Il nuovo Application Protection Report di F5 Networks mostra quali siano le tecniche più utilizzate e gli obiettivi primari degli attacchi, anche nel nostro Paese
Proteggere le applicazioni è sempre stato un compito fondamentale per la sicurezza e continuerà ad esserlo in futuro. Come l’ecosistema della barriera corallina, che brulica di una varietà enorme di vita, le applicazioni web sono “creature che vivono in colonie”.
Sono costituite da una moltitudine di componenti indipendenti, in esecuzione in ambienti separati con requisiti operativi e infrastrutture di supporto differenti (sia nel cloud che on premise), connesse tra loro tramite le reti. Esistono tutta una serie di livelli interattivi – servizi applicativi, accesso alle applicazioni, transport layer services (TLS), domain name services (DNS), e la rete stessa —e ognuno è un potenziale un bersaglio da attaccare.
Quali sono le tecniche più usate e le vulnerabilità maggiormente sfruttate
Analizzando nel dettaglio le violazioni alle applicazioni abbiamo scoperto che la maggior parte ha riguardato il furto dei dati delle carte di pagamento dei clienti tramite web injection (70%), hacking di siti Web (26%) e hacking di database di app (4%).
Gli attacchi di web injection consentono a un utente malintenzionato di inserire comandi o nuovo codice direttamente in un’applicazione in esecuzione (processo noto anche come manomissione di un’app) per attivare uno schema dannoso. Negli ultimi dieci anni, il 23% delle violazioni registrate ha coinvolto attacchi con SQL injection, il tipo più subdolo di questa tipologia di attacco.
Le vulnerabilità alle injection (comprendendo le debolezze non ancora sfruttate) sono prevalenti. WhiteHat Security conferma questo dato, dichiarando che il 17% di tutte le vulnerabilità scoperte nel 2017 riguardava l’injection. Questo problema è talmente significativo che i difetti di injection sono considerati il primo rischio per le applicazioni nell’elenco OWASP Top 10 2017. Per questo motivo, è necessario dare priorità alla ricerca, all’applicazione di patch e al loro blocco.
L’analisi delle violazioni ha rilevato anche come il 13% di tutte le violazioni delle app Web nel 2017 e il primo trimestre 2018 sia legato all’accesso. In particolare, al furto delle credenziali tramite email (34,29%), all’errata
configurazione del controllo degli accessi (22,86%), agli attacchi brute force per crackare le password (5,71%), al credential stuffing per sottrarre le password (8,57%) e al furto tramite tecniche di social engineering (2,76%). Questo dato non stupisce se consideriamo, come evidenziano di dati di Ponemon Institute, che il 75% degli intervistati utilizzava solo nome utente e password per l’autenticazione dell’applicazione anche se si trattava di applicazioni Web critiche. In realtà, per qualsiasi tipologia di applicazione bisognerebbe prendere in considerazione soluzioni di autenticazione forti come l’identità federata o il multi-fattore.
Come proteggere le proprie applicazioni oggi
Alla luce dei risultati del report vorrei proporre 4 spunti di riflessione, consigli che potrebbero sembrare banali ma sono indispensabili come punto di partenza per una sicurezza applicativa concreta e valida.
Il primo riguarda la “Comprensione dell’ambiente”: sapere quali applicazioni si possiedono e a quali repository di dati hanno accesso non è semplice ma è indispensabile. La conoscenza è potere, è necessario sapere quali sono le app di cui la propria organizzazione ha bisogno e quelle da cui i propri clienti dipendono. Per quelle di propria proprietà si deve poter eseguire regolarmente la scansione e l’inventario, per le applicazioni esterne da cui dipendono gli utenti, invece, ci può scegliere di affidarsi un cloud access security broker (CASB) per tenerle sotto controllo e monitorarne l’utilizzo. Proteggere le app interne, comporta anche riuscire ad instaurare una buona comunicazione con i propri sviluppatori così da avere sotto controllo le applicazioni, i piani futuri che le riguardano e gli ambienti di sviluppo.
Al secondo posto, ma a parimerito per importanza, metterei la necessità di ridurre la superficie di attacco perché qualsiasi aspetto di un servizio applicativo visibile su Internet, direttamente o indirettamente, sarà analizzato dagli hacker alla ricerca di possibili vulnerabilità da sfruttare. Oggi abbiamo a che fare con superfici sempre più ampie, a causa dei livelli multipli di un’app e l’utilizzo sempre crescente delle API (Application Programming Interface) per la condivisione dei dati con terze parti.
