I team di sviluppo svolgono un ruolo fondamentale nella sicurezza delle applicazioni presenti in Internet. Sebbene gli autori di attacchi siano la minaccia più significativa che questi team devono affrontare, devono anche affrontare problemi interni con l’implementazione di correzioni di sicurezza, bilanciando al contempo i requisiti funzionali e non funzionali in tutti i settori dell’azienda, della progettazione e della sicurezza. La crescente velocità con cui i team di sviluppo possono rilasciare il codice, grazie all’automazione ci/CD, evidenzia anche l’importanza fondamentale di integrare completamente i processi e gli strumenti di sicurezza nel processo di sviluppo e rilascio. Ecco cinque domande sulla sicurezza che consentiranno di migliorare la consapevolezza delle vostre esigenze di sicurezza delle applicazioni e di ridurre il rischio che un evento di sicurezza delle applicazioni Web influisca sulla vostra azienda.
1. Come è possibile identificare e correggere le vulnerabilità nel codice dell’applicazione?
Dynamic (DAST), Static (SAST) e gli strumenti interattivi per i test di sicurezza delle applicazioni consentono di individuare le vulnerabilità in un’applicazione Web. Gli strumenti DAST e SAST aiutano a individuare i punti deboli del runtime in diversi modi. DAST tenta di eseguire attacchi (ad esempio, script di cross-site) sull’applicazione Web, mentre gli strumenti SAST cercano pratiche non sicure nel codice sorgente (ad esempio variabili non inizializzate). L’utilizzo di entrambi in una pipeline di integrazione continua/distribuzione continua (ci/CD) aiuta a individuare i difetti nell’ambito del processo Devsecops prima che raggiungano la produzione.
Alcuni repository di controllo sorgente possono integrarsi con una pratica ci per eseguire scansioni di sicurezza a ogni modifica. L’archivio potrebbe richiedere che la pratica ci esegua SAST come parte di ogni richiesta di modifica. Se le scansioni riportano risultati di sicurezza, l’archivio potrebbe impedire l’approvazione della richiesta di modifica. I team che eseguono queste scansioni manualmente o automaticamente possono ridurre significativamente i rischi per la sicurezza. Allo stesso modo, il CD può includere una scansione DAST durante l’implementazione di un nuovo codice.
Gli strumenti SCA (software Composition Analysis) possono essere utilizzati anche per analizzare e identificare le vulnerabilità nelle librerie open source o di terze parti, in modo da risolvere i problemi. Poiché le applicazioni Web componibili o progressive che sfruttano microservizi e API sono diventate sempre più comuni, disporre di protezioni adeguate per le API è altrettanto importante. Ciò include i punti di verifica per il rilevamento API, la convalida dello schema JSON e la garanzia che l’integrità dei tipi di proprietà e dei valori di proprietà non possa essere compromessa da un utente malintenzionato. L’utilizzo di una soluzione API Gateway per impedire l’accesso non autorizzato alle API e la protezione degli script di terze parti contribuiscono a prevenire attività dannose e attacchi alla supply chain in stile Magecart.
Le scansioni possono produrre molti risultati. Ci vuole tempo per valutare e assegnare le priorità a tutti, anche con l’aiuto di un sistema di gestione delle vulnerabilità. La protezione delle applicazioni Web e delle API (WAAP) consente di intraprendere azioni immediate per mitigare le vulnerabilità, mentre il team assegna priorità e applica le correzioni.
Inoltre, l’esecuzione di una scansione DAST contro un’app web o un’API protetta da un WAAP può migliorare il comportamento generale di sicurezza dell’app. Gli eventuali attacchi che il WAAP non riesce ad arrestare possono essere identificati dal team di sicurezza per un’ulteriore messa a punto. Se le regole incluse in un WAAP non riescono a mitigare una ricerca dalla scansione DAST, è possibile scrivere e distribuire una regola WAAP personalizzata per risolvere il risultato specifico. Il team non deve più attendere una patch di sicurezza o un attacco imminente per mitigare queste minacce.
2. Come è possibile identificare e correggere le vulnerabilità nel proprio stack tecnologico?
Gli stack tecnologici per applicazioni Web Modern sono costituiti da molti componenti, come server Web e database e framework di sviluppo Web. Alcuni componenti sono estensibili con plug-in, estensioni e componenti aggiuntivi. La disponibilità di un inventario di ciascun componente di terze parti e la comprensione e l’applicazione di patch di sicurezza critiche dovrebbero far parte di ogni programma di protezione delle applicazioni. Tuttavia, le patch critiche a volte non possono essere applicate senza modifiche al codice dell’applicazione che richiedono uno sprint di sviluppo.
Le vulnerabilità non riparate nel software e nei sistemi sono un vettore di attacco troppo comune per i criminali informatici. Secondo IBM, nel 2022 il costo medio globale di una violazione dei dati ha superato i 4,35 milioni di dollari e il tempo necessario per affrontare completamente una violazione è spesso misurato in mesi. L’applicazione di patch software offre all’organizzazione più tempo per correggere una vulnerabilità di sicurezza nota. I team delle applicazioni Web devono testare e applicare le patch software regolarmente, ad esempio mensilmente o ogni volta che c’è un rilascio software. In questo modo si riduce il tempo in cui si verificano i difetti e la quantità di tempo che un utente malintenzionato deve sfruttare. Più a lungo rimangono le debolezze, maggiore è la probabilità che gli autori malintenzionati le sfruttino.
