Questi sei miti mettono in pericolo la sicurezza delle applicazioni
Niente è più importante della sicurezza delle applicazioni business-critical. In caso di danni, i dati finiscono in mani non autorizzate, la reputazione ne risente e i clienti delusi passano alla concorrenza. Tuttavia, i manager e i responsabili IT non adottano le misure di sicurezza necessarie.
La situazione delle minacce nel settore IT sta diventando sempre più grave e complessa. Se si verifica un attacco, le aziende di solito prevengono danni maggiori con le misure di protezione esistenti. Tuttavia, il modo in cui possono aumentare significativamente la sicurezza delle loro applicazioni è spiegato sulla base dei seguenti sei miti.
Mito 1: i criminali informatici attaccano l'infrastruttura, le applicazioni non sono quasi al centro dell'attenzione.
Questo mito è purtroppo un'idea sbagliata molto diffusa. Indagini hanno dimostrato che più della metà degli attacchi avviene attraverso il livello applicativo. Tuttavia, il settimo livello OSI, quello delle applicazioni, non è affatto protetto dai firewall classici. Si consiglia di proteggere le applicazioni aziendali critiche con un firewall applicativo che controlli l'ingresso, l'uscita e l'accesso ai servizi esterni e, se necessario, li blocchi se non sono conformi ai criteri configurati nel firewall applicativo.
La sicurezza delle applicazioni, tuttavia, inizia con lo sviluppo del software. I programmatori di applicazioni dovrebbero seguire le best practice e smettere di utilizzare codice insicuro e costrutti di programmazione vulnerabili per evitare che le vulnerabilità si presentino in primo luogo. Nell'intero ciclo di vita dell'applicazione, anche la gestione tempestiva delle patch svolge un ruolo molto importante (cfr. Mito 5).
Mito 2: i test di penetrazione sono sufficienti, l'applicazione è sicura
La maggior parte degli specialisti IT ritiene che un test di penetrazione completato con successo garantisca quasi la sicurezza di un'applicazione. Questo è vero per le applicazioni semplici, ma non per quelle complesse che contengono molta logica di business e di processo. Le applicazioni complesse con molte parti interessate non possono essere testate completamente con i test di penetrazione. I processi di sviluppo, approvvigionamento o rilascio che coinvolgono diverse unità aziendali dovrebbero quindi essere sottoposti a misure di sicurezza aggiuntive. NTT Security consiglia di utilizzare modelli di maturità del software come OpenSAMM, che aiutano le aziende a definire una strategia di sicurezza per le applicazioni business-critical adatta al loro modello di business.
Le applicazioni sviluppate in proprio richiedono un'attenzione particolare. Un esempio: Oltre il 70% delle funzionalità SAP sono programmate dai clienti stessi. Tuttavia, il produttore non fornisce una garanzia di sicurezza per gli sviluppi interni. Le misure di sicurezza stabilite con l'aiuto di modelli di maturità come OpenSAMM sono quindi particolarmente importanti per il software interno di cui il cliente è responsabile.
Mito 3: Gli strumenti di sicurezza fanno il loro lavoro, quindi i cyber-attaccanti non hanno alcuna possibilità.
Molte aziende si affidano troppo ai loro strumenti di sicurezza, ad esempio il patching o la gestione della configurazione. Gli strumenti sono importanti, ma sono solo metà della battaglia. Oggi nell'IT tutto è collegato in rete con tutto il resto. Ma le singole unità aziendali parlano troppo poco tra loro. Gli esperti di sicurezza che prestano attenzione a una strategia di sicurezza olistica dovrebbero essere presenti a ogni nuova implementazione e a ogni decisione importante. Altrimenti, ogni reparto utilizzerà i propri strumenti in modo non coordinato e alla fine ci saranno molte facce deluse in caso di incidente di sicurezza.
Mito 4: Ogni dipendente è responsabile della propria sicurezza
Il punto debole più pericoloso delle aziende sono i loro stessi dipendenti, sottolineano gli esperti di sicurezza. È quindi importante creare una consapevolezza dei rischi tra i dipendenti attraverso una formazione regolare e informarli sugli attuali vettori di attacco. La formazione non esclude la possibilità che i criminali informatici accedano a dati sensibili attraverso tecniche di social engineering, come le e-mail di phishing personalizzate, ma aumenta la consapevolezza e riduce il rischio. È importante pensare due volte a ogni clic su un allegato di posta elettronica e usare il buon senso.
Mito 5: L'applicazione delle patch di sicurezza richiede ore e i sistemi sono inutilizzabili.
In media, le applicazioni vulnerabili e senza patch rimangono online per diverse centinaia di giorni, anche se le vulnerabilità sono note e i criminali informatici potrebbero sferrare un attacco in qualsiasi momento. La più grande falla di sicurezza per le applicazioni è rappresentata dalle librerie non patchate, secondo l'associazione Rapporto statistico sulla sicurezza delle applicazioni 2018 (Vol. 13) da WhiteHat, una filiale di NTT Security. Il motivo di questo comportamento negligente è l'idea errata diffusa in molte aziende che i sistemi informatici si guastino e non possano essere utilizzati quando vengono applicate le patch di sicurezza: I clienti potrebbero non essere in grado di accedere ai sistemi di ordinazione, i dipendenti si girano i pollici e l'azienda perde di conseguenza fatturato.
Questo presupposto è sbagliato. Oggi le patch di sicurezza possono essere applicate durante il funzionamento o richiedono solo un arresto di breve durata dei singoli componenti. Un'altra alternativa è quella di utilizzare la finestra di manutenzione notturna per le patch.
Mito 6: Una volta che siete stati hackerati, non potete più fare nulla.
Più facile a dirsi che a farsi: in caso di attacco, le aziende dovrebbero comunque mantenere la calma e non causare ulteriori danni con reazioni sconsiderate e impulsive. Ci sono aziende che hanno staccato la spina dopo un attacco, distruggendo così i controller del disco rigido. Per gli esperti forensi non era più possibile ricostruire l'attacco e identificare i vettori di attacco a posteriori. L'obiettivo dovrebbe essere quello di raccogliere il maggior numero possibile di prove e dati e di richiedere l'aiuto di esperti di sicurezza professionali il più rapidamente possibile.
Conclusione: la sicurezza dipende da molti fattori
Un singolo test di penetrazione completato con successo non è sufficiente a garantire la sicurezza dell'applicazione. Si tratta di un'idea sbagliata e negligente. Per quanto ne so, non esiste test di penetrazione che non mostri una o due vulnerabilità critiche. Si raccomanda pertanto di orientarsi ai modelli di maturità sul tema della sicurezza delle applicazioni, come OpenSAMM. Spesso le patch di sicurezza non vengono applicate perché in questo modo i sistemi presumibilmente critici per l'azienda, come la produzione o le vendite, sono fuori uso per un certo periodo di tempo. Le aziende si assumono così un rischio incalcolabilmente elevato. Tuttavia, le patch possono essere applicate anche durante il funzionamento. Molti dei nostri clienti lo fanno per evitare i tempi di inattività e funziona molto bene.
Autore:
René Bader è Lead Consultant Secure Business Applications EMEA di Sicurezza NTT.
