Home Istruzioni Cinque domande sulla sicurezza che ogni sviluppatore deve porre
Applications

Cinque domande sulla sicurezza che ogni sviluppatore deve porre

About The Author

Outline

I team di sviluppo svolgono un ruolo fondamentale nella sicurezza delle applicazioni che si trovano su Internet. Sebbene i cattivi siano la minaccia più significativa che i team incontrano, devono anche affrontare sfide interne con l’implementazione di correzioni di sicurezza, bilanciando i requisiti funzionali e non funzionali in tutti gli ambiti aziendali, ingegneristici e di sicurezza. La crescente velocità con cui i team di sviluppo possono rilasciare il codice, grazie all’automazione ci/CD, evidenzia anche l’importanza fondamentale di integrare completamente i processi e gli strumenti di sicurezza nel processo di sviluppo e rilascio. Di seguito sono riportate cinque domande di sicurezza che miglioreranno la consapevolezza delle vostre esigenze di sicurezza delle applicazioni e ridurranno il rischio che un evento di sicurezza delle applicazioni Web influisca sulla vostra azienda.

1. In che modo è possibile identificare e correggere le vulnerabilità nel codice dell’applicazione?

Gli strumenti per i test di sicurezza delle applicazioni ‍Dynamic (DAST), statici (SAST) e interattivi aiutano a individuare le vulnerabilità in un’applicazione Web. Gli strumenti DAST e SAST aiutano a individuare i punti deboli del runtime in diversi modi. DAST tenta di eseguire attacchi (ad esempio, cross-site scripting) sull’applicazione web, mentre gli strumenti SAST cercano pratiche non sicure nel codice sorgente (ad esempio variabili non inizializzate). L’utilizzo di entrambi in una pipeline di integrazione continua/distribuzione continua (ci/CD) aiuta a individuare i difetti come parte del processo di sviluppo prima che raggiungano la produzione.

Alcuni archivi di controllo sorgente possono integrarsi con una procedura ci per eseguire scansioni di sicurezza a ogni modifica. L’archivio può richiedere che la pratica ci esegua SAST come parte di ogni richiesta di modifica. Se le scansioni riportano risultati di sicurezza, l’archivio può impedire l’approvazione della richiesta di modifica. I team che eseguono queste scansioni manualmente o automaticamente possono ridurre significativamente i rischi per la sicurezza. Analogamente, il CD può includere una scansione DAST durante l’implementazione di un nuovo codice.

Gli strumenti SCA (software Composition Analysis) possono essere utilizzati anche per analizzare e identificare le vulnerabilità nelle librerie open source o di terze parti, in modo da risolvere i problemi. Poiché le app web componibili o progressive che sfruttano microservizi e API sono diventate più comuni, disporre di protezioni adeguate per le API è altrettanto importante. Ciò include i punti di controllo per la ricerca delle API, la convalida dello schema JSON e la garanzia che l’integrità dei tipi di proprietà e dei valori di proprietà non possa essere compromessa da un utente malintenzionato. L’utilizzo di una soluzione Gateway API per impedire l’accesso non autorizzato alle API insieme alla protezione da script di terze parti svolge un ruolo importante nella prevenzione di attività dannose e attacchi alla supply chain di tipo Magecart.

Le scansioni possono produrre molti risultati. Ci vuole tempo per valutarli e assegnarli priorità, anche con l’aiuto di un sistema di gestione delle vulnerabilità. WAAP (Web Application and API Protection) consente di intervenire immediatamente per mitigare le vulnerabilità, mentre il team assegna priorità e applica le correzioni.

Inoltre, l’esecuzione di una scansione DAST su un’app web o un’API protetta da un WAAP può migliorare la posizione di sicurezza complessiva dell’app. Gli attacchi che il WAAP non riesce ad arrestare possono essere identificati dal team di sicurezza per un’ulteriore messa a punto. Se le regole incluse in un WAAP non riescono a mitigare un riscontro dalla scansione DAST, è possibile scrivere e distribuire una regola WAAP personalizzata per risolvere il riscontro specifico. Il team non deve più attendere una patch di sicurezza o un attacco imminente per mitigare queste minacce.

2. In che modo è possibile identificare e correggere le vulnerabilità nel proprio stack tecnico?

Gli stack tecnologici delle applicazioni web ‍Modern sono costituiti da molti componenti, come server web e database e framework di sviluppo web. Alcuni componenti sono estensibili con plug-in, estensioni e componenti aggiuntivi. Disporre di un inventario di ciascun componente di terze parti e comprendere e applicare le patch di sicurezza critiche dovrebbe far parte di ogni programma di protezione delle applicazioni. Tuttavia, le patch critiche a volte non possono essere applicate senza modifiche al codice dell’applicazione che richiedono uno sprint di sviluppo.