Un WAAP con una serie completa di regole di sicurezza specifiche per l’applicazione, regole OWASP più generiche e regole personalizzate flessibili per affrontare i casi d’angolo consente ai team di sviluppo di applicare una correzione immediata (nota anche come “patch virtuali”) per prevenire lo sfruttamento, dando spazio per applicare patch e aggiornare il codice dell’applicazione. Inoltre, i team addetti alla sicurezza dovrebbero insistere su soluzioni WAAP che blocchino automaticamente o facilmente l’accesso ai file e ai percorsi sensibili del sistema operativo.
Sebbene l’esecuzione di un WAAP in un ambiente di staging o di controllo della qualità possa fornire informazioni sulla possibilità che una particolare configurazione WAAP impedisca un attacco, non esiste un sostituto per l’esecuzione del WAAP contro il traffico Web di produzione in tempo reale. Scoprite in che modo le funzionalità della modalità Dual WAAP consentono ai team di sicurezza di testare nuove regole WAAP sul traffico di produzione, offrendo ai team l’osservabilità e i controlli necessari per arrestare le minacce emergenti e ridurre notevolmente i tempi di risposta.
3. Qual è l’impatto degli eventi di sicurezza sulla capacità del server?
Bilanciare la capacità dei server e i costi del cloud è un compromesso tra l’esperienza del cliente e le esigenze aziendali. Tuttavia, l’allocazione della capacità del server per ospitare utenti illegittimi non è l’approccio migliore.
Mentre permane una minaccia di attacchi DDoS di alto profilo da Advanced Persistent Threats (APT) come Killnet, che ha preso di mira le istituzioni governative giapponesi e i siti web degli aeroporti statunitensi nell’estate e nell’autunno del 2022, è molto più comune vedere attacchi nell’intervallo multi-Gbps. Secondo NETSCOUT, un attacco DDoS si verifica ogni tre secondi. Oltre a utilizzare solo la larghezza di banda per misurare un attacco DDoS, i tassi di richiesta (ossia richieste al secondo (RPS) o milioni di pacchetti al secondo (Mpps)) sono un fattore altrettanto importante per proteggere l’infrastruttura delle applicazioni. Questi eventi di sicurezza provenienti da scanner o botnet che colpiscono applicazioni web potrebbero non dare notizia, ma potrebbero influire sulle esperienze dei clienti sul vostro sito.
L’utilizzo di un WAAP basato su cloud con capacità capillari per valutare limitare il traffico e mitigare gli attacchi agli endpoint critici può filtrare gran parte di questo traffico indesiderato prima che influisca sull’applicazione Web, preservando la capacità del server per gli utenti effettivi.
4. Ci sono requisiti di conformità che devo rispettare?
Depending nel settore e nel tipo di applicazione, l’applicazione deve essere conforme alle normative del settore. Se il sito elabora pagamenti con carta di credito, è probabile che sia conforme allo standard PCI. La vostra azienda potrebbe dover rispettare la conformità SOC 2 a causa della natura sensibile dei dati utilizzati e conservati dall’applicazione. Molte di queste normative richiedono l’uso di un WAAP.
Anche quando non sono applicabili normative di settore, è possibile attenersi alle BEST practice e alle linee guida del settore. È possibile utilizzare Center for Internet Security Controls o AWS Well-Architected Framework. Entrambi consigliano di utilizzare un WAAP perché può ispezionare e filtrare il traffico Web dannoso.
5. Qual è il processo di aggiornamento/disattivazione dell’app?
Applications costruito su stack tecnologici meno recenti deve essere aggiornato o smantellato. Molte aziende non possono più correggere il vecchio codice dell’applicazione se lo stack tecnologico non viene mantenuto. Bilanciare la sicurezza con le esigenze aziendali può richiedere una soluzione provvisoria. L’esecuzione di una scansione DAST completa e di un WAAP accuratamente ottimizzato con regole personalizzate appropriate, quando necessario, consente di eseguire in modo sicuro le applicazioni Web fino a quando non vengono aggiornate o disattivate.
Have altre domande?
Securing le vostre applicazioni Web sono un’attività importante che richiede un equilibrio tra sicurezza, ingegneria e interessi aziendali. A volte questi interessi sono in conflitto, rendendo difficile per gli sviluppatori agire.
Un WAAP può aiutare a colmare questo divario, mentre il team assegna priorità alle minacce e implementa correzioni nella pipeline ci/CD. Le nostre analisi WAAP potenti e convenienti hanno abbassato la barriera all’adozione dei WAAP.
Contattateci per ricevere tutte le vostre domande su come rafforzare la vostra sicurezza web e rispondere alle nostre analisi WAAP.
