Home Articoli tecnici DBIR 2021: Tre vulnerabilità critiche delle applicazioni Web da affrontare ora
Download
Applications

DBIR 2021: Tre vulnerabilità critiche delle applicazioni Web da affrontare ora

About The Author

Outline

Questo è il secondo della nostra serie di sicurezza in due parti. Per leggere il primo blog, fate clic qui.

Il rapporto DBIR (Data Breach Investigations Report) di Verizon 2021 analizza più di 70.000 incidenti di violazione dei dati in 88 paesi. Utilizza l’analisi aggregata per informare i team sui rischi per la sicurezza che non sono solo “possibili, ma probabili”. Questo rapporto è uno standard di riferimento che ogni team di sicurezza può utilizzare per confrontare le pratiche operative, assegnare priorità alle azioni e, soprattutto, concentrare risorse limitate dove sono più importanti, evitando le perdite associate al downtime e a una violazione dei dati.

In questo blog, forniamo una panoramica sintetica dei risultati del DBIR relativi alla varietà di asset più diffusa e mirata alle violazioni (l’applicazione web/il server), il principale vettore di incidenti (attacchi DDoS), e il secondo modello di violazione (attacchi di base alle applicazioni web) e include consigli e best practice per affrontare questi rischi.

Insight 1: Vulnerabilità senza patch

Le attività di violazione registrate nel DBIR erano attacchi “di base” contro le applicazioni web, definiti come aventi un piccolo numero di passaggi o azioni aggiuntive dopo il compromesso iniziale ‍Most. Questi attacchi si concentrano su obiettivi diretti, che vanno dall’accesso ai dati delle applicazioni web e di posta elettronica al riutilizzo delle app web per la distribuzione di malware, il defacement o futuri attacchi DDoS.

Sono stati registrati 4.862 attacchi di base alle applicazioni web, quasi tutti provenienti da soggetti esterni. Di questi, 1.384 hanno riscontrato rivelazioni di dati confermati, con il vantaggio finanziario che è stato il motivo principale dell’attacco il 89% delle volte. Le credenziali sono state compromesse il 80% delle volte, mentre le informazioni personali sono state acquisite il 53% delle volte.

Quali principi di base sulla sicurezza dovete implementare per proteggere la vostra organizzazione dagli attacchi alle applicazioni web? I dati riportati sopra suggeriscono che la correzione delle vulnerabilità è un ottimo punto di partenza per la maggior parte delle organizzazioni, in particolare quelle che continuano a essere prive di patch per molto tempo. Ricordate che ogni giorno una vulnerabilità non viene sottoposta a patch, un utente malintenzionato può eseguire un hack esplorativo delle applicazioni nella speranza di trovare oro. Esaminiamo questi due problemi un po’ di più.

‍Insight 2: Vulnerabilità nelle app legacy

La missione dei cybercriminali è di infiltrarsi nella vostra azienda ‍The. E vogliono farlo il più velocemente, silenziosamente ed a basso costo possibile.

Il DBIR conferma che gli attacchi alle vulnerabilità più vecchie (di quattro o più anni) sono più comuni degli attacchi alle vulnerabilità più recenti. Gli utenti malintenzionati continuano a sfruttare queste vecchie vulnerabilità perché sono spesso gli stack che i team di sicurezza IT ignorano. Inoltre, sono facili da ricercare, da trovare sfruttamenti e relativamente economici da montare.

Anche gli stack meno recenti presentano più vulnerabilità. Inoltre, nella comunità dei cybercriminali esiste una conoscenza più diffusa su quali strumenti utilizzare per attaccare questi stack tecnologici più vecchi senza essere rilevati.

Questo problema esiste da anni e continuerà a rappresentare una sfida per un bel po’ di tempo fino a quando non ci saranno miglioramenti significativi nello sviluppo sicuro delle applicazioni e nelle funzionalità di gestione delle patch.

Inoltre, sfruttando le vecchie vulnerabilità ben note, i cybercriminali non devono estrarre (e rischiare di esporre) i loro strumenti più preziosi. Possono indirizzare le app meno recenti utilizzando strumenti meno recenti e avere ancora molta superficie con cui lavorare, a un costo molto inferiore.