Le vulnerabilità senza patch nel software e nei sistemi sono un vettore di attacco troppo comune per i criminali informatici. Secondo IBM, nel 2022 il costo medio globale di una violazione dei dati ha superato i 4,35 milioni di dollari e il tempo necessario per risolvere completamente una violazione è spesso misurato in mesi. L’applicazione di patch software offre all’organizzazione più tempo per risolvere una vulnerabilità nota della sicurezza. I team delle applicazioni Web devono testare e applicare regolarmente le patch software, ad esempio mensilmente o ogni volta che è disponibile una versione software. In questo modo si riducono i difetti di tempo e il tempo necessario a un utente malintenzionato per sfruttarli. Più a lungo rimangono le debolezze, maggiore è la probabilità che gli utenti malintenzionati li sfruttino.

Un WAAP con una serie completa di regole di sicurezza specifiche per le applicazioni, regole OWASP più generiche e regole personalizzate flessibili per risolvere i casi d’angolo consente ai team di sviluppo di applicare una correzione immediata (nota anche come «patch virtuali») per prevenire lo sfruttamento, lasciando al contempo spazio libero per applicare patch e aggiornare il codice dell’applicazione. Inoltre, i team di sicurezza devono insistere sulle soluzioni WAAP che bloccano automaticamente o facilmente l’accesso a file e percorsi sensibili del sistema operativo.

Sebbene l’esecuzione di un WAAP in un ambiente di staging o QA possa fornire informazioni dettagliate sulla prevenzione di un attacco da parte di una particolare configurazione WAAP, non esiste alternativa all’esecuzione di WAAP contro il traffico Web di produzione in tempo reale. Scoprite in che modo le nostre funzioni in modalità Dual WAAP consentono ai team di sicurezza di testare nuove regole WAAP sul traffico di produzione, offrendo ai team l’osservabilità e i controlli necessari per fermare le minacce emergenti e ridurre notevolmente i tempi di risposta.

3. Qual è l’impatto degli eventi di sicurezza sulla capacità del server?‍

Bilanciare la capacità dei server e i costi del cloud rappresenta un compromesso tra l’esperienza del cliente e le esigenze aziendali. Tuttavia, l’allocazione della capacità del server per accogliere utenti illegittimi non è l’approccio migliore.

Sebbene permanga una minaccia di attacchi DDoS di alto profilo da parte di Advanced Persistent Threats (APT) come Killnet, che ha preso di mira le istituzioni governative giapponesi e i siti web degli aeroporti statunitensi nell’estate e nell’autunno del 2022, è molto più comune vedere attacchi nella gamma multi-Gbps. Secondo NETSCOUT, ogni tre secondi si verifica un attacco DDoS. Oltre a utilizzare solo la larghezza di banda per misurare un attacco DDoS, i tassi di richiesta (ad esempio, richieste al secondo (RPS) o milioni di pacchetti al secondo (Mpps)) sono un fattore altrettanto importante per proteggere l’infrastruttura delle applicazioni. Questi eventi di sicurezza causati da scanner o botnet che colpiscono le applicazioni Web potrebbero non essere una notizia, ma avere un impatto sulle esperienze dei clienti sul sito.

L’utilizzo di un WAAP basato su cloud con capacità capillari per limitare il traffico e mitigare gli attacchi agli endpoint critici può filtrare gran parte di questo traffico indesiderato prima che influisca sull’applicazione Web, preservando la capacità del server per gli utenti effettivi.

4. Ci sono requisiti di conformità che devo rispettare?

‍Depending per il settore e il tipo di applicazione, l’applicazione potrebbe essere conforme alle normative di settore. Se il sito elabora pagamenti con carta di credito, è probabile che debba essere conforme allo standard PCI. La vostra azienda potrebbe dover rispettare la conformità SOC 2 a causa della natura sensibile dei dati utilizzati e conservati dall’applicazione. Molte di queste normative richiedono l’uso di un WAAP.

Anche quando non sono applicabili normative di settore, è possibile seguire le BEST practice e le linee guida del settore. È possibile utilizzare Center for Internet Security Controls o AWS Well-Architected Framework. Entrambi consigliano di utilizzare un WAAP perché può ispezionare e filtrare il traffico Web dannoso.

5. Qual è il processo di aggiornamento/disattivazione dell’app?

‍Applications costruito su stack tecnologici più vecchi deve essere aggiornato o smantellato. Molte aziende non possono più correggere il codice di applicazione meno recente se lo stack tecnologico non viene mantenuto. Bilanciare la sicurezza con le esigenze aziendali può richiedere una soluzione provvisoria. L’esecuzione di una scansione DAST completa e di un WAAP attentamente ottimizzato con regole personalizzate appropriate quando necessario consente di eseguire in modo sicuro le app Web fino a quando non vengono aggiornate o disattivate.

‍Have altre domande?

‍Securing le applicazioni Web sono un’attività importante che richiede un equilibrio tra sicurezza, progettazione e interessi aziendali. A volte questi interessi sono in conflitto, rendendo difficile per gli sviluppatori agire.

Un WAAP può aiutare a colmare questo divario, mentre il team assegna priorità alle minacce e implementa correzioni nella pipeline ci/CD. I nostri potenti e convenienti approfondimenti WAAP hanno ridotto le barriere all’adozione di WAAP.

Contattaci per ricevere tutte le tue domande su come rafforzare la tua sicurezza Web e trovare una risposta alle nostre informazioni WAAP.