No hay un top 1000, porque en realidad no sería relevante para la mayoría de las personas. Los 10 principales de OWASP se eligen porque son aplicables en la mayoría de las aplicaciones web y es probable que se exploten si no los protege.
Más allá de eso, si está comenzando desde una posición de que ya tiene aplicaciones e infraestructura:
- Comprenda sus activos: tenga una lista de todas sus aplicaciones, plataformas y versiones
Esto puede ser muy desafiante en una organización grande, pero sin él, ¿cómo sabrá de qué es vulnerable?
- Haga una referencia cruzada de esta lista con la base de datos CVE para comprender los tipos y la cantidad de vulnerabilidades que se aplican a sus activos
La base de datos CVE va al nivel de versiones específicas de aplicaciones y plataformas para que pueda obtener una vista muy personalizada de las vulnerabilidades que debería conocer. También proporciona una calificación (de 1 a 10) y una descripción de cómo se puede explotar la vulnerabilidad (por ejemplo, local, remota, etc.)
- Identifique a sus actores de amenazas
Esto podría ser activistas ambientales, terroristas, competidores, gobiernos extranjeros, estudiantes aburridos, pandillas del crimen organizado, etc.
- Evalúe el impacto y la probabilidad en función de los pasos anteriores y priorice la remediación
Nunca puede protegerse contra todos los posibles ataques, por lo que este paso es esencial para ayudarlo a decidir dónde su presupuesto y tiempo limitados tendrán el mejor rendimiento. Si no puede expresar el valor de un proyecto de remediación a la junta directiva, puede que le resulte difícil obtener la aceptación y el presupuesto.
Una mejor posición es crear un marco de gobernanza de seguridad que ayude a definir y garantizar la seguridad en el ciclo de vida del desarrollo, por lo que esto le ayudará a construir una arquitectura y un plan de prueba para ayudar a reducir la probabilidad de que las vulnerabilidades ingresen al código en primer lugar pero esta es una discusión mucho más larga, y probablemente lo veremos utilizando consultores :-)
tl; dr : el Top 10 de OWASP le dará la mejor vista inicial de lo que necesita hacer para protegerse. Después de eso, revise la base de datos de CVE para detectar vulnerabilidades específicas para su código. Mejorar sus procedimientos / marco / SDLC lo protegerá mejor a largo plazo. Proactivo, en lugar de reactivo.