A cura di Lori MacVittie, Principal Technical Evangelist di F5 Networks
Siamo così affascinati dalla nostra genialità nell’aver progettato la crittografia da dimenticarci che in realtà la maggior parte dei dati nascosti all’interno dei database non è criptata.
Secondo un’analisi dei controlli crittografici promossa da Skyhigh, l’81,8% dei fornitori di servizi cloud oggi crittografa i dati in fase di trasferimento, utilizzando SSL o TLS, ma solamente il 9,4% di essi cripta i dati anche una volta che sono memorizzati nel cloud.
Una situazione che rischia a breve di trasformarsi in un incubo per tutte quelle organizzazioni che usano in misura sempre maggiore l’accesso senza restrizioni a database cloud o a bucket di archiviazione AWS S3.
Il problema è che la crittografia non protegge completamente i nostri dati, le reti di computer o gli altri sistemi digitali; protegge i dati mentre vengono scambiati e, se siamo fortunati, anche in fase di scrittura sullo storage e migliora inoltre il controllo degli accessi a sistemi critici. Ma, in definitiva, affinché “reti” e “sistemi” possano processare i dati e eseguire logiche di business, essi devono essere in grado di avere la piena visibilità del dato stesso. Il rischio più grande che le organizzazioni affrontano oggi è legato alle applicazioni non protette e prive di patch, di certo non ai guardoni digitali.
Questo è in definitiva il motivo per cui le violazioni continuano a verificarsi a ritmi sempre maggiori. Non perché i dati non siano crittografati mentre vengono scambiati o quando archiviati, ma perché le applicazioni e le API non possono elaborare i dati in forma crittografata.
La crittografia dovrebbe avvenire nel punto in cui il dato risulta più vulnerabile all’esposizione, perché sono proprio queste vulnerabilità ad attirare gli hacker.
Le applicazioni e le API che interagiscono e operano su tali dati non crittografati rappresentano una minaccia più significativa per la sicurezza e la privacy rispetto alla frammentazione che imporrà la crittografia quantistica. Questo è uno dei motivi per cui sono prese così di mira.
Gli F5 Labs hanno recentemente analizzato le violazioni avvenute negli ultimi dieci anni scoprendo che “le applicazioni sono state gli obiettivi iniziali degli attacchi nel 53% dei casi di violazione”. Questo perché non sono solo la via più facile per accedere ai dati, ma sono anche uno dei pochi “punti” rimasti scoperti lungo il tragitto sempre più crittografato dei dati, che lascia queste informazioni in chiaro disponibili e facili da utilizzare da parte di chi le cerca.
Oggi rischiamo di diventare sempre più insensibili alle violazioni, perché avvengono con una tale frequenza che è normale vedere ogni giorno notizie di milioni di record sottratti da qualche database attraverso un’applicazione. Tutto questo, nonostante i tanti sforzi fatti per implementare una crittografia sempre maggiore, imponendoci ad esempio di utilizzare il protocollo HTTPS anziché http e nonostante i browser impongano standard crittografici su algoritmi e lunghezza delle chiavi che vengono utilizzate per nascondere i dati da occhi “indiscreti”.
Se gli addetti alla cyberdifesa scelgono però di fare totalmente affidamento sulla forza della crittografia, allora siamo davvero nei guai! Perché la crittografia da sola non riuscirà a prevenire la piaga delle violazioni e della sottrazione dei dati che affligge il nostro tempo. La chiave per riuscire a contrastare la sottrazione dei dati è nella forza – e sempre più nell’intelligenza – con le quali siamo in grado di riconoscere e quindi prevenire un attacco.
È importante notare anche come un codice maligno, una volta criptato, resti comunque maligno. Allo stesso modo le credenziali crittografate rubate utilizzate nei sistemi di autenticazione delle applicazioni sono ancora credenziali rubate. L’eliminazione delle middlebox non elimina la minaccia derivante da server Web o da server applicativi vulnerabili che eseguono exploit per accedere a preziosi dati in chiaro.
Non basta, quindi, guardare con orgoglio alla nostra capacità di rafforzare la crittografia se essa stessa porta ad attacchi con minacce che sfruttano le applicazioni e le API, arrivando direttamente nel cuore della nostra economia digitale.
Proteggere i nostri asset digitali (le applicazioni) e i canali attraverso i quali possiamo accedervi (API) richiede, infatti, un approccio maggiormente olistico alla protezione delle applicazioni che unisca l’intelligence, la protezione dell’identità, e la capacità di identificare un attacco, oltre chiaramente a una crittografia forte.