Come Akamai aumenta le prassi di sicurezza per mitigare i 10 principali rischi OWASP 2

IntroduzioneL'OWASP Top 10 fornisce l'elenco dei tipi di vulnerabilità più comuni riscontrati nelle odierne applicazioni web. Per chiamare in ballo una comune percezione errata spesso perpetuata dai fornitori di soluzioni di sicurezza, l'OWASP Top 10 non offre una lista di controllo dei vettori di attacco che possono essere bloccati semplicemente con una WAF (Web Application Firewall). Al contrario, il suo obiettivo è quello di aumentare la consapevolezza riguardo alle comuni vulnerabilità della sicurezza che gli sviluppatori delle applicazioni dovrebbero prendere in considerazione, orientare tale consapevolezza mediante una serie di pratiche di sviluppo e aiutare a instillare la cultura dello sviluppo sicuro.

Per poter affrontare i 10 principali rischi OWASP, è necessario comprendere il ruolo svolto dai fornitori di servizi di sicurezza e dalla vostra organizzazione nel proteggere le vostre applicazioni web. Alcune aree a rischio possono essere affrontate solo dagli sviluppatori delle applicazioni. Molti fornitori di servizi di sicurezza possono essere di aiuto in alcune aree, ma spesso non possono fornire una copertura completa od ottimale contro una vulnerabilità. Le migliori soluzioni offrono una combinazione di persone, processi e tecnologie per mitigare i rischi associati alle 10 principali vulnerabilità.

Per sfruttare al massimo l'elenco OWASP Top 10 è necessario comprendere dove e come (e quanto) i fornitori di servizi di sicurezza possono aiutarvi a migliorare le vostre pratiche di sviluppo. Di seguito è descritto il ruolo che Akamai può ricoprire nel sostenere i vostri sforzi con le soluzioni per la sicurezza sull'edge,1 i servizi gestiti2 e l'Intelligent Edge Platform sicura.3

EDITABLE IMAGE

DDoS Script

D

NS

Scenario delle minacce Bot

A

PI

Web

Malw

are

WAP Prolexic Analisi E

dge DNS

Sicurezza sull'edge Bot Manager

KSD

EAA

ETP

PIM

Akamai Intelligent Edge PlatformTM

www www

SaaS SaaS

IaaS

API

Cloud privato Cloud pubblico

Come Akamai aumenta le prassi di sicurezza per mitigare i 10 principali rischi OWASP 3

A1: injection

Impatto: grave Prevalenza: comune Possibilità di sfruttamento: facile

I difetti injection, come SQL, NoSQL, OS e LDAP, si verificano quando vengono inviati dati inattendibili a un interprete come parte di un comando o una query. I dati dannosi dell'autore dell'attacco possono portare l'interprete ad eseguire comandi indesiderati o ad accedere a dati senza un'adeguata autorizzazione.

Il contributo di AkamaiLe organizzazioni possono usare una soluzione per la sicurezza WAF per proteggere le applicazioni web e le API dai difetti injection. Tuttavia, devono sempre applicare le patch alle applicazioni web per affrontare eventuali vulnerabilità scoperte in base a proprio ciclo di sviluppo.

• Akamai WAF4 offre un'ampia protezione dagli attacchi injection con regole pronte all'uso già esistenti.

• L'applicazione di patch virtuali con regole personalizzate può aiutare a risolvere rapidamente vulnerabilità injection emergenti o nuove vulnerabilità emerse dalle modifiche alle applicazioni, finché non è possibile applicare le patch alle applicazioni. L'applicazione di patch virtuali può anche essere automatizzata e integrata nei processi DevSecOps, sfruttando le funzionalità delle API OPEN di Akamai.

• Client Reputation5 offre un punteggio di rischio per i client dannosi fortemente attivi nella categoria Autori di attacchi web per aiutare a identificare e bloccare gli attacchi injection.

• Questi ultimi possono essere ulteriormente analizzati da WAF con una modalità Avviso Penalty Box.

