6 consigli per una maggiore sicurezza delle applicazioni web

Quando si tratta di attingere ai preziosi dati dei clienti delle aziende e di penetrare nei sistemi back-end, le applicazioni web rimangono il gateway più popolare. Gli aggressori sfruttano le vulnerabilità dell'applicazione stessa o della piattaforma su cui viene eseguita per accedere ai dati. Secondo il Global Threat Intelligence Report 2019, lo scorso anno gli attacchi alle applicazioni web hanno rappresentato il 32% di tutte le attività ostili a livello mondiale. Cinque industrie sono particolarmente colpite: Finanza, "Servizi aziendali e professionali", Sanità, Commercio al dettaglio e Produzione. Con l'85%, il settore della vendita al dettaglio nella regione EMEA occupa la prima posizione. Una maggiore presenza su Internet attraverso i webshop o i portali per i clienti, in combinazione con i dati sensibili dei clienti, significa una superficie di attacco più ampia e un sacco di "carne da macello" per i criminali informatici in questo caso.

Nella maggior parte dei casi, le applicazioni Web vengono violate iniettando comandi SQL. Inoltre, la crittografia errata o difettosa, le procedure di autenticazione mancanti e il cross-site scripting (XSS) sono un problema: con l'XSS, gli aggressori sfruttano le vulnerabilità per introdurre di nascosto uno script che viene poi eseguito nel browser dell'utente. Poiché gli hacker scelgono la via di minor resistenza, cercano vulnerabilità non patchate o sistemi non correttamente configurati. Spesso non sono i nuovi exploit "zero-day" a rovinare le aziende, ma le vulnerabilità per le quali è già disponibile da tempo una patch. La tendenza ai microservizi, spesso creati in Node.js e Spring Boot, aggrava il problema.

Le seguenti raccomandazioni della Divisione Sicurezza di NTT aiutano le aziende a difendere le applicazioni web e la rete da potenziali aggressori:

• Toppa, toppa, toppa: Una buona gestione delle patch per i sistemi operativi e le applicazioni è una priorità assoluta. In nessun caso si devono dimenticare i sistemi meno critici della rete, che possono diventare una porta d'accesso per gli hacker in assenza di patch.
• Gestione rigorosa degli accessi: Le autorizzazioni di accesso devono essere controllate attentamente e limitate il più possibile. Ove possibile, le password dovrebbero essere sostituite da un'autenticazione forte.
• Segmentazione dell'ambiente di rete: Le aziende dovrebbero dividere le applicazioni e l'infrastruttura in segmenti, in modo da contenere le minacce ed evitare che si diffondano in altre aree.
• La sicurezza è un concetto di design: La questione della sicurezza deve essere considerata fin dall'inizio nello sviluppo del software interno e nella configurazione del sistema e della rete. Inoltre, è necessario utilizzare solo applicazioni e strumenti di terze parti con prove adeguate.
• Implementazione di un firewall per applicazioni web (WAF): Un WAF protegge le applicazioni web controllando il traffico tra server web e client a livello di applicazione. Filtra, analizza e monitora il traffico HTTP.
• Controllo regolare delle vulnerabilità: Le aziende dovrebbero eseguire regolarmente una scansione dell'IT aziendale alla ricerca di vulnerabilità, stabilire le priorità dei risultati della scansione e, se necessario, apportare modifiche ai processi e ai controlli interni.

"Il tema della sicurezza delle applicazioni web è ancora trattato in modo molto materno in molte aziende. Molti fanno un test di penetrazione quando il sito web diventa operativo e poi non succede nulla. Whitehead Security, società affiliata di NTT, pubblica ogni anno un rapporto sul numero di vulnerabilità aperte e non risolte nelle applicazioni web individuate attraverso i suoi test di penetrazione. I risultati sono sorprendenti: negli ultimi anni la media è sempre stata di circa 380-390 giorni di vulnerabilità aperte e non risolte nelle applicazioni web. La situazione varia da settore a settore", spiega René Bader, della Security Division di NTT Ltd. "Le aziende non possono semplicemente voltarsi dall'altra parte su questo tema. Anche in considerazione del fatto che sempre più organizzazioni e sviluppatori stanno adottando un approccio DevOps, che promette uno sviluppo e una distribuzione più rapidi delle applicazioni, ma allo stesso tempo aumenta la necessità di sicurezza, ad esempio a causa della mancanza di automazione dei test."

Comunicato stampa NTT, Divisione Sicurezza