hạn chế rủi ro này, các ngân hàng cần phải áp dụng đồng bộ các giải pháp cả về công nghệ bảo mật hiện đại kết hợp với xây dựng quy trình quản trị rủi ro an ninh mạng hiệu quả cùng với chính sách phát triển văn hoá an ninh mạng. Các giải pháp này sẽ chỉ khả thi khi có được sự hỗ trợ của Chính phủ và các cơ quan ban ngành về các khía cạnh pháp lý và định hướng phát triển chính sách an ninh mạng ở tầm quốc gia.

Xem đầy đủ bài nghiên cứu Rủi ro an ninh mạng trong hoạt động ngân hàng số: Trường hợp Việt Nam tại đây. Nhóm tác giả: TS. Phan Chung Thủy, TS. Phan Thu Hiền, NCS. Huỳnh Ngọc Quang Anh (Khoa Ngân hàng, Trường Kinh doanh UEH).

Đây là bài viết nằm trong Chuỗi bài lan tỏa nghiên cứu và kiến thức ứng dụng từ UEH với thông điệp giai đoạn năm 2022 “Research Contribution For All – Nghiên Cứu Vì Cộng Đồng”, UEH trân trọng kính mời Quý độc giả đón xem Bản tin kiến thức KINH TẾ SỐ #25 “Nâng cao trải nghiệm khách hàng trực tuyến trong ngành du lịch”.

Tin, ảnh: Nhóm tác giả, Phòng Marketing – Truyền thông UEH.

Giọng đọc: ThS. Phạm Nguyễn Hoài – Viện ISCM.

OWASP Top 10 là một tài liệu nâng cao nhận thức tiêu chuẩn cho các nhà phát triển và bảo mật ứng dụng web. Nó thể hiện sự đồng thuận rộng rãi về các rủi ro bảo mật quan trọng nhất đối với các ứng dụng web.

Trên toàn cầu được các nhà phát triển công nhận là bước đầu tiên hướng tới mã hóa an toàn hơn.

Các công ty nên áp dụng tài liệu này và bắt đầu quá trình đảm bảo rằng các ứng dụng web của họ giảm thiểu các rủi ro này. Sử dụng top 10 của OWASP có lẽ là bước đầu tiên hiệu quả nhất để thay đổi văn hóa phát triển phần mềm trong tổ chức của bạn thành một sản phẩm tạo ra mã an toàn hơn.

Top 10 rủi ro bảo mật ứng dụng web

Có ba loại mới, bốn loại có thay đổi đặt tên và phạm vi, và một số hợp nhất trong top 10 cho năm 2021.

