Attacchi alle Web app: gli hacker affinano le armi
Secondo una nuova ricerca promossa dagli F5 Labs e condotta dal Cyentia Institute, gli exploit contro le applicazioni Web rappresentano oggi la principale minaccia per la sicurezza informatica che le organizzazioni devono affrontare.
Il report, intitolato The State of the State of Application Exploits in Security Incidents, è un’indagine multi-sorgente, la più completa ad oggi realizzata dal punto di vista dell’analisi della frequenza e del ruolo degli exploit contro le applicazioni, ed è stata realizzata attingendo in larga misura alla Cyentia Research Library ma anche avvalendosi di numerosi input provenienti da altre ricerche e fonti, con l’obiettivo di ricostruire un quadro più ampio possibile dell’evoluzione della sicurezza informatica, aiutando il settore a progredire e mettere a fattor comune ricerche e analisi.
“Se diamo uno sguardo allo stato attuale della ricerca nel settore della sicurezza informatica, possiamo notare che la meta-analisi è difficile, se non impossibile a volte. Tuttavia, con questo studio abbiamo voluto dimostrare che l’analisi multi-sorgente si può fare e rappresenta l’approccio corretto”, commenta Wade Baker, Partner & Co-Founder del Cyentia Institute. “Un’analisi multi-sorgente di questo tipo, infatti, è importante e in grado di anticipare le sfide dell’integrazione, standardizzazione e analisi di data set che differiscono notevolmente tra loro”.
Il report evidenza come il 56% dei principali incidenti di sicurezza informatica che si sono verificati negli ultimi cinque anni sia imputabile a una problematica relativa alle applicazioni Web. Rispondere a questi incidenti è costato più di 7,6 miliardi di dollari, un ammontare che corrisponde al 42% di tutte le perdite finanziarie registrate per “eventi estremi legati a perdite informatiche”. Negli ultimi otto anni, gli attacchi alle applicazioni Web sono stati anche il principale modello di incidente informatico dal punto di vista delle violazioni dei dati (al primo posto 6 anni su 8).
In particolare, gli exploit contro applicazioni esposte al pubblico sono una delle due principali tecniche di attacco iniziali indicate da tutte le fonti che hanno segnalato le violazioni a MITRE ATT&CK, un database per conoscere tattiche e tecniche degli avversari basato su osservazioni del mondo reale e accessibile a tutti a livello globale.
Il Cyentia Institute ha scoperto, inoltre, che il tempo medio di rilevamento degli incidenti che coinvolgono gli exploit delle applicazioni Web è di 254 giorni, significativamente superiore alla media di 71 giorni che viene indicata per altri eventi analizzati legati a perdite o sottrazioni.
Un ulteriore aspetto interessante emerso dal report è che il 57% di tutte le perdite note relative agli attacchi più significativi che hanno colpito le Web app negli ultimi cinque anni è stato attribuito ad hacker al servizio di Stati nazionali, con danni per 4,3 miliardi di dollari.
“I report analizzati e integrati dal Cyentia Institute affrontano gli aspetti della sicurezza informatica con modalità molto diverse tra loro: alcuni si focalizzano sugli incidenti in sé, come livello più intelligibile a partire dal quale esaminare la sicurezza, altri sulle motivazioni di chi attacca o su tattiche, tecniche e procedure (TTP) oppure sulle diverse tipologie di vulnerabilità”, spiega Raymond Pompon, Direttore degli F5 Labs. “Queste ultime sembrano oggi l’aspetto maggiormente sconnesso nelle analisi; i ricercatori di Cyentia, infatti, hanno notato una sorta di effetto “Torre di Babele” che ha impedito loro di raggiungere conclusioni più definitive rispetto alla prevalenza di SQL injection e cross-site scripting. Nonostante queste differenze, però, tutte le diverse ricerche giungono alla medesima conclusione: gli attacchi contro le applicazioni Web, in particolare gli attacchi legati all’autenticazione e gli exploit Web, oggi costituiscono la principale fonte di rischio“.
I dati e i report analizzati evidenziano anche una visione comune rispetto ai comportamenti e alle misure di sicurezza chiave da adottare, che secondo il Cyentia Institute si possono riassumere in: “Ripara il tuo codice, aggiorna i tuoi sistemi, raddoppia le tue credenziali e … watch your back(door)!”
“Siamo rimasti sorpresi nel vedere come sotto la superficie di tutte queste ricerca non vi sia una reale discontinuità e frammentazione, ma un consenso comune sulla difficoltà di esecuzione”, aggiunge Pompon. “Sembra che, dal punto di vista teorico, la maggior parte dei team di sicurezza sappia che cosa deve fare, ma il vero problema è essere in grado di mettere in pratica questa teoria nel tempo“.
“Questa conclusione deve farci aprire gli occhi”, conclude Pompon. “È di certo impegnativo condurre un’analisi comune dettagliata e profonda perché tutte le organizzazioni differiscono tra loro sotto moltissimi punti di vista, nel modello organizzativo, il livello di tolleranza al rischio, il footprint tecnologico e così via. Per questo motivo, è necessario spostarsi verso un modello di intelligence della sicurezza che riguardi più il come e meno il cosa potrebbe portare a una maggiore conformità tecnologica e operativa. Come sempre, gli F5 Labs continueranno ad aiutare a progredire la ricerca e ad avvicinare la pratica alla teoria a vantaggio di chi si occupa di protezione informatica in tutto il mondo“.
Il report completo di F5 The State of the State of Application Exploits in Security Incidents è scaricabile al seguente link.