La scorsa settimana abbiamo pubblicato il nostro ultimo rapporto trimestrale sulle tendenze degli attacchi e quale sarebbe un buon rapporto senza un post sul blog di accompagnamento? Ci prenderemo un po’ di tempo in questo post per ispezionare questo sguardo grezzo e approfondito nel panorama di cybersicurezza in continua evoluzione di Internet noto come “Rapporto trimestrale sulle tendenze degli attacchi di Edgio”. Il rapporto svela una miriade di punti di dati, dai metodi di richiesta e dai tipi MIME alle tendenze di geolocalizzazione e tutto ciò che vi è in mezzo. Tutto ciò fornisce un quadro vivido delle minacce emergenti rivolte ai siti Web e alle applicazioni moderne.
Saltando subito, due punti dati chiave che hanno attirato la mia attenzione: Metodi di richiesta e tipi di richiesta MIME. A prima vista, scoprire che oltre il 98% delle richieste RICEVE e PUBBLICA non sorprende. Benvenuto su Internet, giusto? “Non notevole”, si potrebbe dire, ma queste funzioni apparentemente pedonali forniscono preziose conoscenze su un’applicazione, su come viene utilizzata o attaccata e su dove potrebbe essere vulnerabile. Inoltre, è necessario chiedersi: Quali tipi di metodi di richiesta richiede l’applicazione per funzionare? È necessario consentire ad altri di raggiungere la propria applicazione o ridurre l’opportunità di esposizione bloccando tali azioni molto prima ancora che raggiungano il server di origine?
Passando ai tipi MIME, il 76% dei blocchi era legato ai tipi MIME applicazione/json. Questa visione non è solo una statistica, ma una narrazione sul cambiamento nell’architettura delle applicazioni moderna e sulla natura in evoluzione delle minacce che colpiscono queste architetture. Mostra chiaramente che le tue API sono altamente mirate dagli attori delle minacce ed evidenzia la necessità di proteggere le API, sia note che “shadow” o “zombie”, che il tuo team di sicurezza potrebbe non aver ancora scoperto.
In questo report abbiamo suddiviso le protezioni in tre strategie principali: Regole di controllo degli accessi, set di regole gestiti e firme personalizzate. Dei tre, vale la pena notare che il 45% dei blocchi erano regole di controllo degli accessi. Per approfondire le fondamenta di una difesa efficace, si tratta di tattiche di base, ma estremamente efficaci, come impedire l’accesso a fonti malfunzionanti note (indirizzi IP inseriti nella lista nera, agenti utente e paesi). Bloccate questi elementi molto prima che si avvicinino alle applicazioni, all’infrastruttura e ai dati per ottenere vantaggi immediati, non solo dal punto di vista della sicurezza, ma anche dal punto di vista dei costi. Mitigare le richieste errate all’edge della rete con un WAF (Web Application Firewall) consente di risparmiare sia la larghezza di banda che i cicli di elaborazione.
La relazione ricorda inoltre che gli aggressori sono costantemente alla ricerca di modi per aggirare queste difese. Anche se le regole di controllo degli accessi potrebbero essere rigide, non possiamo dipendere esclusivamente da loro. Prendiamo ad esempio le tattiche di geofencing. I primi cinque paesi da cui provengono richieste dannose includevano Stati Uniti, Francia, Germania, Russia e Cecenia, con la Cina in particolare assente. Dovremmo aspettarci che la Cina sia in cima a tale elenco come altri importanti paesi connessi a Internet. Tuttavia, queste informazioni mettono in discussione l’eccessiva dipendenza dal geofencing e sottolineano la necessità di un approccio più stratificato alle misure di conformità e sicurezza. Sappiamo che gli autori degli attacchi spesso compromettono server, VPC e dispositivi IoT per sfruttarli nella stessa regione in cui si trovano i loro obiettivi finali. Comprendere le esigenze aziendali e i requisiti normativi (ad esempio non vendere a paesi soggetti a embargo) quando si utilizza la tattica del geofencing. Non è che questa tattica debba essere gettata via, ma piuttosto non eccessivamente affidata.