A01: 2021 Điều khiển truy cập bị phá vỡ di chuyển lên từ vị trí thứ năm; 94% các ứng dụng đã được kiểm tra cho một số hình thức kiểm soát truy cập bị hỏng. 34 liệt kê điểm yếu phổ biến (CWEs) được ánh xạ tới kiểm soát truy cập bị hỏng đã xảy ra nhiều hơn trong các ứng dụng hơn bất kỳ loại nào khác. moves up from the fifth position; 94% of applications were tested for some form of broken access control. The 34 Common Weakness Enumerations (CWEs) mapped to Broken Access Control had more occurrences in applications than any other category.
A02: Thất bại 2021-Cryptographic chuyển một vị trí sang #2, trước đây được gọi là phơi nhiễm dữ liệu nhạy cảm, là triệu chứng rộng hơn là nguyên nhân gốc. Trọng tâm được đổi mới ở đây là các lỗi liên quan đến mật mã thường dẫn đến phơi nhiễm dữ liệu nhạy cảm hoặc thỏa hiệp hệ thống. shifts up one position to #2, previously known as Sensitive Data Exposure, which was broad symptom rather than a root cause. The renewed focus here is on failures related to cryptography which often leads to sensitive data exposure or system compromise.
A03: 2021 tiêm vào vị trí thứ ba. 94% các ứng dụng đã được thử nghiệm cho một số hình thức tiêm và 33 CWES được ánh xạ vào danh mục này có nhiều lần xuất hiện thứ hai trong các ứng dụng. Scripting Cross Site hiện là một phần của thể loại này trong phiên bản này. slides down to the third position. 94% of the applications were tested for some form of injection, and the 33 CWEs mapped into this category have the second most occurrences in applications. Cross-site Scripting is now part of this category in this edition.
A04: Thiết kế không an toàn 2021 là một danh mục mới cho năm 2021, tập trung vào các rủi ro liên quan đến lỗ hổng thiết kế. Nếu chúng ta thực sự muốn di chuyển sang trái như một ngành công nghiệp, nó sẽ yêu cầu sử dụng nhiều hơn các mô hình hóa mối đe dọa, các mô hình và nguyên tắc thiết kế an toàn và kiến trúc tham chiếu. is a new category for 2021, with a focus on risks related to design flaws. If we genuinely want to “move left” as an industry, it calls for more use of threat modeling, secure design patterns and principles, and reference architectures.
A05: 2021-Security Misconfiguration di chuyển lên từ #6 trong phiên bản trước; 90% các ứng dụng đã được thử nghiệm cho một số hình thức cấu hình sai. Với nhiều sự thay đổi thành phần mềm có cấu hình cao, nó không có gì đáng ngạc nhiên khi thấy danh mục này di chuyển lên. Danh mục cũ cho các thực thể bên ngoài XML (XXE) hiện là một phần của danh mục này. moves up from #6 in the previous edition; 90% of applications were tested for some form of misconfiguration. With more shifts into highly configurable software, it’s not surprising to see this category move up. The former category for XML External Entities (XXE) is now part of this category.
A06: 2021-các thành phần có thể biến đổi và lỗi thời trước đây có tiêu đề sử dụng các thành phần có các lỗ hổng đã biết và là số 2 trong cuộc khảo sát cộng đồng top 10, nhưng cũng có đủ dữ liệu để đưa 10 phân tích dữ liệu hàng đầu. Thể loại này chuyển lên từ #9 năm 2017 và là một vấn đề được biết đến mà chúng tôi đấu tranh để kiểm tra và đánh giá rủi ro. Đây là danh mục duy nhất không có bất kỳ lỗ hổng và phơi nhiễm chung nào (CVES) được ánh xạ tới CWE được bao gồm, do đó, một khai thác mặc định và trọng số tác động của 5.0 được đưa vào điểm số của chúng. was previously titled Using Components with Known Vulnerabilities and is #2 in the Top 10 community survey, but also had enough data to make the Top 10 via data analysis. This category moves up from #9 in 2017 and is a known issue that we struggle to test and assess risk. It is the only category not to have any Common Vulnerability and Exposures (CVEs) mapped to the included CWEs, so a default exploit and impact weights of 5.0 are factored into their scores.
A07: 2021-Xác định và xác thực thất bại trước đây đã bị phá vỡ xác thực và đang trượt xuống từ vị trí thứ hai, và hiện bao gồm các CWE có liên quan nhiều hơn đến các lỗi nhận dạng. Danh mục này vẫn là một phần không thể thiếu của top 10, nhưng sự gia tăng tính khả dụng của các khung tiêu chuẩn dường như đang giúp ích. was previously Broken Authentication and is sliding down from the second position, and now includes CWEs that are more related to identification failures. This category is still an integral part of the Top 10, but the increased availability of standardized frameworks seems to be helping.
A08: 2021-Software và Data FITLATY LAIGHTER là một danh mục mới cho năm 2021, tập trung vào việc đưa ra các giả định liên quan đến cập nhật phần mềm, dữ liệu quan trọng và đường ống CI/CD mà không cần xác minh tính toàn vẹn. Một trong những tác động có trọng số cao nhất từ tính dễ bị tổn thương và tiếp xúc/hệ thống tính điểm dễ bị tổn thương phổ biến (CVE/CVSS) được ánh xạ tới 10 CWE trong danh mục này. Sự giảm dần không an toàn từ năm 2017 hiện là một phần của thể loại lớn hơn này. is a new category for 2021, focusing on making assumptions related to software updates, critical data, and CI/CD pipelines without verifying integrity. One of the highest weighted impacts from Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) data mapped to the 10 CWEs in this category. Insecure Deserialization from 2017 is now a part of this larger category.
A09: 2021 Thất bại và giám sát bảo mật trước đây là không đủ ghi nhật ký và giám sát và được thêm từ khảo sát ngành ( #3), di chuyển lên từ #10 trước đó. Danh mục này được mở rộng để bao gồm nhiều loại thất bại hơn, rất khó để kiểm tra và được thể hiện tốt trong dữ liệu CVE/CVSS. Tuy nhiên, những thất bại trong danh mục này có thể ảnh hưởng trực tiếp đến khả năng hiển thị, cảnh báo sự cố và pháp y. was previously Insufficient Logging & Monitoring and is added from the industry survey (#3), moving up from #10 previously. This category is expanded to include more types of failures, is challenging to test for, and isn’t well represented in the CVE/CVSS data. However, failures in this category can directly impact visibility, incident alerting, and forensics.
A10: Công cụ giả mạo yêu cầu phía máy chủ 2021 được thêm vào từ 10 khảo sát cộng đồng hàng đầu (#1). Dữ liệu cho thấy tỷ lệ mắc tương đối thấp với độ bao phủ thử nghiệm trên trung bình, cùng với xếp hạng trên trung bình để khai thác và tiềm năng tác động. Danh mục này đại diện cho kịch bản mà các thành viên cộng đồng bảo mật đang nói với chúng tôi điều này rất quan trọng, mặc dù nó không được minh họa trong dữ liệu tại thời điểm này. is added from the Top 10 community survey (#1). The data shows a relatively low incidence rate with above average testing coverage, along with above-average ratings for Exploit and Impact potential. This category represents the scenario where the security community members are telling us this is important, even though it’s not illustrated in the data at this time.

