Home > Primo Piano > Attacchi web: la “guida alla sopravvivenza” di Imperva

Attacchi web: la “guida alla sopravvivenza” di Imperva

scritto da: SABMCS | segnala un abuso

Attacchi web: la “guida alla sopravvivenza” di Imperva


 Tra chi riceve intimazioni di pagamento di ingenti importi pena il veder crollare il proprio sito sotto una moltitudine di attacchi DDoS, chi apre un google alert e scopre di essere l’obiettivo del prossimo attacco da parte degli hacktivist e chi invece riscontra che il framework applicativo su cui poggia il proprio sito è un colabrodo e che ci vorranno mesi per rimuovere tutte le vulnerabilità, si stima che il 74% di tutte le organizzazioni, pubbliche o private, a livello globale sia stato vittima almeno una volta di un attacco e che alcuni siti a traffico elevato subiscano fino a 26 tentativi di attacco al minuto. Cosa fare quando l’incubo peggiore si tramuta in realtà?

 
Milano / Rozzano – Sebbene gli attacchi condotti via web non siano una novità, è innegabile che essi evolvano nel tempo. L’industrializzazione del cybercrime ha visto tecniche di attacco articolate, tra cui cross site scripting, directory traversal, remote file inclusion (RFI), local file inclusion (LFI), cross-site request forgery, attacchi DDoS e varianti scavalcare il tipico attacco frontale ai danni di aziende pubbliche e private di qualsiasi dimensione e tipo. L’intento è noto a chiunque: carpire dati riservati da rivendere al mercato nero o utilizzare a scopo fraudolento, mettere in ginocchio server web o modificarne i contenuti o per motivi politici o per frodare gli ignari utenti. Le modalità di un attacco web variano drasticamente in base a chi lo conduce. Uno script kiddie che attacca un sito e-commerce per trafugare i dati delle carte di credito utilizza strumenti e tecniche ben diverse da un gruppo di hacktivists intento a mettere in ginocchio il sito di una banca tra le Fortune 50. Peraltro gli stessi strumenti impiegati subiscono numerose variazioni nel tempo: gli hacker ne creano costantemente di nuovi per aggirare i sistemi di identificazione delle signature lasciando con un palmo di naso chi sviluppa le applicazioni. Ne consegue che anche le modalità di contrasto di un attacco dovranno essere flessibili. Indipendentemente dalla motivazione dell’attacco infatti, gli hacker mirano in genere a siti che ritengono potenzialmente vulnerabili. Una volta esaurito il portafoglio di tecniche di attacco, passeranno alla prossima vittima. Le organizzazioni possono rendere i propri siti verosimilmente impenetrabili agli attacchi, implementando difese inviolabili tra cui il blocco degli attacchi in tempo reale, misure anti-automatizzazione, elasticità di banda multi-gigabit e protezione delle sessioni, con la speranza che gli hacker abbandonino rapidamente l’impresa. 
In base alle numerose interviste condotte con un ampio pool di esperti di sicurezza in prima linea nella guerra contro il cybercrime, con consulenti che aiutano quotidianamente le aziende a prepararsi a contrastare attacchi informatici, oltre che con professionisti della sicurezza che hanno letteralmente sprangato i propri siti per proteggersi da eventuali attacchi, Imperva Inc. (NYSE: IMPV) pioniere del terzo pilastro della sicurezza IT e produttore leader di soluzioni che colmano le lacune dei sistemi di sicurezza tradizionali proteggendo direttamente applicazioni critiche e dati sensibili in data center fisici e virtualizzati, ha prodotto una comoda “guida per la sopravvivenza” agli attacchi web, condotti oggi nel 75% dei casi ai danni delle applicazioni su cui poggiano i siti stessi (cfr. Gartner Research). Nello specifico degli attacchi DDoS ad esempio, questi non si limitano più a “mandare in tilt” un server inondandolo con miliardi di pacchetti TCP o UDP e picchi di traffico di fino a 300 Gbps, ma sfruttano a tale scopo proprio le vulnerabilità delle applicazioni o del database integrato nel sito. A fronte di campagne di attacco continue, vale la pena di prepararsi in modo da respingere con successo tali attacchi.
 