Una minaccia molto specifica e notevole che è aumentata nel quarto trimestre è stata costituita dagli attacchi Path/Directory Traversal. Immaginate la vostra applicazione come una fortezza. Ora, pensate agli attacchi Path Traversal come astuti invasori che sfruttano la più piccola supervisione nell’architettura della fortezza per infiltrarsi nel vostro dominio tramite cartelle sovraautorizzate sul vostro server Web. Questi attacchi non servono solo a bussare alla porta, ma anche a trovare un passaggio nascosto che conduce direttamente al cuore del tuo impero. Le conseguenze? Accesso non autorizzato, perdita di informazioni personali identificabili (PII) e potenzialmente consegna delle chiavi al tuo regno attraverso l’esecuzione di codice in modalità remota. Il significato qui non può essere sopravvalutato, in quanto queste intrusioni minacciano i pilastri stessi della riservatezza, dell’integrità e della disponibilità dei dati su cui si basa il nostro mondo digitale.
In breve, il rapporto trimestrale sulle tendenze degli attacchi non è solo una raccolta di dati, ma una narrazione che evidenzia la battaglia in corso nel mondo digitale. Serve a ricordare che la comprensione e l’adattamento alle complessità dell’architettura delle applicazioni sono fondamentali non solo per sopravvivere, ma anche per prosperare in questo panorama. Adottando una strategia che include difese a più livelli, sfruttando l’intelligence sulle minacce e personalizzando le soluzioni in base alle esigenze specifiche della vostra applicazione, potete costruire una fortezza che resista alle minacce in continua evoluzione del mondo informatico. Una sicurezza efficace non significa solo mettere in atto strumenti, ma anche comprendere il funzionamento della vostra azienda e utilizzare tali conoscenze per informare i vostri controlli di sicurezza.
Ancora una cosa: Questa relazione è solo la punta dell’iceberg. Il team Edgio sta lavorando instancabilmente per aggiungere più punti dati ai rapporti futuri. Tieni d’occhio il nostro rapporto Q1 2024. Sono sicuro che non sarai deluso.
Saltando subito, due punti dati chiave che hanno attirato la mia attenzione: Metodi di richiesta e tipi di richiesta MIME. A prima vista, scoprire che oltre il 98% delle richieste RICEVE e PUBBLICA non sorprende. Benvenuto su Internet, giusto? “Non notevole”, si potrebbe dire, ma queste funzioni apparentemente pedonali forniscono preziose conoscenze su un’applicazione, su come viene utilizzata o attaccata e su dove potrebbe essere vulnerabile. Inoltre, è necessario chiedersi: Quali tipi di metodi di richiesta richiede l’applicazione per funzionare? È necessario consentire ad altri di raggiungere la propria applicazione o ridurre l’opportunità di esposizione bloccando tali azioni molto prima ancora che raggiungano il server di origine?
Passando ai tipi MIME, il 76% dei blocchi era legato ai tipi MIME applicazione/json. Questa visione non è solo una statistica, ma una narrazione sul cambiamento nell’architettura delle applicazioni moderna e sulla natura in evoluzione delle minacce che colpiscono queste architetture. Mostra chiaramente che le tue API sono altamente mirate dagli attori delle minacce ed evidenzia la necessità di proteggere le API, sia note che “shadow” o “zombie”, che il tuo team di sicurezza potrebbe non aver ancora scoperto.