Nỗ lực dịch thuật

Những nỗ lực đã được thực hiện bằng nhiều ngôn ngữ để dịch Top 10 - 2017 của OWASP. Nếu bạn quan tâm đến việc giúp đỡ, xin vui lòng liên hệ với các thành viên của nhóm để biết ngôn ngữ bạn quan tâm đến việc đóng góp hoặc nếu bạn không thấy ngôn ngữ của mình được liệt kê . Chúng tôi đã biên soạn readme.translations này với một số gợi ý để giúp bạn dịch.

2017 Completed Translations:

Chinese: OWASP Top 10-2017 - 中文版（PDF)
- 项目组长：王颉（[email protected]）
- 翻译人员：陈亮、王厚奎、王颉、王文君、王晓飞、吴楠、徐瑞祝、夏天泽、杨璐、张剑钟、赵学文（排名不分先后，按姓氏拼音排列）
- 审查人员：Rip、包悦忠、李旭勤、杨天识、张家银（排名不分先后，按姓氏拼音排列）
- 汇编人员：赵学文
French: OWASP Top 10 2017 in French (Git/Markdown)
German: OWASP Top 10 2017 in German V1.0 (Pdf) (web pages)
compiled by Christian Dresen, Alexios Fakos, Louisa Frick, Torsten Gigler, Tobias Glemser, Dr. Frank Gut, Dr. Ingo Hanke, Dr. Thomas Herzog, Dr. Markus Koegel, Sebastian Klipper, Jens Liebau, Ralf Reinhardt, Martin Riedel, Michael Schaefer
Hebrew: OWASP Top 10-2017 - Hebrew (PDF) (PPTX)
translated by Eyal Estrin (Twitter: @eyalestrin) and Omer Levi Hevroni (Twitter: @omerlh).
Japanese: OWASP Top 10-2017 - 日本語版 (PDF)
translated and reviewed by Akitsugu ITO, Albert Hsieh, Chie TAZAWA, Hideko IGARASHI, Hiroshi TOKUMARU, Naoto KATSUMI, Riotaro OKADA, Robert DRACEA, Satoru TAKAHASHI, Sen UENO, Shoichi NAKATA, Takanori NAKANOWATARI ,Takanori ANDO, Tomohiro SANAE.
Korean: OWASP Top 10-2017 - 한글 (PDF) (PPTX)
번역 프로젝트 관리 및 감수 : 박형근(Hyungkeun Park) / 감수(ㄱㄴㄷ순) : 강용석(YongSeok Kang), 박창렴(Park Changryum), 조민재(Johnny Cho) / 편집 및 감수 : 신상원(Shin Sangwon) / 번역(ㄱㄴㄷ순) : 김영하(Youngha Kim), 박상영(Sangyoung Park), 이민욱(MinWook Lee), 정초아(JUNG CHOAH), 조광렬(CHO KWANG YULL), 최한동(Handong Choi)
Portuguese: OWASP Top 10 2017 - Portuguese (PDF) (ODP)
translated by Anabela Nogueira, Carlos Serrão, Guillaume Lopes, João Pinto, João Samouco, Kembolle A. Oliveira, Paulo A. Silva, Ricardo Mourato, Rui Silva, Sérgio Domingues, Tiago Reis, Vítor Magano.
Russian: OWASP Top 10-2017 - на русском языке (PDF)
translated and reviewed by JZDLin (@JZDLin), Oleksii Skachkov (@hamster4n), Ivan Kochurkin (@KvanTTT) and Taras Ivashchenko
Spanish: OWASP Top 10-2017 - Español (PDF)
- Gerardo Canedo（[email protected] - [Twitter: @GerardoMCanedo])
- Cristian Borghello（[email protected] - [Twitter: @seguinfo])