A2: autenticazione danneggiata

Impatto: grave Prevalenza: comune Possibilità di sfruttamento: facile

Le funzioni delle applicazioni correlate all'autenticazione e alla gestione delle sessioni sono spesso implementate in modo errato, consentendo agli autori di attacchi di compromettere password, chiavi o token di sessione, oppure di sfruttare altri difetti di implementazione per assumere l'identità degli utenti in modo temporaneo o permanente.

Il contributo di AkamaiMentre le organizzazioni devono correggere il processo di autenticazione danneggiato per poter affrontare appieno questa vulnerabilità, Akamai può aiutare a individuare e proteggere da molti dei vettori di attacco che cercano di sfruttarla:

• Akamai WAF offre una funzionalità di controllo della velocità, che può gestire gli attacchi di forza bruta.

• Le soluzioni per la gestione dei bot6 possono individuare e gestire l'automazione usata negli attacchi di credential stuffing.

• I cookie HTTP possono essere crittografati sulla piattaforma Akamai7 per impedirne la manomissione e la modifica, rafforzando quindi il processo di autenticazione.

• Enterprise Application Access (EAA)8 può delegare l'accesso alle applicazioni con un "modello di accesso basato sul privilegio minimo", riducendo la superficie di attacco dell'applicazione e ottimizzando l'accesso con funzionalità di autenticazione a due fattori (2FA) e autenticazione multifattore (MFA).

Come Akamai aumenta le prassi di sicurezza per mitigare i 10 principali rischi OWASP 4

A3: esposizione di dati sensibili

Impatto: grave Prevalenza: estesa Possibilità di sfruttamento: media

Molte applicazioni web e API non proteggono adeguatamente i dati sensibili, ad esempio quelli finanziari, sanitari e le informazioni di identificazione personale. Gli autori di attacchi possono rubare o modificare tali dati non sufficientemente protetti per condurre frodi tramite carte di credito, furti d'identità e altri crimini. Senza una protezione aggiuntiva, come ad esempio la crittografia dei dati inattivi o in transito, i dati sensibili possono venire compromessi e sono necessarie precauzioni speciali quando vengono scambiati con il browser.

Il contributo di AkamaiL'esposizione dei dati sensibili copre molti aspetti della modalità di trasmissione, memorizzazione e condivisione dei dati, includendo l'esposizione involontaria dei dati da una pagina web non protetta, e i dati non possono essere pienamente protetti da un'unica soluzione di sicurezza. Tuttavia, varie soluzioni possono aiutare ad affrontare alcuni aspetti di questa vulnerabilità. Per fare qualche esempio:

• Akamai crittografa e protegge i dati sensibili in transito e aiuta a mantenere la conformità PCI agendo esclusivamente da una CDN sicura con rack protetti, supportando tutti i certificati SSL con brand e proteggendo le chiavi private dei clienti.

• Enterprise Application Access può proteggere l'accesso remoto crittografando la comunicazione e nascondendo i dati riservati da sguardi indiscreti sulla rete.

• Enterprise Application Access può anche essere integrato nelle soluzioni per la prevenzione della perdita di dati (DLP) usando ICAP per proteggere ulteriormente i dati sensibili dall'esposizione.

• Enterprise Threat Protector (ETP)9 può aiutare ad evitare l'esposizione dei dati sensibili.

A4: XML External Entities (XXE)

Impatto: grave Prevalenza: comune Possibilità di sfruttamento: media

Molti processori XML vecchi o non correttamente configurati valutano i riferimenti delle entità esterne all'interno dei documenti XML. Le entità esterne possono essere usate per divulgare i file interni che utilizzano l'handler URI del file, le condivisioni di file interni, la scansione delle porte interne, l'esecuzione di codice da remoto e gli attacchi denial-of-service.

Il contributo di Akamai• Akamai WAF include delle regole che possono individuare e arrestare gli attacchi XXE prima che il parser XML

elabori l'entità esterna pericolosa.

• Akamai WAF include funzionalità di protezione delle API con limiti alle richieste API che possono essere usati per la convalida XML e JSON a fronte di formati predefiniti, ai fini di bloccare gli attacchi XXE.

