Questa è la seconda parte della nostra serie di sicurezza in due parti. Per leggere il primo blog, fare clic qui.
Il rapporto Verizon 2021 Data Breach Investigations Report (DBIR) analizza più di 70.000 casi di violazione dei dati provenienti da 88 paesi. Utilizza l’analisi aggregata per informare i team sui rischi per la sicurezza che non sono solo “possibili, ma probabili”. Questo rapporto è uno standard di riferimento che ogni team di sicurezza può utilizzare per confrontare le pratiche operative, assegnare priorità alle azioni e, soprattutto, concentrare risorse limitate dove sono più importanti, evitando perdite associate a downtime e violazioni dei dati.
In questo blog, forniamo una panoramica riassuntiva dei risultati del DBIR relativi alla varietà di risorse leader individuate nelle violazioni (applicazioni web/server), al vettore principale negli incidenti (attacchi DDoS) e al secondo modello di violazione (attacchi alle applicazioni web di base) e includiamo raccomandazioni e BEST practice per affrontare questi rischi.
Insight 1: Vulnerabilità senza patch
Le attività di violazione registrate nel DBIR erano attacchi “di base” contro le applicazioni web, definiti come Most con un piccolo numero di passaggi o azioni aggiuntive dopo il compromesso iniziale. Questi attacchi si concentrano su obiettivi diretti, che vanno dall’accesso a e-mail e dati delle applicazioni web al riutilizzo delle applicazioni web per la distribuzione di malware, il defacement o futuri attacchi DDoS.
Sono stati registrati 4.862 attacchi alle applicazioni web di base, quasi tutti provenienti da operatori di minacce esterne. Di questi, 1.384 hanno registrato dati confermati, con un guadagno finanziario che è stato il motivo principale dell’attacco il 89% delle volte. Le credenziali sono state compromesse il 80% delle volte, mentre le informazioni personali sono state acquisite il 53% delle volte.
Quali principi di sicurezza dovreste implementare per proteggere la vostra organizzazione dagli attacchi alle applicazioni web? I dati sopra riportati suggeriscono che l’applicazione di patch alle vulnerabilità è un ottimo punto di partenza per la maggior parte delle organizzazioni, specialmente quelle che continuano a non disporre di patch per molto tempo. Ricordate che ogni giorno una vulnerabilità viene rimossa, un utente malintenzionato può eseguire un hack esplorativo delle vostre applicazioni nella speranza di trovare oro. Esaminiamo questi due problemi un po’ di più.
Insight 2: Vulnerabilità nelle applicazioni legacy
La missione dei cybercriminali è infiltrarsi nella The azienda. E vogliono farlo nel modo più rapido, silenzioso ed economico possibile.
Il DBIR conferma che gli attacchi alle vulnerabilità meno recenti (di quattro o più anni) sono più comuni rispetto agli attacchi alle vulnerabilità più recenti. I malintenzionati continuano a sfruttare queste vecchie vulnerabilità perché spesso sono gli stack ignorati dai team di sicurezza IT. Sono anche facili da ricercare, trovare exploit per e relativamente poco costosi da montare.
Anche gli stack meno recenti presentano maggiori vulnerabilità. Inoltre, all’interno della comunità dei criminali informatici è più diffusa la conoscenza degli strumenti da utilizzare per attaccare questi stack tecnologici obsoleti rimanendo inosservati.
Questo problema esiste da anni e continuerà a rappresentare una sfida per un bel po’ di tempo fino a quando non si verificheranno miglioramenti significativi nello sviluppo sicuro delle applicazioni e nelle funzionalità di gestione delle patch.
Inoltre, sfruttando le più note vulnerabilità più vecchie, i criminali informatici non devono estrarre (e rischiare di esporre) i loro strumenti più preziosi. Possono utilizzare le applicazioni meno recenti utilizzando strumenti meno recenti e avere comunque un’ampia superficie con cui lavorare, a un costo molto inferiore.
Insight 3: DDoS vulnerabilities
Gli attacchi DDoS (Distributed Denial-of-Service) sono aumentati notevolmente dal 2018, diventando il problema di sicurezza numero uno nel 2020. Tecnicamente, il DBIR classifica gli attacchi DDoS come uno schema di incidenti (non una violazione). Indipendentemente da come è classificato, un DDoS può interrompere gravemente la disponibilità – la terza parte della terna riservatezza, integrità e disponibilità.