Historic:

2017 Release Candidate Translation Teams:

Azerbaijanian: Rashad Aliyev ([email protected])
Chinese RC2:Rip、包悦忠、李旭勤、王颉、王厚奎、吴楠、徐瑞祝、夏天泽、张家银、张剑钟、赵学文(排名不分先后，按姓氏拼音排列) OWASP Top10 2017 RC2 - Chinese PDF
French: Ludovic Petit: [email protected], Sébastien Gioria: [email protected]
Others to be listed.

2013 Completed Translations:

Arabic: OWASP Top 10 2013 - Arabic PDF
Translated by: Mohannad Shahat: [email protected], Fahad: @SecurityArk, Abdulellah Alsaheel: [email protected], Khalifa Alshamsi: [email protected] and Sabri(KING SABRI): [email protected], Mohammed Aldossary: [email protected]
Chinese 2013：中文版2013 OWASP Top 10 2013 - Chinese (PDF).
项目组长： Rip、王颉，参与人员：陈亮、顾庆林、胡晓斌、李建蒙、王文君、杨天识、张在峰
Czech 2013: OWASP Top 10 2013 - Czech (PDF) OWASP Top 10 2013 - Czech (PPTX)
CSIRT.CZ - CZ.NIC, z.s.p.o. (.cz domain registry): Petr Zavodsky: [email protected], Vaclav Klimes, Zuzana Duracinska, Michal Prokop, Edvard Rejthar, Pavel Basta
French 2013: OWASP Top 10 2013 - French PDF
Ludovic Petit: [email protected], Sébastien Gioria: [email protected], Erwan Abgrall: [email protected], Benjamin Avet: [email protected], Jocelyn Aubert: [email protected], Damien Azambour: [email protected], Aline Barthelemy: [email protected], Moulay Abdsamad Belghiti: [email protected], Gregory Blanc: [email protected], Clément Capel: [email protected], Etienne Capgras: [email protected], Julien Cayssol: [email protected], Antonio Fontes: [email protected], Ely de Travieso: [email protected], Nicolas Grégoire: [email protected], Valérie Lasserre: [email protected], Antoine Laureau: [email protected], Guillaume Lopes: [email protected], Gilles Morain: [email protected], Christophe Pekar: [email protected], Olivier Perret: [email protected], Michel Prunet: [email protected], Olivier Revollat: [email protected], Aymeric Tabourin: [email protected]
German 2013: OWASP Top 10 2013 - German PDF
[email protected] which is Frank Dölitzscher, Torsten Gigler, Tobias Glemser, Dr. Ingo Hanke, Thomas Herzog, Kai Jendrian, Ralf Reinhardt, Michael Schäfer
Hebrew 2013: OWASP Top 10 2013 - Hebrew PDF
Translated by: Or Katz, Eyal Estrin, Oran Yitzhak, Dan Peled, Shay Sivan.
Italian 2013: OWASP Top 10 2013 - Italian PDF
Translated by: Michele Saporito: [email protected], Paolo Perego: [email protected], Matteo Meucci: [email protected], Sara Gallo: [email protected], Alessandro Guido: [email protected], Mirko Guido Spezie: [email protected], Giuseppe Di Cesare: [email protected], Paco Schiaffella: [email protected], Gianluca Grasso: [email protected], Alessio D’Ospina: [email protected], Loredana Mancini: [email protected], Alessio Petracca: [email protected], Giuseppe Trotta: [email protected], Simone Onofri: [email protected], Francesco Cossu: [email protected], Marco Lancini: [email protected], Stefano Zanero: [email protected], Giovanni Schmid: [email protected], Igor Falcomata’: [email protected]
2013: OWASP Top 10 2013 - Pdfranslated của Nhật Bản bởi: Chia -Lung Hisieh: Tyusuke.tw (at) gmail.com, được xem xét bởi: Hiroshi Togur, Takanori.