La guida alla sopravvivenza contro gli attacchi web, reperibile su https://www.imperva.com/lg/lgg.asp?pid=329 non si limita a trattare le metodologie di attacco e gli strumenti impiegati da hacktivists e cybercriminali, bensì illustra processi, tecnologie ed esempi di configurazione delle policy impiegabili al fine di salvaguardare il proprio sito da eventuali attacchi e rappresenta un punto di partenza concreto per la corretta prioritizzazione delle misure di sicurezza da adottare, facendo luce su aspetti di norma poco considerati, tra cui:
 
L’origine delle minacce 
Che la minaccia provenga da un gruppo di hacktivists (p.es. Anonymous o similari), da uno script kiddie o da cybercriminali organizzati, sarebbe auspicabile compiere ricerche sulle rispettive tecniche di attacco e sugli strumenti che impiegano. Mentre monitorare le attività degli hacktivists è relativamente semplice, poiché pubblicizzano modalità e strumenti impiegati sui social e tramite forum, profilare le attività del crimine organizzato risulta più difficile. In questo caso l’opzione migliore è condividere con i vostri colleghi eventuali fonti di attacchi subiti, come le relative tecniche e gli strumenti adottati dai criminali, oppure consultare regolarmente i rapporti di “Hacker Intelligence” ed eventuali ricerche sulla sicurezza pertinenti al vostro settore di mercato.
 
Una corretta pianificazione
Oltre a definire un team di esperti di sicurezza che si renda disponibile h24 in caso di emergenza, si raccomanda di raccogliere informazioni salienti sulla propria rete e sui propri server, inclusi gli indirizzi IP dei server (web / database) e delle appliance di rete (router / firewall) in uso, come quelli relativi all’infrastruttura di backup in caso di disaster recovery. E’ altresì opportuno produrre diagrammi che illustrino l’architettura di rete dei data center a rischio, oppure - qualora questi esistano – tenerli sempre aggiornati. Ovviamente tali informazioni vanno condivise solo tra gli addetti ai lavori, evitando l’invio per email o l’archiviazione delle informazioni su un file server accessibile a qualsivoglia impiegato. Nel contempo è necessario evangelizzare gli utenti aziendali in merito all’uso di password sicure, al phishing e al social engineering.
 
L’esatta localizzazione e identificazione di server, applicazioni e database
Nonostante un’accurata documentazione a volte sfuggono server isolati, implementati magari su piattaforme cloud dal reparto di ricerca e sviluppo per testare nuove applicazioni o nuovi database, oppure applicazioni installate senza previa autorizzazione sul client di qualche utente. Senza una verifica approfondita e una classificazione certa della località e della tipologia di tutti i server e delle applicazioni effettivamente in uso, la valutazione dei rischi non sarà completa e non consentirà agli amministratori di sistema di focalizzare i propri sforzi sulle aree realmente compromesse. Inoltre è necessario identificare e mettere in sicurezza i database che contengono dati sensibili tra cui informazioni personali, dati sanitari, numeri di carte di credito o proprietà intellettuali e definire quali applicazioni sono essenziali per il successo aziendale. Anche qualora il sito non dovesse contenere informazioni sensibili o essere direttamente collegato al vostro ERP, è comunque passibile di attacchi sia per la maggiore visibilità pubblica sia perché comunque è una potenziale porta d’accesso alle risorse di rete. 
 
