[section_title title=Sicurezza delle app – Parte 1]
A cura di Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks
C’è una domanda nascosta che tutti si fanno, ma nessuno fino a oggi ha avuto il coraggio di rivolgere apertamente. Si tratta di un aspetto che può sembrare banale, quel qualcosa di cui non si parla mai, forse per non sembrare “retrogradi”. In realtà il motivo è che molti non sanno la risposta, o almeno non amano parlare di questo tema.
Prendete le giuste precauzioni quando utilizzate il cloud? Ovvero, proteggete le applicazioni nel cloud dalle minacce e dagli attacchi? Non intendo in termini di gestione delle identità e degli accessi, di sicurezza del network o di crittografia, ma degli aspetti legati alla sicurezza delle applicazioni nel cloud nella sua interezza.
È sorprendente come oggi nella vastità di Internet siano disponibili moltissimi documenti, ricerche, suggerimenti e discussioni generali sulla “sicurezza nel cloud” ma pochissimi di essi menzionino le parole “sicurezza delle app”. Posso trovare sondaggi e statistiche sull’utilizzo della crittografia, su chi dovrebbe (e non lo fa) proteggere i dati nel cloud, e chi utilizza quale tipo di soluzione di gestione delle identità e degli accessi per controllare l’accesso alle app ovunque e in qualsiasi momento. Ma sul tema della sicurezza delle applicazioni? Non si trova nulla!
Il che è davvero inquietante dato che le applicazioni web sono la seconda causa principale di incidenti di sicurezza per le aziende che offrono servizi finanziari, secondo l’ultimo Data Breach Investigation Report (DBI) di Verizon. È altrettanto sorprendente, analizzando le prime 25 tipologie di violazioni di questo secolo, scoprire che quasi metà di esse (44%) sono state eseguite attraverso un’applicazione web. Tutto questo è decisamente sconfortante perché sembra che ci sia una correlazione tra una minore attenzione alla sicurezza e la migrazione delle applicazioni nel cloud.
La realtà è che la crittografia non è la panacea. E non lo è nemmeno la sicurezza del network o l’identity and access management! Si tratta di approcci tutti validi ma che, individualmente, sono solo parte di un sistema di protezione molto più grande. Uno schema di protezione che dovrebbe – ma spesso non lo fa – includere nel proprio mix la protezione delle applicazioni.
La sicurezza di rete non riuscirà a fermare un attacco HTTP DDoS. La gestione delle identità e degli accessi non riuscirà a fare nulla contro lo sfruttamento di vulnerabilità della piattaforma web, come nel caso di Heartbleed o Apache Killer. La crittografia non potrà fermare un SQLI, cripterà semplicemente il codice maligno ivi nascosto rispetto alla miriade di servizi in rete progettati per scovarlo.
Per proseguire la lettura vai alla pagina seguente