In questo report abbiamo suddiviso le protezioni in tre strategie principali: Regole di controllo degli accessi, set di regole gestiti e firme personalizzate. Dei tre, vale la pena notare che il 45% dei blocchi erano regole di controllo degli accessi. Per approfondire le fondamenta di una difesa efficace, si tratta di tattiche di base, ma estremamente efficaci, come impedire l’accesso a fonti malfunzionanti note (indirizzi IP inseriti nella lista nera, agenti utente e paesi). Bloccate questi elementi molto prima che si avvicinino alle applicazioni, all’infrastruttura e ai dati per ottenere vantaggi immediati, non solo dal punto di vista della sicurezza, ma anche dal punto di vista dei costi. Mitigare le richieste errate all’edge della rete con un WAF (Web Application Firewall) consente di risparmiare sia la larghezza di banda che i cicli di elaborazione.
La relazione ricorda inoltre che gli aggressori sono costantemente alla ricerca di modi per aggirare queste difese. Anche se le regole di controllo degli accessi potrebbero essere rigide, non possiamo dipendere esclusivamente da loro. Prendiamo ad esempio le tattiche di geofencing. I primi cinque paesi da cui provengono richieste dannose includevano Stati Uniti, Francia, Germania, Russia e Cecenia, con la Cina in particolare assente. Dovremmo aspettarci che la Cina sia in cima a tale elenco come altri importanti paesi connessi a Internet. Tuttavia, queste informazioni mettono in discussione l’eccessiva dipendenza dal geofencing e sottolineano la necessità di un approccio più stratificato alle misure di conformità e sicurezza. Sappiamo che gli autori degli attacchi spesso compromettono server, VPC e dispositivi IoT per sfruttarli nella stessa regione in cui si trovano i loro obiettivi finali. Comprendere le esigenze aziendali e i requisiti normativi (ad esempio non vendere a paesi soggetti a embargo) quando si utilizza la tattica del geofencing. Non è che questa tattica debba essere gettata via, ma piuttosto non eccessivamente affidata.
Una minaccia molto specifica e notevole che è aumentata nel quarto trimestre è stata costituita dagli attacchi Path/Directory Traversal. Immaginate la vostra applicazione come una fortezza. Ora, pensate agli attacchi Path Traversal come astuti invasori che sfruttano la più piccola supervisione nell’architettura della fortezza per infiltrarsi nel vostro dominio tramite cartelle sovraautorizzate sul vostro server Web. Questi attacchi non servono solo a bussare alla porta, ma anche a trovare un passaggio nascosto che conduce direttamente al cuore del tuo impero. Le conseguenze? Accesso non autorizzato, perdita di informazioni personali identificabili (PII) e potenzialmente consegna delle chiavi al tuo regno attraverso l’esecuzione di codice in modalità remota. Il significato qui non può essere sopravvalutato, in quanto queste intrusioni minacciano i pilastri stessi della riservatezza, dell’integrità e della disponibilità dei dati su cui si basa il nostro mondo digitale.
In breve, il rapporto trimestrale sulle tendenze degli attacchi non è solo una raccolta di dati, ma una narrazione che evidenzia la battaglia in corso nel mondo digitale. Serve a ricordare che la comprensione e l’adattamento alle complessità dell’architettura delle applicazioni sono fondamentali non solo per sopravvivere, ma anche per prosperare in questo panorama. Adottando una strategia che include difese a più livelli, sfruttando l’intelligence sulle minacce e personalizzando le soluzioni in base alle esigenze specifiche della vostra applicazione, potete costruire una fortezza che resista alle minacce in continua evoluzione del mondo informatico. Una sicurezza efficace non significa solo mettere in atto strumenti, ma anche comprendere il funzionamento della vostra azienda e utilizzare tali conoscenze per informare i vostri controlli di sicurezza.
Ancora una cosa: Questa relazione è solo la punta dell’iceberg. Il team Edgio sta lavorando instancabilmente per aggiungere più punti dati ai rapporti futuri. Tieni d’occhio il nostro rapporto Q1 2024. Sono sicuro che non sarai deluso.
Desideri maggiori informazioni?
Tom e i membri del team di sicurezza di Edgio discutono del rapporto trimestrale sulle tendenze degli attacchi nell’ultimo episodio di ThreatTank.