Proprio come i cybercriminali stanno violando i sistemi per vedere cosa possono estrarre, stanno utilizzando botnet DDoS economiche e prontamente disponibili per scoprire i sistemi vulnerabili che possono essere portati offline come parte di campagne di riscatto o interruzione. Il DBIR conferma anche alcune buone notizie: Il DDoS è “una delle tendenze infosec che possono essere affrontate”. Sfortunatamente, troppe organizzazioni potrebbero presumere di avere protezioni adeguate, fino a quando un attacco DDoS non rivela punti di errore a costo del downtime aziendale.
Sebbene i servizi di mitigazione degli attacchi DDoS siano ampiamente disponibili e possano essere implementati nella vostra infrastruttura di rete e di applicazioni, con questi attacchi in aumento, è giunto il momento di esaminare l’ambito della vostra protezione dagli attacchi DDoS. Si consiglia di valutare in che modo viene attivata la protezione e l’impatto sulle operazioni se l’attacco riesce nei livelli 3, 4 e 7.
Il costo dell’inazione
Ora che abbiamo discusso alcuni risultati chiave del DBIR riesaminiamo una minaccia per la sicurezza non coperta nel rapporto: L’inazione. Una delle sfide più comuni per ridurre la superficie di attacco delle applicazioni consiste nel fatto che le applicazioni Web sono in movimento costante. Molti si stanno evolvendo, aggiungendo nuove funzionalità e passando al cloud. L’implementazione di correzioni di sicurezza continua a affliggere le pipeline delle applicazioni, forzando compromessi tra interessi aziendali, tecnici e di sicurezza. La rimozione delle vecchie vulnerabilità, in particolare le applicazioni legacy, deve affrontare la sfida opposta: Attirare l’attenzione degli sviluppatori e della gestione dei progetti sulle applicazioni Web ancora in uso ma non più focalizzate sull’attività o sugli investimenti. In entrambi gli scenari, gli utenti malintenzionati contano su questi insuccessi di gestione e inattività per individuare e sfruttare le vulnerabilità.
Mentre create e rafforzate i vostri processi per gestire i rischi, le CDN e i firewall delle applicazioni web sono un metodo collaudato per identificare e bloccare il traffico dannoso nascosto sull’edge di Internet. Questi includono attacchi DDoS e sonde automatizzate che individuano e registrano a livello di programmazione le vulnerabilità nei vostri servizi web senza richiedere ingenti investimenti per sviluppatori e gestione dei progetti.
Le nostre funzionalità di protezione dagli attacchi DDoS e Web Application Firewall di nuova generazione, integrate nella nostra rete edge, offrono una soluzione semplice e scalabile in grado di affrontare i rischi delle applicazioni web segnalati dal DBIR 2021. Ad esempio, nel quarto trimestre del 2020, abbiamo mitigato 1,5 miliardi di richieste. “Per “mitigazione” si intende qualsiasi evento WAF che attiva un blocco, una risposta personalizzata o un reindirizzamento URL.” Si tratta delle stesse attività nefaste segnalate dal DBIR, delle vulnerabilità legacy note e degli incidenti DDoS che causano la maggior parte degli attacchi alle applicazioni web.
Iniziate dalle nozioni di base
The DBIR rivela punti ciechi che possono verificarsi a causa del “rumore” quando si verifica una grave violazione. Come dicono gli autori della DBIR, “la prossima volta che ti troverai di fronte a una violazione che cambia paradigma che mette in discussione la norma di ciò che è più probabile che accada, non ascoltare gli ornitologi sul sito web Bluebird che strizzano a voce alta che “non possiamo applicare, gestire o controllare l’accesso alla nostra via d’uscita da questa minaccia”.
“Infatti, “facendo le basi”, puoi fermare la stragrande maggioranza degli attacchi che hanno maggiori probabilità di colpire la tua organizzazione.”
Mettetevi in contatto con noi per scoprire in che modo la nostra CDN e WAF possono mitigare le vulnerabilità delle vostre applicazioni Web come parte di una soluzione di sicurezza completa.