Come Akamai aumenta le prassi di sicurezza per mitigare i 10 principali rischi OWASP 5

A5: controllo degli accessi danneggiato

Impatto: grave Prevalenza: comune Possibilità di sfruttamento: media

Le restrizioni su cosa possono fare gli utenti autenticati spesso non sono applicate in modo adeguato. Gli autori di attacchi possono sfruttare questi difetti per accedere a funzionalità e/o dati non autorizzati, accendendo agli account di altri utenti, visualizzando file sensibili, modificando i dati di altri utenti, modificando i diritti di accesso, ecc.

Il contributo di AkamaiMentre le organizzazioni devono modificare il loro modello di controllo degli accessi per poter affrontare appieno questa vulnerabilità, Akamai può aiutare a individuare e proteggere da alcuni dei vettori di attacco che cercano di sfruttarla:

• Enterprise Application Access offre un modello di accesso basato sul privilegio minimo per gli utenti aziendali, consentendo solo agli utenti autenticati la visibilità e l'accesso alle applicazioni autorizzate, supportando un modello di sicurezza Zero Trust.

• API Gateway10 può applicare l'autenticazione per le API per rafforzare il controllo degli accessi.

• Akamai WAF può aiutare a bloccare gli attacchi di forza bruta ai browser tramite il controllo dei referrer.

• I cookie HTTP possono essere crittografati sulla piattaforma Akamai, rafforzando quindi il controllo degli accessi.

A6: errata configurazione della sicurezza

Impatto: moderato Prevalenza: estesa Possibilità di sfruttamento: facile

L'errata configurazione della sicurezza è il problema più comune. Spesso è il risultato di configurazioni predefinite non sicure, configurazioni incomplete o ad hoc, storage sul cloud aperto, intestazioni HTTP non correttamente configurate o messaggi di errore dettagliati contenenti informazioni sensibili. Oltre a configurare in modo sicuro tutti i sistemi operativi, i framework, le librerie e le applicazioni, è necessario applicarvi le patch e aggiornarli puntualmente.

Il contributo di AkamaiPer definizione, l'errata configurazione della sicurezza (a.) copre molteplici aspetti della sicurezza di un'applicazione e (b.) richiede alle organizzazioni di configurare in modo adeguato i controlli di sicurezza. Anche se non può sostituire una configurazione appropriata, Akamai può aiutare a proteggere dalle fughe di dati:

• Akamai WAF include un gruppo di attacco alle anomalie dall'esterno per catturare le fughe di informazioni, come i codici di errore o il codice sorgente risultante da un'errata configurazione della sicurezza.

• L'applicazione di patch virtuali con regole personalizzate può aiutare a risolvere rapidamente le fughe di dati finché non è possibile applicare le patch alle applicazioni.

• È possibile proteggersi dagli attacchi di forza bruta con i controlli della velocità.

• Una configurazione di sicurezza debole sulle intestazioni delle policy di sicurezza dei contenuti può essere rafforzata sulla piattaforma Akamai.

Come Akamai aumenta le prassi di sicurezza per mitigare i 10 principali rischi OWASP 6

A7: attacco XSS (Cross-Site Scripting)

Impatto: moderato Prevalenza: estesa Possibilità di sfruttamento: facile

I difetti XSS si verificano ogni volta che un'applicazione (a.) include dati inattendibili in una nuova pagina web senza una convalida o una sequenza di escape adeguate o (b.) aggiorna una pagina web esistente con dati forniti dall'utente usando un'API del browser che può creare HTML o JavaScript. XSS consente agli autori di attacchi di eseguire script nel browser della vittima che possono assumere il controllo delle sessioni dell'utente, compromettere i siti web o reindirizzare l'utente verso siti dannosi.

Il contributo di AkamaiLe organizzazioni possono usare una soluzione per la sicurezza WAF per proteggere le applicazioni web dagli attacchi XSS (Cross-Site Scripting). Tuttavia, devono sempre applicare le patch alle applicazioni web per affrontare eventuali vulnerabilità scoperte in base a proprio ciclo di sviluppo.

• I prodotti Akamai WAF presentano regole XSS WAF esistenti che identificano e interrompono gli attacchi XSS immediatamente.