Tutto quello che viene esposto tramite Internet deve essere controllato dal punto di vista dell’accesso, deve essere aggiornato e rinforzato in vista di possibili attacchi. Un buon firewall per applicazioni web (WAF), che per altro è il primo strumento indicato dagli intervistati nel nostro Application Protection Report, può fare guadagnare il tempo necessario per fare tutto questo, eseguendo ad esempio “patch virtuali” analizzando il traffico delle applicazioni e bloccando gli attacchi di exploit noti.
Il terzo passaggio è quello di assegnare la priorità alle difese in base al rischio. Una volta stabilito quali applicazioni sono importanti e aver ridotto al minimo la superficie di attacco, si deve identificare le applicazioni che richiedono risorse aggiuntive. Anche un’analisi del rischio non perfetta è comunque migliore di ipotesi casuali o di un processo decisionale distorto. I dati hanno il potere di guidare la strategia di rischio e aiutarci a capire cosa potrebbe interessare chi ci attaccherà.
La scelta della tecnologia, con l’adozione di strumenti di difesa flessibili e integrati, resta, infine, fondamentale per il rilevamento e ripristino da minacce esistenti ed
emergenti. La protezione deve estendersi a tutti i livelli da cui dipende un’applicazione. A ogni applicazione deve essere fornito il proprio perimetro di protezione, che la abbracci integralmente con la protezione dal DDoS e la definizione di policy private di sicurezza applicativa.
In questo contesto la formazione deve essere continua perché oltre ad essere coerenti, le soluzioni di sicurezza dovrebbero essere ben comprese da chi si occupa di sicurezza in aziende; spesso purtroppo le violazioni si verificano nonostante vi siano delle soluzioni implementate, semplicemente a causa di un malinteso o di una errata configurazione di un prodotto. I dati della ricerca confermano che la mancanza di personale qualificato o esperto è la principale barriera principale per la sicurezza applicativa, in uno scenario che purtroppo è non può che peggiorare se consideriamo che già oggi un’organizzazione utilizza in media 765 diverse applicazioni Web e l’outsourcing della sicurezza delle applicazioni è destinato a crescere, sia che si tratti di funzioni di sicurezza come anti-DDoS o monitoraggio della sicurezza delle applicazioni Web oppure del passaggio a piattaforme hosted che forniscono servizi di sicurezza come parte della loro offerta.
In sintesi, credo che dalle nostre ricerche emerga la sempre maggiore urgenza di proteggere tutte le applicazioni, come veicolo fondamentale di accesso al patrimonio delle aziende.
Proteggere le applicazioni ovunque si trovino significa, infatti, in sostanza, protegge la propria identità e riuscire ad adattarsi rapidamente a un ambiente digitale in continua trasformazione
Per ottenere un punto di vista oggettivo su come le applicazioni vengono attaccate, tramite i nostri F5 Labs, i laboratori di analisi e ricerca di F5 Networks, abbiamo esaminato i dati provenienti da una varietà di fonti, inclusi i set di dati interni, le vulnerabilità di WhiteHat Security, i dati di attacco di Loryka e un’indagine sulla sicurezza che abbiamo commissionato all’istituto di ricerca Ponemon dando vita all’edizione 2018 del Application Protection Report.
Secondo i dati raccolti su 301 violazioni segnalate nel corso del 2017 e nel primo trimestre del 2018 le violazioni nel 30% dei casi hanno riguardato le applicazioni Web. Ulteriori ricerche degli F5 Labs che hanno presso in esame 433 casi di violazioni di alto profilo avvenute nell’arco di 12 anni e in 26 paesi hanno rilevato che le applicazioni rappresentavano gli obiettivi iniziali dell’attacco in oltre la metà delle violazioni registrate (53%).
Quando le app vengono attaccate le ripercussioni possono essere gravi e molto diverse tra loro: tra quelle che preoccupano maggiormente gli intervistati troviamo il denial of service per l’impatto forte e immediato sull’organizzazione, indicato dall’81% degli intervistati e seguito dalle violazioni che compromettono informazioni riservate o sensibili (come la proprietà intellettuale o i segreti commerciali), con il 77% degli intervistati.