Translated by: Chia-Lung Hsieh: ryusuke.tw(at)gmail.com, Reviewed by: Hiroshi Tokumaru, Takanori Nakanowatari
Hàn Quốc 2013: OWASP Top 10 2013 - PDF của Hàn Quốc (이름 가나 다순 다순) 김병효: [Email & NBSP; được bảo vệ], 김지원: [Email & NBSP; Email & nbsp; được bảo vệ], 성윤기: [Email & nbsp; được bảo vệ], 송보영: [Email & nbsp; Email & nbsp; Protred], 정 Nhìn: [Email & nbsp; Protred], 젖: [eil & nbsp; bảo vệ], email & nbsp; ows: [email & nbsp; ow;
김병효:[email protected], 김지원:[email protected], 김효근:[email protected], 박정훈:[email protected], 성영모:[email protected], 성윤기:[email protected], 송보영:[email protected], 송창기:[email protected], 유정호:[email protected], 장상민:[email protected], 전영재:[email protected], 정가람:[email protected], 정홍순:[email protected], 조민재:[email protected],허성무:[email protected]
Brazil là 2013: Top 10 năm 2013 - Brazil bằng tiếng Bồ Đào Nha: Carlos Serrão, Marcio Machry, Evaro de Torres, Carlo Marcelo Revoredo da Silva, 10., Marcelo Lopes, Caio Day, Rodrigo Guult
Translated by: Carlos Serrão, Marcio Machry, Ícaro Evangelista de Torres, Carlo Marcelo Revoredo da Silva, Luiz Vieira, Suely Ramalho de Mello, Jorge Olímpia, Daniel Quintão, Mauro Risonho de Paula Assumpção, Marcelo Lopes, Caio Dias, Rodrigo Gularte
Tây Ban Nha 2013: OWASP Top 10 2013 - Pdgerardo Canedo của Tây Ban Nha: [Email & nbsp; Protelled], Jorge Correa: [Emil & NBSP; ], David Montero: [eil & nbsp; được bảo vệ], Rodrigo Martinez: [ ; Bảo vệ.], Hector Aguirre: [Email & NBSP; Protelled], Kitching Roger: [Email & NBSP; ], Manuel Ramirez: [Email & NBSP; Protected], Mail & NBSP; RCO Miranda: [Email & NBSP; .
Gerardo Canedo: [email protected], Jorge Correa: [email protected], Fabien Spychiger: [email protected], Alberto Hill: [email protected], Johnatan Stanley: [email protected], Maximiliano Alonzo: [email protected], Mateo Martinez: [email protected], David Montero: [email protected], Rodrigo Martinez: [email protected], Guillermo Skrilec: [email protected], Felipe Zipitria: [email protected], Fabien Spychiger: [email protected], Rafael Gil: [email protected], Christian Lopez: [email protected], jonathan fernandez [email protected], Paola Rodriguez: [email protected], Hector Aguirre: [email protected], Roger Carhuatocto: [email protected], Juan Carlos Calderon: [email protected], Marc Rivero López: [email protected], Carlos Allendes: [email protected], [email protected]: [email protected], Manuel Ramírez: [email protected], Marco Miranda: [email protected], Mauricio D. Papaleo Mayada: [email protected], Felipe Sanchez: [email protected], Juan Manuel Bahamonde: [email protected], Adrià Massanet: [email protected], Jorge Correa: [email protected], Ramiro Pulgar: [email protected], German Alonso Suárez Guerrero: [email protected], Jose A. Guasch: [email protected], Edgar Salazar: [email protected]
Ukraine 2013: OWASP Top 10 2013 - Pdfkateynko Owasp, Yuriy Fedko, Gleb Payky, Gleb Paykyko, Maskya Maskayeva, Shabashkeskyeva, Shabashkkesky.
Kateryna Ovechenko, Yuriy Fedko, Gleb Paharenko, Yevgeniya Maskayeva, Sergiy Shabashkevich, Bohdan Serednytsky

Bản dịch hoàn chỉnh năm 2010:

Hàn Quốc 2010: OWASP Top 10 2010 - Công viên Pdfhyungkeen của Hàn Quốc, ([Email & NBSP; Bảo vệ))
Hyungkeun Park, ([email protected])
Tây Ban Nha 2010: Top 10 Top 10 năm 2010 - Tây Ban Nha của Daniel Molina, Edgar Sanchez, Juan Carlos Caldeon, Jose Antonio Guasch, Paulo Coronado, Rodrigo Marcos, Vicente Aguilera, Vicente Aguilera, Vicente Aguilera
Daniel Cabezas Molina, Edgar Sanchez, Juan Carlos Calderon, Jose Antonio Guasch, Paulo Coronado, Rodrigo Marcos, Vicente Aguilera
Pháp 2010: OWASP Top 10 2010 - PDF của Pháp [N [Email & NBSP; Proteect]]]
[email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]
Đức 2010: OWASP Top 10 2010 - PDF của Đức [Email & NBSP; Protred] Whiel là thẳng thắn Dölitzscher, Tobias Glemser, Dr. Hanke, Kai Jendrian, Alf Reinharhardt, Michael Schäfer
[email protected] which is Frank Dölitzscher, Tobias Glemser, Dr. Ingo Hanke, Kai Jendrian, Ralf Reinhardt, Michael Schäfer
Indonesia 2010: Owasp Top 10 2010 - Indonessian Pdftedi Heriyanto (Tọa độ), Lathifah Arief, Twriver, Zaki Akhmad.
Tedi Heriyanto (coordinator), Lathifah Arief, Tri A Sundara, Zaki Akhmad
Italyn 2010: Owasp Top 10 2010 - Pdfsmone Onohfri, Paolo Perego, Massimo Biagiotti, Edorddo Viscosi, Salvatore Forrolo, Roberto Battitoni, Lorena Nesta, Michen Nesta, Michen Nesta, Michelle, Schelle.
Simone Onofri, Paolo Perego, Massimo Biagiotti, Edoardo Viscosi, Salvatore Fiorillo, Roberto Battistoni, Loredana Mancini, Michele Nesta, Paco Schiaffella, Lucilla Mancini, Gerardo Di Giacomo, Valentino Squilloni
2010: OWASP Top 10 2010 - PDF Nhật Bản [Email & NBSP; Bảo vệ], Dr. Masayuki Hisada, Yoshimasa Kawamoto, Rousuke Samoto, Keisuke Seki, Shin Umusmoto, Takashi Arima
[email protected], Dr. Masayuki Hisada, Yoshimasa Kawamoto, Ryusuke Sakamoto, Keisuke Seki, Shin Umemoto, Takashi Arima
Trung Quốc 2010: OWASP Top 10 2010 - PDF của Trung Quốc 懄 8 以下ず凵凾本出〺ش 〺ش 献献猈〺
感谢以下为中文版本做出贡献的翻译人员和审核人员: Rip Torn, 钟卫林, 高雯, 王颉, 于振东
Việt Nam 2010: OWASP Top 10 2010 - Pdftranslag của Việt Nam của Ceciil Su - Nhóm dịch: Dang Hoaning, Ngie BE, Lguong Hueng, Luong Dieu Phuong, Luing.
Translation lead by Cecil Su - Translation Team: Dang Hoang Vu, Nguyen Ba Tien, Nguyen Tang Hung, Luong Dieu Phuong, Huynh Thien Tam
Hebbrew 2010: Dự án top 10 của OWASP - OWASP Top 10 2010 - Hê -bơ -rơ pdf.lead by hoặc Katz, xem trang dịch bị cấm bởi người đóng góp.
Lead by Or Katz, see translation page for list of contributors.

Top 10: 2021 của OWASP được tài trợ bởi Warror Code Warror thứ cấp.

Dự án Top 10 - 2017 của OWASP đã được Autodek Autodek tham gia, và được hỗ trợ bởi chương OWASP Nova.

Cảm ơn Dopect bí mật cho các phiên bản tài trợ trước đó.

Kế hoạch phân tích dữ liệu top 10 2020

Bàn thắng

Để giữ các bộ dữ liệu tổng hợp nhất liên quan đến việc xác định các vilsions vilennerabritical 2010 cho sự thiếu máu cho top 10 và nghiên cứu trong tương lai khác như chúng ta. Dữ liệu này nên đến từ nhiều nguồn khác nhau; Nhà cung cấp bảo mật và tư vấn, Bonties Big, Alon với đóng góp của công ty/ tổ chức. Dữ liệu sẽ được cấp độ để đáp ứng cấp độ giữa công ty giữa dụng cụ hỗ trợ và công cụ hỗ trợ của con người.

Cơ sở hạ tầng phân tích

Lên kế hoạch tận dụng cơ sở hạ tầng đám mây OWASP Azure để thu thập, phân tích và lưu trữ dữ liệu được đóng góp.

Đóng góp

Chúng tôi có kế hoạch hỗ trợ cả những đóng góp đã biết và giả danh. Sở thích là những đóng góp được biết đến; Điều này vô cùng giúp xác nhận/chất lượng/niềm tin của dữ liệu được gửi. Nếu người gửi thích dữ liệu của họ được lưu trữ ẩn danh và thậm chí đi xa như gửi dữ liệu một cách ẩn danh, thì nó sẽ phải được phân loại là không được xác minh so với xác minh.