‍Insight 3: DDoS vulnerabilities‍

Il DDoS (Distributed Denial-of-Service) è aumentato notevolmente dal 2018, diventando il problema di sicurezza numero uno nel 2020. Tecnicamente, il DBIR classifica gli attacchi DDoS come uno schema di incidente (non una violazione). Indipendentemente da come viene classificato, un DDoS può interrompere gravemente la disponibilità, la terza parte della triade riservatezza, integrità e disponibilità.

Così come i criminali informatici stanno violando i sistemi per vedere cosa possono estrarre, utilizzano botnet DDoS economiche e prontamente disponibili per scoprire sistemi vulnerabili che possono essere portati offline come parte di campagne di riscatto o di interruzione. Il DBIR conferma anche alcune buone notizie: DDoS è “una delle tendenze infosec che possono essere affrontate”. Purtroppo, troppe organizzazioni possono presumere di disporre di protezioni adeguate, fino a quando un attacco DDoS non rivela punti di errore a scapito del downtime aziendale.

Sebbene i servizi di mitigazione degli attacchi DDoS siano ampiamente disponibili e possano essere implementati nella vostra infrastruttura di rete e applicazioni, con questi attacchi in aumento, è giunto il momento di esaminare l’ambito della vostra protezione dagli attacchi DDoS. Ti suggeriamo di valutare come viene attivata la protezione e l’impatto sulle tue operazioni se l’attacco ha esito positivo nei livelli 3, 4 e 7.

Il costo dell’inazione

Ora che abbiamo discusso alcuni risultati chiave del DBIR, esaminiamo una minaccia alla sicurezza non trattata nel rapporto: Inazione. Una sfida comune nella riduzione della superficie di attacco delle applicazioni è che le applicazioni web sono in movimento costante. Molti si stanno evolvendo, aggiungendo nuove funzionalità e passando al cloud. L’implementazione delle correzioni di sicurezza continua a affliggere le pipeline delle applicazioni, costringendo i compromessi tra gli interessi aziendali, tecnici e di sicurezza. La rimozione delle vecchie vulnerabilità, in particolare delle applicazioni legacy, deve affrontare la sfida opposta: Attirare l’attenzione degli sviluppatori e della gestione dei progetti sulle applicazioni Web ancora in uso ma non ricevere più l’attenzione/gli investimenti aziendali. In entrambi gli scenari, gli utenti malintenzionati si affidano a questi errori di gestione e all’inazione per individuare e sfruttare le vulnerabilità.

Mentre create e rafforzate i vostri processi per gestire i rischi, le CDN e i Web Application Firewall rappresentano un metodo collaudato per identificare e bloccare il traffico dannoso in agguato alla periferia di Internet. Questi includono attacchi DDoS e sonde automatizzate che individuano e registrano a livello di programmazione le vulnerabilità nei servizi Web senza richiedere ingenti dosi di investimenti da parte degli sviluppatori e di gestione dei progetti.

Le nostre funzionalità di firewall per applicazioni web di nuova generazione e di protezione dagli attacchi DDoS, integrate nell’edge della nostra rete, offrono una soluzione semplice e scalabile che affronta i rischi delle applicazioni web segnalati dal DBIR 2021. Ad esempio, nel quarto trimestre del 2020, abbiamo mitigato 1,5 miliardi di richieste. “Definiamo “mitigate” qualsiasi evento WAF che attiva un blocco, una risposta personalizzata o un reindirizzamento URL.” Si tratta delle stesse attività nefaste segnalate dal DBIR, delle vulnerabilità legacy note e degli incidenti DDoS che causano la maggior parte degli attacchi alle applicazioni web.

Iniziate con le nozioni di base

‍The DBIR rivela punti ciechi che possono verificarsi a causa di “rumore” quando si verifica una grave violazione. Come dicono gli autori del DBIR, “la prossima volta che vi trovate di fronte a una violazione che cambia paradigma che mette in discussione la norma di ciò che è più probabile che accada, non ascoltate gli ornitologi sul sito web Bluebird che gridano ad alta voce che “non possiamo applicare patch, gestire o controllare l’accesso alla nostra via d’uscita da questa minaccia”.

“Infatti, “facendo le basi”, puoi fermare la stragrande maggioranza degli attacchi che hanno più probabilità di influenzare la tua organizzazione.”

Mettetevi in contatto con noi per scoprire in che modo CDN e WAF possono mitigare le vulnerabilità delle vostre applicazioni Web come parte di una soluzione di sicurezza completa.