• L'applicazione di patch virtuali con regole personalizzate può aiutare a risolvere rapidamente vulnerabilità XSS emergenti o nuove vulnerabilità emerse dalle modifiche alle applicazioni, finché non è possibile applicare le patch alle applicazioni.

• Client Reputation offre un punteggio di rischio per i client dannosi nella categoria Autori di attacchi web, per aiutare a identificare e bloccare gli attacchi XSS.

• La piattaforma Akamai può impostare immediatamente le intestazioni delle policy di risposta di sicurezza per proteggere dagli attacco XSS.

A8: deserializzazione non sicura

Impatto: grave Prevalenza: comune Possibilità di sfruttamento: difficile

La deserializzazione non sicura porta spesso all'esecuzione remota del codice. Anche quando i difetti di deserializzazione non portano all'esecuzione remota del codice, possono essere usati per eseguire attacchi, inclusi quelli di replay, quelli injection e quelli di escalation dei privilegi.

Il contributo di AkamaiLe organizzazioni possono usare una soluzione per la sicurezza WAF per proteggere le applicazioni web e le API dai difetti di deserializzazione non sicuri. Tuttavia, devono sempre applicare le patch alle applicazioni web per affrontare eventuali vulnerabilità scoperte in base a proprio ciclo di sviluppo.

• Le regole di Akamai WAF individuano gli attacchi di deserializzazione.

• L'applicazione di patch virtuali con regole personalizzate può aiutare a risolvere rapidamente i nuovi difetti di deserializzazione finché non è possibile applicare le patch alle applicazioni.

• Akamai WAF include funzionalità di protezione delle API con un modello di sicurezza positivo che definisce formati oggetto XML e JSON accettabili per separarli da quelli dannosi.

Come Akamai aumenta le prassi di sicurezza per mitigare i 10 principali rischi OWASP 7

A9: uso di componenti con vulnerabilità note

Impatto: moderato Prevalenza: estesa Possibilità di sfruttamento: media

Componenti quali librerie, framework e altri moduli software vengono eseguiti con gli stessi privilegi dell'applicazione. Inoltre, gli script agiscono da risorse per le applicazioni affidabili con pieno accesso ai dati applicativi. Se un componente vulnerabile viene violato, un tale attacco può facilitare una grave perdita di dati o il controllo del server. Le applicazioni e le API che usano componenti con vulnerabilità note possono pregiudicare le difese delle applicazioni e consentire vari attacchi e impatti.

Il contributo di AkamaiAnche se popolari e ampiamente usati per ridurre i tempi e i costi di sviluppo, i componenti di terze parti sono un punto di entrata molto comune perfino nelle vostre applicazioni proprietarie. I rischi sono diversi. Le organizzazioni spesso perdono il conto, con team di sicurezza spesso completamente ignari, dei componenti di terze parti usati all'interno delle loro applicazioni. Inoltre, le organizzazioni non hanno alcun controllo sulla velocità o sui tempi con cui le vulnerabilità recenti vengono risolte dall'entità terza. Di conseguenza, l'applicazione diretta e tempestiva delle patch può essere difficile o impossibile, richiedendo l'uso di una soluzione per la sicurezza, come una WAF e la protezione dello script.

• Akamai WAF include molteplici regole progettate per risolvere le vulnerabilità note, in modo specifico nelle vostre applicazioni o nei componenti di terze parti.

• L'applicazione di patch virtuali con regole personalizzate può aiutare a risolvere rapidamente vulnerabilità emergenti o nuove vulnerabilità emerse dalle modifiche alle applicazioni, finché non è possibile applicare le patch alle applicazioni.

• Akamai WAF offre funzionalità per proteggere le API dei componenti di terze parti dagli attacchi che sfruttano le vulnerabilità note.

• Client Reputation offre un punteggio di rischio per i client dannosi nella categoria Scansione web per aiutare a proteggere dallo sfruttamento delle nuove vulnerabilità.

• Page Integrity Manager protegge le applicazioni web dalle nuove minacce, come attacchi di web skimming, form jacking e Magecart, individuando comportamenti degli script sospetti e fornendo utili informazioni per bloccare l'attività dannosa.