Đóng góp dữ liệu được xác minh

Kịch bản 1: Người nộp được biết đến và đã đồng ý được xác định là một bên đóng góp. Kịch bản 2: Người nộp được biết đến nhưng không được xác định công khai. Kịch bản 3: Người gửi được biết nhưng không muốn nó được ghi trong bộ dữ liệu.
Scenario 2: The submitter is known but would rather not be publicly identified.
Scenario 3: The submitter is known but does not want it recorded in the dataset.

Đóng góp dữ liệu chưa được xác minh

Kịch bản 4: Người nộp là ẩn danh. (Chúng ta có nên hỗ trợ không?)

Việc phân tích dữ liệu sẽ được thực hiện với sự phân biệt cẩn thận khi dữ liệu chưa được xác minh là một phần của bộ dữ liệu được phân tích.

Quá trình đóng góp

Có một vài cách mà dữ liệu có thể được đóng góp:

Gửi email cho tệp CSV/Excel với (các) bộ dữ liệu tới [Email & NBSP; được bảo vệ]
Tải tệp CSV/Excel lên thư mục đóng góp của người dùng (sắp ra mắt)

Các ví dụ mẫu có thể được tìm thấy trong GitHub: https://github.com/owasp/top10/tree/master/2021/data

Thời gian đóng góp

Chúng tôi dự định chấp nhận các khoản đóng góp cho Top 10 mới từ tháng 5 đến ngày 30 tháng 11 năm 2020 cho dữ liệu có niên đại từ năm 2017 đến hiện tại.

Cấu trúc dữ liệu

Các yếu tố dữ liệu sau được yêu cầu hoặc tùy chọn. Càng nhiều thông tin cung cấp thì phân tích của chúng tôi có thể chính xác hơn. Ở mức tối thiểu, chúng tôi cần khoảng thời gian, tổng số ứng dụng được thử nghiệm trong bộ dữ liệu và danh sách CWE và số lượng ứng dụng có chứa CWE đó. Nếu có thể, vui lòng cung cấp siêu dữ liệu bổ sung, bởi vì điều đó sẽ giúp chúng tôi có nhiều hiểu biết hơn về tình trạng thử nghiệm và lỗ hổng hiện tại.required or optional.
The more information provided the more accurate our analysis can be.
At a bare minimum, we need the time period, total number of applications tested in the dataset, and the list of CWEs and counts of how many applications contained that CWE.
If at all possible, please provide the additional metadata, because that will greatly help us gain more insights into the current state of testing and vulnerabilities.

metadata

Tên người đóng góp (org hoặc anon)
Email liên hệ với người đóng góp
Khoảng thời gian (2019, 2018, 2017)
Số lượng ứng dụng được kiểm tra
Loại thử nghiệm (tah, mũ, công cụ)
Ngôn ngữ chính (mã)
Khu vực địa lý (Toàn cầu, Bắc Mỹ, EU, Châu Á, Khác)
Ngành công nghiệp chính (Nhiều, Tài chính, Công nghiệp, Phần mềm, ??)
Liệu dữ liệu có chứa các bản kiểm tra hay cùng một ứng dụng nhiều lần (t/f)

Dữ liệu CWE

Một danh sách CWES w/ số lượng ứng dụng được tìm thấy có chứa CWE đó

Nếu có thể, vui lòng cung cấp CWE cốt lõi trong dữ liệu, không phải các danh mục CWE. Điều này sẽ giúp phân tích, bất kỳ bình thường hóa/tập hợp nào được thực hiện như một phần của phân tích này sẽ được ghi nhận rõ ràng.
This will help with the analysis, any normalization/aggregation done as a part of this analysis will be well documented.