I giusti strumenti per proteggersi
Una volta analizzate e rimosse le vulnerabilità di server e applicazioni, è il caso di potenziare le proprie difese. Per sventare un attacco è necessario applicare policy di sicurezza più rigide per applicazioni, server e reti. A tale scopo si raccomanda l’applicazione di policy di Intrusion Prevention stringenti attraverso adeguati firewall perimetrali, l’installazione di moderne soluzioni antivirus e l’aggiornamento costante delle rispettive definizioni sia sui client sia sui server. Qualora si impieghi un database firewall, sarebbe opportuno configurarlo in modo che lo stesso applichi virtualmente le patch ai database non patchati. Il database firewall sarà anche in grado di bloccare eventuali query non autorizzate al database. 
Qualora la vostra organizzazione disponga di un sito che interagisce con i vostri clienti e partner o integra applicazioni extranet dislocate nel cloud, è necessario assicurarsi che esso sia protetto da un Web Application Firewall. Esistono diverse soluzioni per salvaguardare applicazioni in hosting, erogate in modalità SaaS ad esempio. I Web Application Firewall di ultima generazione identificano le richieste provenienti dai i più comuni strumenti di verifica delle vulnerabilità e hacking dei siti, tra cui Nikto, Paros e Nessus. Queste soluzioni sono altresì in grado di bloccare eventuali scanner di siti in base alla frequenza delle violazioni di sicurezza in un dato lasso di tempo. Per evitare che eventuali criminali identifichino vulnerabilità sul vostro sito è opportuno configurare il WAF in modo da bloccare tali scanner e/o applicazioni esplorative.
 
Infine, per ridurre il rischio di downtime, è necessario implementare policy specifiche, illustrate nel dettaglio nella “guida alla sopravvivenza”, prima che l’attacco abbia luogo. Tali policy andranno attivate immediatamente e adattate qualora si subisca un attacco. E’ anche opportuno far sì che tutti i device preposti alla sicurezza dell’infrastruttura IT e dei dati siano gestibili tramite una rete alternativa out-of-band, evitando l’irreperibilità dei device quando ne avrete assoluta necessità, ossia durante un attacco DDoS.
 
Procedure di monitoraggio e tuning in caso di attacco
Quanto elencato in precedenza fa capo alle misure preventive, ma cosa fare per contrastare un attacco in corso? Indubbiamente il team di esperti precedentemente determinato dovrà monitorare e gestire l’attacco sulla base di quanto riportato in primis dal web application firewall e in secondo luogo dagli altri baluardi di sicurezza posti all’interno dell’infrastruttura, al fine di adattare le policy precedentemente generate in modo opportuno e consono al tipo di attacco subito. 
 
Una volta terminato l’attacco, oltre a tirare un respiro di sollievo è assolutamente prioritario effettuare un’analisi dettagliata della situazione in termini di eventuali danni o di successi riscontrati nelle attività di contrasto dell’attacco, con l’intento di perfezionare strumenti e misure per la messa in sicurezza della propria infrastruttura e dei dati che essa ospita. A tale scopo è utile verificare sui social se c’è qualche traccia dell’attacco sferrato e/o se sono state pubblicate informazioni sugli strumenti utilizzati, ad esempio gli hacktivists comunicano con la sigla “#TangoDown” l’avvenuto crash del o dei server a cui miravano rendendo note su appositi forum le modalità di attacco.
 

Imperva | attacco DDoS | come sventare un attacco web | cross site scripting | cross-site request forgery | database firewall | directory traversal | Exclusive Networks | local file inclusion (LFI) | remote file inclusion (RFI) | script kiddie | Web Application |



Commenta l'articolo

 

Potrebbe anche interessarti

Attacchi di panico: cosa sono?


Acronis avverte: sarà l'anno peggiore per numero di attacchi informatici e incidenti con perdita di dati


Le principali minacce informatiche del 2020: il bilancio di Avast


Hackers: come difendersi. Protezione, mitigazione o accettazione del rischio?


Daiichi Sankyo Astrazeneca: pazienti affetti da tumore HER2 positivo o mutato. I risultati presentati ad ASCO 2020


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Lo straordinario caso di Petrovax Pharm: la flessibilità di Snom batte ogni complessità di configurazione

Lo straordinario caso di Petrovax Pharm: la flessibilità di Snom batte ogni complessità di configurazione
In alcuni settori industriali, diversamente da altri, non è facile integrare le nuove tecnologie. Il motivo? Le condizioni sono sempre diverse. Ad esempio può essere necessario coprire grandi superfici, servire un elevato numero di dipendenti o, ancora, conformarsi a complessi standard specifici. Quest’ultimo caso si verifica, in particolare, nel settore farmaceutico.Se da una parte la comunicazione è un aspetto chiave per la produzione, dall'altra nell'industria farmaceutica vanno rispettati sempre protocolli stringenti. Questo vuol dire (continua)

