Sei miti mettono a rischio la sicurezza delle applicazioni

La situazione delle minacce nel settore IT sta diventando sempre più grave e complessa. Se si verifica un attacco, le aziende di solito prevengono danni maggiori con le misure di protezione esistenti. Tuttavia, l'esperto di sicurezza René Bader di NTT Security spiega nei sei miti che seguono come possono aumentare in modo significativo la sicurezza delle loro applicazioni.

Mito 1: i criminali informatici attaccano l'infrastruttura, le applicazioni non sono quasi al centro dell'attenzione.

Questo mito è purtroppo un'idea sbagliata molto diffusa. Indagini hanno dimostrato che più della metà degli attacchi avviene attraverso il livello applicativo. Tuttavia, il settimo livello OSI, quello delle applicazioni, non è affatto protetto dai firewall classici. Si consiglia di proteggere le applicazioni aziendali critiche con un firewall applicativo che controlli l'ingresso, l'uscita e l'accesso ai servizi esterni e, se necessario, li blocchi se non sono conformi ai criteri configurati nel firewall applicativo.

La sicurezza delle applicazioni, tuttavia, inizia con lo sviluppo del software. I programmatori di applicazioni dovrebbero seguire le migliori pratiche e smettere di utilizzare codice insicuro e costrutti di programmazione vulnerabili per evitare che le vulnerabilità si presentino in primo luogo. Nell'intero ciclo di vita dell'applicazione, anche la gestione tempestiva delle patch svolge un ruolo molto importante (cfr. Mito 5).

Mito 2: i test di penetrazione sono sufficienti, l'applicazione è sicura

La maggior parte degli specialisti IT ritiene che un test di penetrazione completato con successo garantisca quasi la sicurezza di un'applicazione. Questo è vero per le applicazioni semplici, ma non per quelle complesse che contengono molta logica di business e di processo. Le applicazioni complesse con molte parti interessate non possono essere testate completamente con i test di penetrazione. I processi di sviluppo, approvvigionamento o rilascio che coinvolgono diverse unità aziendali devono quindi essere sottoposti a misure di sicurezza aggiuntive. NTT Security consiglia di utilizzare modelli di maturità del software come OpenSAMM, che aiutano le aziende a definire una strategia di sicurezza per le applicazioni business-critical adatta al loro modello di business.

Le applicazioni sviluppate in proprio richiedono un'attenzione particolare. Un esempio: Oltre il 70% delle funzionalità SAP sono programmate dai clienti stessi. Tuttavia, il produttore non fornisce una garanzia di sicurezza per gli sviluppi interni. Le misure di sicurezza stabilite con l'aiuto di modelli di maturità come OpenSAMM sono quindi particolarmente importanti per il software interno di cui il cliente è responsabile.

Mito 3: Gli strumenti di sicurezza fanno il loro lavoro, quindi i cyber-attaccanti non hanno alcuna possibilità.

Molte aziende si affidano troppo ai loro strumenti di sicurezza, ad esempio il patching o la gestione della configurazione. Gli strumenti sono importanti, ma sono solo metà della battaglia. Oggi nell'IT tutto è collegato in rete con tutto il resto. Ma le singole unità aziendali parlano troppo poco tra loro. Gli esperti di sicurezza che prestano attenzione a una strategia di sicurezza olistica dovrebbero essere presenti a ogni nuova implementazione e a ogni decisione importante. Altrimenti, ogni dipartimento utilizzerà i propri strumenti in modo non coordinato e alla fine ci saranno molte facce deluse in caso di incidente di sicurezza.

Mito 4: Ogni dipendente è responsabile della propria sicurezza

Il punto debole più pericoloso delle aziende sono i loro stessi dipendenti, sottolineano gli esperti di sicurezza. È quindi importante creare una consapevolezza dei rischi tra i dipendenti attraverso una formazione regolare e informarli sugli attuali vettori di attacco. La formazione non esclude la possibilità che i criminali informatici accedano a dati sensibili attraverso tecniche di social engineering, come le e-mail di phishing personalizzate, ma aumenta la consapevolezza e riduce il rischio. È importante pensare due volte a ogni clic su un allegato di posta elettronica e usare il buon senso.

Mito 5: L'applicazione delle patch di sicurezza richiede ore e i sistemi sono inutilizzabili.

In media, le applicazioni vulnerabili e senza patch rimangono online per diverse centinaia di giorni, anche se le vulnerabilità sono note e i criminali informatici potrebbero sferrare un attacco in qualsiasi momento. La più grande falla di sicurezza per le applicazioni sono le librerie non patchate; si veda la sezione Rapporto statistico sulla sicurezza delle applicazioni 2018 (Vol. 13). Il motivo di questo comportamento negligente è l'idea errata comune a molte aziende che i sistemi IT si guastino e non possano essere utilizzati quando vengono applicate le patch di sicurezza: I clienti potrebbero non essere in grado di accedere ai sistemi di ordinazione, i dipendenti si girano i pollici e l'azienda perde di conseguenza fatturato.

Questo presupposto è sbagliato. Oggi le patch di sicurezza possono essere applicate durante il funzionamento o richiedono solo un arresto di breve durata dei singoli componenti. Un'altra alternativa è quella di utilizzare la finestra di manutenzione notturna per le patch.

Mito 6: Una volta che siete stati hackerati, non potete più fare nulla.

Più facile a dirsi che a farsi: in caso di attacco, le aziende dovrebbero comunque mantenere la calma e non causare ulteriori danni con reazioni sconsiderate e impulsive. Ci sono aziende che hanno staccato la spina dopo un attacco, distruggendo così i controller del disco rigido. Per gli esperti forensi non era più possibile ricostruire l'attacco e identificare i vettori di attacco a posteriori. L'obiettivo dovrebbe essere quello di raccogliere il maggior numero possibile di prove e dati e di richiedere l'aiuto di esperti di sicurezza professionali il più rapidamente possibile.

Fonte: NTT Sicurezza