Note:

Nếu một người đóng góp có hai loại bộ dữ liệu, một từ HAT và một từ các nguồn TAH, thì nên gửi chúng dưới dạng hai bộ dữ liệu riêng biệt. HAT = Các công cụ hỗ trợ của con người (khối lượng/tần số cao hơn, chủ yếu từ dụng cụ) TAH = Công cụ hỗ trợ con người (khối lượng/tần số thấp hơn, chủ yếu từ thử nghiệm của con người)
HaT = Human assisted Tools (higher volume/frequency, primarily from tooling)
TaH = Tool assisted Human (lower volume/frequency, primarily from human testing)

Sự khảo sát

Tương tự như Top Ten 2017, chúng tôi có kế hoạch thực hiện một cuộc khảo sát để xác định tối đa hai loại của Top Ten mà cộng đồng tin rằng rất quan trọng, nhưng có thể chưa được phản ánh trong dữ liệu. Chúng tôi dự định tiến hành khảo sát vào tháng 5 hoặc tháng 6 năm 2020 và sẽ sử dụng các biểu mẫu của Google theo cách tương tự như lần trước. Các CWE trong cuộc khảo sát sẽ đến từ các phát hiện có xu hướng hiện tại, CWE nằm ngoài mười dữ liệu hàng đầu và các nguồn tiềm năng khác.

Quá trình

Ở cấp độ cao, chúng tôi dự định thực hiện một mức độ chuẩn hóa dữ liệu; Tuy nhiên, chúng tôi sẽ giữ một phiên bản của dữ liệu thô được đóng góp cho phân tích trong tương lai. Chúng tôi sẽ phân tích phân phối CWE của các bộ dữ liệu và có khả năng phân loại lại một số CWE để củng cố chúng thành các thùng lớn hơn. Chúng tôi sẽ cẩn thận ghi lại tất cả các hành động chuẩn hóa được thực hiện để rõ ràng những gì đã được thực hiện.

Chúng tôi có kế hoạch tính toán khả năng theo mô hình chúng tôi đã phát triển vào năm 2017 để xác định tỷ lệ mắc thay vì tần suất để đánh giá mức độ có khả năng một ứng dụng nhất định có thể chứa ít nhất một trường hợp của CWE. Điều này có nghĩa là chúng tôi không tìm kiếm tốc độ tần suất (số lượng phát hiện) trong một ứng dụng, thay vào đó, chúng tôi đang tìm kiếm số lượng ứng dụng có một hoặc nhiều trường hợp của CWE. Chúng tôi có thể tính toán tỷ lệ mắc dựa trên tổng số ứng dụng được thử nghiệm trong bộ dữ liệu so với số lượng ứng dụng mà mỗi CWE được tìm thấy.

Ngoài ra, chúng tôi sẽ phát triển điểm số CWSS cơ sở cho 20-30 CWES hàng đầu và bao gồm tác động tiềm năng vào trọng số 10.

Ngoài ra, muốn khám phá những hiểu biết bổ sung có thể được lượm lặt từ bộ dữ liệu đóng góp để xem những gì khác có thể học được có thể được sử dụng cho các cộng đồng bảo mật và phát triển.

8 mối đe dọa an ninh mạng chính là gì?

Kỹ thuật xã hội. Kỹ thuật xã hội được coi là rủi ro chính vì các trang web truyền thông xã hội mới phổ biến và đa dạng. ....

Dịch vụ điện toán đám mây. Xu hướng công nghệ mới trong hệ thống máy tính là điện toán đám mây. ....

Các yếu tố rủi ro nội bộ. ....

Bảo mật HTML. ....

Apts. ....

BYODS. ....

Phần mềm độc hại. ....

Botnets..

Rủi ro an ninh mạng hàng đầu là gì?

Các nhân viên đe dọa an ninh mạng phổ biến nhất là các cuộc tấn công lừa đảo.Với các cuộc tấn công ngày càng tiến bộ hơn, nhiều nhân viên không có kỹ năng để xác định email lừa đảo.Ngoài ra, nhiều nhân viên tham gia vào kỷ luật an ninh mạng kém, sử dụng cùng một mật khẩu cho công việc và máy tính gia đình.phishing attacks. With attacks growing more advanced, many employees don't have the skills to identify a phishing email. Additionally, many employees engage in poor cyber security discipline, using the same password for work and home computers.

10 mối đe dọa mạng lớn nhất đối với tổ chức là gì?

Top 10 mối đe dọa an ninh mạng:..

Kỹ thuật xã hội.....

Tiếp xúc của bên thứ ba.....

Sai lầm cấu hình.....

Vệ sinh mạng kém.....

Lỗ hổng đám mây.....

Lỗ hổng thiết bị di động.....

Internet của mọi thứ.....

Ransomware..

10 loại tấn công mạng hàng đầu là gì?

Các loại tấn công mạng khác nhau là tấn công phần mềm độc hại, tấn công mật khẩu, tấn công lừa đảo và tấn công SQL.malware attack, password attack, phishing attack, and SQL injection attack.