Un anno di cambiamenti: Gestione delle risorse umane nonostante e alla luce della crisi sanitaria

Un anno di cambiamenti: Gestione delle risorse umane nonostante e alla luce della crisi sanitaria
Le misure adottate in tutto il mondo per contenere la pandemia hanno generato enormi cambiamenti anche nell’ambito delle risorse umane. Tuttavia, un ritorno ai vecchi schemi non è più concepibile e nemmeno voluto. Una relazione sulla gestione delle risorse umane 2021. Berlino | La lotta contro il coronavirus non ha avuto solo conseguenze macroeconomiche negli ultimi 18 mesi. In tutte le organizzazioni di tutte le dimensioni e in tutti i settori, sono state adottate le più svariate misure per evitare il contagio, in conformità con le normative in vigore nei diversi Stati. Questo è stato un periodo molto impegnativo, specialmente per le aziende con sedi dislocate (continua)

Snom: quando il telefono IP fa risparmiare tempo per salvare vite

Snom: quando il telefono IP fa risparmiare tempo per salvare vite
Negli ospedali la corsa contro il tempo è una circostanza quotidiana, soprattutto in strutture sanitarie spesso sotto pressione. Snom evidenzia i vantaggi che scaturiscono dall'ottimizzazione della comunicazione ospedaliera. Berlino - Un trattamento ottimale può essere garantito solo in condizioni ottimali. Nelle strutture sanitarie questo principio andrebbe applicato non solo alle condizioni di lavoro del personale infermieristico ma anche alle attrezzature di lavoro.La digitalizzazione del sistema sanitario promossa dai governi di tutta l’Unione Europea dall'inizio del 2000 non può prescindere dal rinnovamento dell' (continua)

Quando il progresso scaturisce dall’integrazione: Con Snom l'asset tracking diventa parte integrante dell'infrastruttura per le telecomunicazioni

Quando il progresso scaturisce dall’integrazione: Con Snom l'asset tracking diventa parte integrante dell'infrastruttura per le telecomunicazioni
Nonostante l'uso di moderne infrastrutture VoIP, le aziende beneficiano solo in minima parte dell'impareggiabile potenziale di ottimizzazione derivante dall'integrazione di telecomunicazioni, IT e OT. Con la sua tecnologia Beacon, Snom porta sul mercato le sue ultimissime innovazioni nell’ambito dell’integrazione di soluzioni per la localizzazione precisa (al metro), protezione antifurto e chiamate di emergenza. Berlino | Quando si tratta di telecomunicazioni IP professionali, i clienti che non vogliono scendere a compromessi in merito alla robustezza e versatilità dei terminali si rivolgono volentieri a Snom. Il marchio premium su scala globale per la moderna telefonia IP nelle aziende e nell'industria fa leva sulle sue potenti soluzioni DECT per la telefonia VoIP cordless professionale e molto altro: co (continua)

Quando la moderna telefonia addolcisce le vacanze

Quando la moderna telefonia addolcisce le vacanze
Gradualmente per molti inizia la pianificazione delle vacanze. Grazie alle attuali regolamentazioni è possibile spostarsi a tale scopo sia all'interno del proprio Paese si all’estero. A fronte di un anno in cui i più hanno rinunciato a viaggiare, molti vorrebbero coglierne l'opportunità questa estate. Ora più che mai, l’implementazione di buone misure igieniche da parte dell’hotel dove si soggiorna è garante di una vacanza spensierata. Dopo tutto, le ferie sono fatte per rilassarsi e sfuggire alla vita quotidiana. Berlino | Nel corso dello scorso anno l'industria alberghiera ha dovuto sopportare misure draconiane. Poter finalmente riaprire per la stagione estiva è quindi ancora più gratificante, ma per  soddisfare al meglio le esigenze dei clienti, sono necessari strumenti efficaci che supportino l’erogazione di servizi discreti e affidabili.Snom, marchio premium di caratura globale per la moderna tele (continua)