Gli F5 Labs, i laboratori di ricerca di F5 Networks, hanno presentato il report F5 2019 Application Protection, una ricerca annuale elaborata da F5 volta comprendere lo stato della sicurezza delle applicazioni, analizzando le principali vulnerabilità, le tecniche e i target degli attacchi che hanno comportato violazioni dei dati subiti dalle aziende nel corso del 2018.
In base ai dati della ricerca condotta prendendo in esame 761 violazioni segnalate nel corso del 2018 in 10 Stati che rappresentano il 21,4% della popolazione degli Stati Uniti, le persone e i loro sistemi di accesso sono il punto più debole della sicurezza delle applicazioni: la violazione dell’accesso rappresenta, infatti, la percentuale più elevata tra le cause di violazione note, nel 47% dei casi.
Nei casi di violazione dell’accesso le tecniche utilizzate per portare a termine gli attacchi nel corso del 2018 sono state molte e variegate, e hanno compreso il credential stuffing, il phishing per ottenere l’accesso alle credenziali di login e il brute forcing delle credenziali, tecniche che sono tutte sostanzialmente riducibili a una forma di social engineering o al furto di credenziali.
Il phishing sorpassa l’injection
Le tecniche di phishing sono state responsabili del 21% delle violazioni dei dati registrate nel corso dell’anno, un dato fortemente in crescita rispetto al 14% dell’anno precedente. Nel report 2018, infatti, il phishing si era classificato al secondo posto, preceduto dalle tecniche di skimming via injection delle carte di pagamento (presenti nel 21% degli attacchi nel 2017 e nel 12% l’anno successivo), che sfruttano le vulnerabilità delle applicazioni Web locali per caricare gli skimmer software delle carte di pagamento con moduli per inserire i dati falsi.
Dal report appare evidente come il phishing sia diventato sempre più sofisticato e l’egemonia di queste tecniche rappresenti, in buona parte, un riflesso della forza di altri controlli tecnici, perché se fosse più semplice aggirare completamente l’autenticazione, non vedremmo proliferare queste tecniche.
I principali target
Il report ha permesso di identificare anche due tipologie principali di aziende target delle violazioni, che corrispondono alle due minacce più comuni: phishing e injection.
In particolare, il settore del commercio al dettaglio, che si basa fortemente sulle transazioni online, ha registrato un tasso sproporzionatamente elevato di compromissioni tramite injection, con il 72% delle violazioni provenienti da questo vettore.
L’altro profilo a rischio identificato è quello delle organizzazioni dei settori finanziario, sanitario, educativo, no profit e amministrativo, che hanno una probabilità estremamente elevata di essere compromesse attraverso il phishing o l’accesso illecito alla posta elettronica.
Questo profilo si articola in modo diverso rispetto ai vettori di violazione utilizzati più frequentemente. Il malware e le minacce interne, ad esempio, svolgono un ruolo più importante nel settore contabile mentre gli incidenti o le violazioni fisiche hanno una prevalenza maggiore nella finanza, sanità, istruzione e non profit. Tuttavia, tutti questi settori mostrano probabilità estremamente più elevate di subire attacchi di phishing o altre violazioni della posta elettronica.
I trend identificati sono significativi anche dal punto di vista di come le organizzazioni dei diversi settori scelgono di conservare e trasmettere i propri asset più strategici. Quando il modello di business implica l’e-commerce, le stesse applicazioni di commercio elettronico rappresentano il percorso diretto verso l’obiettivo, senza presentare troppi ostacoli se non sono controllate correttamente.
Al contrario, le organizzazioni del secondo profilo, provenienti da settori come la finanza, l’healthcare e l’istruzione, possono archiviare le risorse sensibili lontano dai front-end web. Raggiungere gli obiettivi su tali reti di solito comporta attacchi complessi, a più fasi che richiedono un punto d’appoggio iniziale, che è quasi sempre offerto dal phishing e dalle violazioni dell’email.
Come riferito in una nota ufficiale da Maurizio Desiderio, Country Manager di F5 Networks: «Le applicazioni sono il punto focale delle operation moderne e, come luogo di incontro di utenti e reti, rappresentano oggi un valore per il business e il punto di accesso a quello che gli aggressori apprezzano di più: i dati. Dall’ultima edizione del report appare evidente che l’unico obiettivo al quale gli aggressori danno più importanza sono gli utenti che si connettono alle applicazioni e che quindi rappresentano un tassello prezioso proprio per ottenere l’accesso ai dati. I dati che abbiamo analizzato ci offrono abbastanza elementi per concludere che il vettore di minaccia scelto da chi attaccherà dipenderà da dove e da come le organizzazioni hanno archiviato le risorse obiettivo ultimo degli attacchi. Sappiamo che gli attacchi che hanno avuto successo sono riusciti a tracciare con una certa precisione il punto in cui le organizzazioni avevano memorizzato il loro obiettivo, le risorse sensibili. Questo conferma una nostra affermazione di lunga data: la valutazione del rischio deve rappresentare una delle pietre angolari di qualsiasi programma di sicurezza e il primo passo in qualsiasi risk assessment è un processo di inventario sostanziale e continuo».
