In occasione di San Valentino, Ray Pompon, Principal Threat Evangelist di F5 Labs, riflette sui regali che dovremmo fare alle nostre app se veramente teniamo alla sicurezza della nostra organizzazione.
Ecco i suoi consigli.
Scegliere l’autenticazione forte per limitare gli accessi non autorizzati
Violare l’accesso all’applicazione è spesso il primo passo di un attacco informatico, per questo l’autenticazione è un pilastro della sicurezza. L’ideale sarebbe l’utilizzo dell’autenticazione a più fattori (MFA), soprattutto per i sistemi che si collegano a servizi e archivi di dati ad alto valore. Quando l’MFA non è adottabile, è necessario rafforzare l’uso delle password; fondamentale in questo contesto è modificarle regolarmente, evitando quelle facili da hackerare dal punto di vista del linguaggio, utilizzando credenziali lunghe e eliminando i meccanismi di suggerimento automatici. Molte violazioni alle password avvengono tramite le tecniche di credential stuffing e di brute force, per questo il sistema di autenticazione scelto dovrebbe essere dotato di un meccanismo in grado di rilevare e stroncare i ripetuti tentativi di login.
Monitorare le proprie app e tenere traccia delle azioni
Il monitoraggio e il controllo degli accessi sono fondamentali per conoscere ciò che accade nell’ambiente informatico. Con un buon sistema di registrazione e controllo è possibile intercettare i tentativi di violazione prima che si verifichino danni reali. Quando si implementano funzionalità di analisi dei log bisogna tenere ben presente che l’obiettivo è poter determinare in che modo un aggressore è entrato e cosa ha fatto. Conoscere ciò che si possiede e dove si trova, con cosa si interfaccia e come si configura è alla base di tutte le decisioni di rischio, sia strategiche che tattiche.
Sviluppare un piano di risposta alla minaccia, e fare pratica
Davanti a una diffusione sempre maggiore delle app è necessario prevedere un piano di risposta agli incidenti collaudato e dettagliato. L’efficacia dell’incident response, infatti, si basa sui pilastri dell’inventario e del logging ed è necessario quindi che siano ben strutturati. Davanti alle minacce peggiori, la reazione deve comprendere un piano che includa la definizione dei trigger (quando si verifica un incidente), tattiche di attivazione (chi e cosa entra in azione a seguito della minaccia, e quando), intelligence (determinare quali log e dispositivi dovrebbero essere esaminati), contenimento (playbook specifici che attivino controlli aggiuntivi con automazione per ridurre i tempi di intervento), sistema di indagine (chi analizza cosa e quando), reportistica (a disposizione degli executive o per eventuali dispute legali), e recovery (sia del dato che di sistema).
Eseguire scansioni delle vulnerabilità e non tralasciare i punti più critici
Nessuna azienda è in grado di arginare qualsiasi minaccia; la priorità sarà quindi iniziare dal bloccare gli attacchi che sfruttano le vulnerabilità note e gli exploit più diffusi, perché anche gli hacker meno esperti attaccano i sistemi e sfruttano questo genere di attacchi “point-and-click”. Dato che molti malware arrivano attraverso i browser e i client di posta elettronica, è fondamentale che anche questi siano costantemente aggiornati.
Definire in modo rigoroso chi può accedere alle app
Autorizzare l’accesso all’app significa esaminare attentamente i permessi associati a qualsiasi serie di credenziali. Una volta effettuato l’accesso, cosa potrà fare l’utente? Questo è il punto cruciale, bisognerebbe concedere il minor numero possibile di privilegi, in modo che gli utenti possano fare solo quello di cui effettivamente hanno bisogno. Un buon compromesso è quello di implementare un accesso basato sui ruoli e, contemporaneamente, definire le azioni autorizzate in base ai compiti, come quello di amministratore, sviluppatore, personale in ufficio o utente remoto. Il numero di amministratori dovrebbe essere molto limitato e i loro privilegi relativi solo ai sistemi della cui gestione un determinato amministratore è responsabile. Lo stesso vale per gli account di servizio che funzionano in background.
Rilevare e bloccare le attività dei bot maligni
Oggi è sempre più difficile determinare quando l’attacco proviene da un essere umano o meno. Molti bot possono essere identificati da modelli osservati in passato, in base a pattern specifici già rilevati e codificati in firme. Tuttavia, i bot di nuova generazione, più sofisticati, richiedono un esame complesso, come la ricerca di comportamenti irregolari, configurazioni client illogiche e tempi di azione decisamente non umani.
Adottare un web application firewall
Il nostro Application Protection Report del 2018, il sondaggio svolto tra i professionisti della sicurezza, ha rilevato che la principale difesa delle applicazioni è rappresentata dagli web application firewall (come dichiarato dal 26% degli intervistati). Percentuale che ha raggiunto il 33% nel report realizzato l’anno successivo. Le tecnologie WAF offrono una visibilità e controllo elevati del livello applicativo che contribuiscono a mitigare un’ampia gamma di minacce alle applicazioni web menzionate sopra. Molti WAF includono anche la capacità di ispezionare, convalidare e accelerare le richieste API.
Utilizzare l’ispezione SSL/TLS
I siti di malware e phishing sono sempre più spesso nascosti all’interno di sessioni SSL/TLS criptate, spesso utilizzando certificati legittimi. Questo traffico deve essere decriptato, ispezionato e bonificato.
Utilizzare soluzioni antivirus
L’antivirus è uno dei sistemi di sicurezza più datati; tuttavia esso rappresenta ancora un potente strumento per il rilevamento e il blocco delle infezioni da malware. Per questo motivo dovrebbe essere sempre configurato per l’aggiornamento automatico e essere in grado di avvisare quando smette di funzionare.
Amare le app significa non trascurare la formazione e la cultura della sicurezza
L’ultima edizione del Phishing and Fraud Report degli F5 Labs ha mostrato come la formazione dei dipendenti sia fondamentale: ad esempio, riguardo al riconoscimento dei tentativi di phishing, è in grado di ridurre il tasso di clic su email, link e allegati dannosi dal 33% al 13%. Parte indispensabile di una strategia di sicurezza efficace è formare i propri dipendenti a partire dalla considerazione di quali siano le decisioni che si vuole lasciare gestire direttamente a loro, e cosa ci si può ragionevolmente aspettare.
Conoscere e amare le proprie app, ovunque siano, significa assicurarsi che i controlli in atto siano funzionali allo scopo e che vengano eseguiti senza problemi. Sebbene nel nostro report Application Protection del 2019 abbiamo rivelato che le minacce specifiche possano variare in base al settore di mercato in cui opera l’azienda, ritengo che questi 10 suggerimenti possano rappresentare un buon punto di partenza ed essere validi praticamente per tutte le organizzazioni.