• Page Integrity Manager blocca l'esfiltrazione dei dati dagli script di prime e terze parti verso URL con vulnerabilità note usando un database CVE (Common Vulnerabilities and Exposures) aggiornato.

A10: registrazione e monitoraggio insufficienti

Impatto: moderato Prevalenza: estesa Possibilità di sfruttamento: media

La registrazione e il monitoraggio insufficienti, associati a un'integrazione assente o inefficace con la risposta agli incidenti, consente agli autori di attacchi di proseguire con gli attacchi, mantenere la persistenza, attaccare altri sistemi, e manomettere, estrarre o distruggere dati. La maggior parte degli studi sulle violazioni rivela che il tempo per individuare le violazioni è, in genere, superiore ai 200 giorni e che tali violazioni vengono rilevate solitamente da parti esterne piuttosto che da processi o monitoraggio interni.

Come Akamai aumenta le prassi di sicurezza per mitigare i 10 principali rischi OWASP 8

Il contributo di AkamaiLa registrazione e il monitoraggio insufficienti non rappresentano di per sé una vulnerabilità, ma una falla nella capacità di un'organizzazione di individuare le vulnerabilità e i tentativi di sfruttarle. Akamai include molteplici funzionalità per fornire alle organizzazioni una maggiore visibilità sugli attacchi, tra cui:

• Akamai offre dashboard e strumenti per la creazione di report all'interno dell'interfaccia utente grafica Luna Control Center11.

• Akamai si integra nell'infrastruttura SIEM esistente delle organizzazioni per correlare gli eventi rilevati da Akamai con quelli di altri fornitori di servizi di sicurezza.

• I servizi gestiti per la sicurezza di Akamai offrono funzionalità di analisi e risposte 24 ore su 24/7 giorni su 7.

• Akamai WAF include una funzionalità Penalty Box che consente una maggiore registrazione delle sessioni sospette per un'analisi più approfondita.

• Akamai Enterprise Application Access offre una soluzione di gestione dell'identità integrata per autenticare e controllare l'accesso a tutte le applicazioni aziendali. Combinando tutto ciò con le funzionalità proxy basate sull'identità, le organizzazioni possono avere una visibilità dettagliata sulle azioni degli utenti, inclusa la visibilità su ogni azione GET/POST.

• Akamai Enterprise Threat Protector assicura una piena visibilità su tutte le richieste DNS esterne da parte di un'azienda, sia dannose che legittime.

ConclusioneLa migliore difesa contro le 10 principali vulnerabilità OWASP può essere ottenuta quando le organizzazioni e il loro fornitore di servizi per la sicurezza collaborano per allineare il loro personale, i loro processi e le loro tecnologie. Akamai offre una tecnologia leader nel settore e un personale altamente competente per allinearsi con i vostri processi. Per maggiori informazioni relative al portfolio di prodotti per la sicurezza sull'edge di Akamai, potete consultare il nostro sito web. Se desiderate discutere ed esplorare più nel dettaglio il modo in cui possiamo collaborare per creare la migliore protezione per la vostra azienda, contattate il vostro rappresentante vendite Akamai.

Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni ambito,

dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad Akamai per ottenere

un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud. Akamai più di tutti è in grado di

tenere vicine agli utenti le decisioni, le app e le experience e lontani gli attacchi e le minacce. Il portfolio Akamai di soluzioni per l'edge security, le web

e mobile performance, l'accesso aziendale e la delivery di contenuti video è affiancato da un servizio clienti di assoluta qualità e da un monitoraggio

24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Per scoprire perché i principali brand del mondo si affidano ad Akamai, visitate il sito www.akamai.com

o blogs.akamai.com e seguite @Akamai su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations.

Data di pubblicazione: 05/20.

Fonti

1. Sicurezza sull'edge

2. Servizi e assistenza

3. Akamai Intelligent Edge Platform™

4. Kona Site Defender (KSD) e Web Application Protector (WAP)

5. Client Reputation

6. Bot Manager

7. CDN sicura

8. Enterprise Application Access

9. Enterprise Threat Protector

10. API Gateway

11. Luna Control Center