Comparing OWASP Mappings
Rintamäki, Tuukka (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052315153
https://urn.fi/URN:NBN:fi:amk-2025052315153
Tiivistelmä
Kyberturvallisuuden ala on osoittautunut jatkuvasti kehittyväksi, ja uusia haavoittuvuuksia ilmenee nopeasti. Laskentatehon, tekoälyn ja IT-ympäristöjen kasvavan monimutkaisuuden teknologinen kehitys lisää kyberhyökkäysten uhkaa. Kyberhyökkäysmenetelmiä automatisoidaan tekoälyn avulla, kuten hyökkäyspinnan kartoituksessa, hyökkäysvektorin tunnistamisessa ja haittaohjelman luonnissa. Koska nämä vaiheet kyberhyökkäysketjussa on automatisoitu, onnistuneiden hyökkäysten toteuttaminen on nopeampaa ja helpompaa kuin aiemmin. FBI:n vuoden 2023 Internet Crime Report raportoi 10 %:n kasvusta kyberrikosilmoituksissa ja 22 %:n lisäyksestä niihin liittyvissä tappioissa, mikä korostaa ennaltaehkäisevien vastatoimien kasvavaa tarvetta.
Open Web Application Security Project Foundation (OWASP) on tuottanut useita turvallisuusviitekehyksiä. OWASP Web Application Security Top 10 on tunnetuin ja viitatuin, mutta se keskittyy ainoastaan verkkosovellusten riskeihin. Laajemman käsityksen saamiseksi ohjelmistokehityksen turvallisuushaasteista useita OWASP-viitekehyksiä verrattiin Web Application Top 10 -viitekehykseen suorittamalla ristiintaulukointi.
Kunkin viitekehyksen riskikategorioiden kuvaukset käytiin manuaalisesti läpi ja sovitettiin Web Application Top 10 -kategorioiden mukaan. Riskit, jotka eivät vastanneet riskikategorioiden kuvauksia, tunnistettiin ja ryhmiteltiin uusiksi alakategorioiksi niiden toistuvuuden ja merkittävyyden perusteella muissa viitekehyksissä. Nämä alakategoriat tarjosivat lisänäkemyksiä yleisiin turvallisuusongelmiin verkkosovellusten ulkopuolella ja toimivat pohjana suosituksille tieto- ja viestintätekniikan koulutuksen kehittämiseksi Jyväskylän ammattikorkeakoulussa (Jamk).
Tulokset osoittivat, että vaikka Web Application Top 10 kattaa monia tärkeitä riskejä, se ei täysin edusta kaikkia toistuvia uhkia, joita esiintyy sovelluskehityksessä. Ottamalla käyttöön täydentäviä riskikategorioita saadaan tasapainoisempi näkökulma sovelluskehityksen riskeihin, mikä parantaa Jamk:in ICT-alojen opiskelijoiden tietoturvaosaamista. The cybersecurity landscape has shown to be constantly evolving, with new vulnerabilities emerging rapidly. Due to technological advancements in computing power, artificial intelligence and the growing complexity of IT environments, the threat of cyberattacks is rising. Cyberattack methods are automated with artificial intelligence; helping map the attack surface, finding an attack vector and creating a malicious payload. Because these steps in a cyber kill chain are automated, creating successful attacks is quicker and easier than before. The FBI’s 2023 Internet Crime Report reported a 10% rise in cybercrime complaints and a 22% increase in related losses, highlighting the growing need for proactive countermeasures.
The Open Web Application Security Project Foundation (OWASP) has produced multiple security frameworks. The OWASP Web Application Security Top 10 is the most recognized and referenced, but it focuses solely on web application risks. To gain a broader understanding of security challenges in software development, multiple OWASP frameworks were compared against the Web Application Top 10 by performing a cross-tabulation of frameworks basing it on the Web Application Top 10.
Risk category descriptions for each framework were manually reviewed and matched with the Web Application Top 10 categories. Risks that did not align were identified and grouped into new sub-categories based on their recurrence and relevance across frameworks. These sub-categories offered additional insights into common security issues beyond web applications and served as a basis for recommendations on improving Information and Communications Technology education at Jyväskylä University of Applied Sciences (Jamk).
The results showed that while the Web Application Top 10 covers many important risks, it does not fully represent all recurring threats seen across application development. By introducing complementary risk categories, a more balanced perspective into the risks across application development is gained, enhancing the information security knowledge for students across the taught fields in ICT at Jamk.
Open Web Application Security Project Foundation (OWASP) on tuottanut useita turvallisuusviitekehyksiä. OWASP Web Application Security Top 10 on tunnetuin ja viitatuin, mutta se keskittyy ainoastaan verkkosovellusten riskeihin. Laajemman käsityksen saamiseksi ohjelmistokehityksen turvallisuushaasteista useita OWASP-viitekehyksiä verrattiin Web Application Top 10 -viitekehykseen suorittamalla ristiintaulukointi.
Kunkin viitekehyksen riskikategorioiden kuvaukset käytiin manuaalisesti läpi ja sovitettiin Web Application Top 10 -kategorioiden mukaan. Riskit, jotka eivät vastanneet riskikategorioiden kuvauksia, tunnistettiin ja ryhmiteltiin uusiksi alakategorioiksi niiden toistuvuuden ja merkittävyyden perusteella muissa viitekehyksissä. Nämä alakategoriat tarjosivat lisänäkemyksiä yleisiin turvallisuusongelmiin verkkosovellusten ulkopuolella ja toimivat pohjana suosituksille tieto- ja viestintätekniikan koulutuksen kehittämiseksi Jyväskylän ammattikorkeakoulussa (Jamk).
Tulokset osoittivat, että vaikka Web Application Top 10 kattaa monia tärkeitä riskejä, se ei täysin edusta kaikkia toistuvia uhkia, joita esiintyy sovelluskehityksessä. Ottamalla käyttöön täydentäviä riskikategorioita saadaan tasapainoisempi näkökulma sovelluskehityksen riskeihin, mikä parantaa Jamk:in ICT-alojen opiskelijoiden tietoturvaosaamista.
The Open Web Application Security Project Foundation (OWASP) has produced multiple security frameworks. The OWASP Web Application Security Top 10 is the most recognized and referenced, but it focuses solely on web application risks. To gain a broader understanding of security challenges in software development, multiple OWASP frameworks were compared against the Web Application Top 10 by performing a cross-tabulation of frameworks basing it on the Web Application Top 10.
Risk category descriptions for each framework were manually reviewed and matched with the Web Application Top 10 categories. Risks that did not align were identified and grouped into new sub-categories based on their recurrence and relevance across frameworks. These sub-categories offered additional insights into common security issues beyond web applications and served as a basis for recommendations on improving Information and Communications Technology education at Jyväskylä University of Applied Sciences (Jamk).
The results showed that while the Web Application Top 10 covers many important risks, it does not fully represent all recurring threats seen across application development. By introducing complementary risk categories, a more balanced perspective into the risks across application development is gained, enhancing the information security knowledge for students across the taught fields in ICT at Jamk.