Comments
Transcript
Come chiudere la backdoor alle Network Application
Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza Di Angelo Comazzetto, Senior Product Manager, Network Security Con Web server che affrontano nuove tecniche di attacco e nuove vulnerabilità, per proteggere le reti moderne non bastano più i firewall tradizionali. La protezione dei Web server deve essere inclusa come componente di un'infrastruttura di sicurezza informatica completa, per creare un ambiente meno rischioso. Tuttavia i Web application firewall tendono a essere costosi e difficili da gestire, il che rende il delivery di queste soluzioni tutt'altro che fattibile per le aziende di piccole e medie dimensioni. Questo whitepaper indica il funzionamento e i motivi degli attacchi rivolti ai Web server, nonché come le aziende di piccole e medie dimensioni possono servirsi dell'unified threat management (UTM) per semplificare delivery e gestione dei Web application firewall per la protezione dei Web server. Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza Vulnerabilità dei Web server Quasi tutte le organizzazioni, siano esse un conglomerato di sedi internazionali o piccole aziende private locali, hanno un sito Web. Il sito è la parte dell'organizzazione rivolta al pubblico, dove i clienti attuali e potenziali si recano per interagire con l'azienda stessa. I clienti possono utilizzare i siti Web per gestire i propri account, cercare informazioni e ordinare prodotti. Purtroppo alcune aziende di piccole e medie dimensioni trascurano la protezione di questa parte pubblica e vulnerabile della propria rete. Molte aziende implementano firewall e URL filter, in aggiunta a programmi antivirus e antispam. Il problema è però che queste minacce stanno diventando sempre più sofisticate e dipendenti dal Web. Secondo un report recentemente compilato, l'80% degli attacchi alla rete hanno come obiettivo i sistemi basati sul Web1. Se da un lato i firewall di prima e seconda generazione sono pur sempre in grado di impedire ad alcune infezioni di raggiungere la rete, non bastano per bloccare l'accesso a tutti i tipi di malware, come ad es. le categorie ransom e fake antivirus. Una strategia basata unicamente sul firewall è paragonabile a chiudere a chiave la porta principale di casa, sperando che nessuno noti che quella di servizio (backdoor in inglese) è stata lasciata aperta, con solamente una zanzariera a difenderla dagli intrusi. I criminali informatici possono facilmente rimuovere la zanzariera e entrare nella rete. Con Web server che si trovano ad affrontare nuove tecniche di attacco e nuove vulnerabilità, i firewall tradizionali non bastano più per proteggere le reti moderne. La protezione dei Web server deve essere integrata come componente di un'infrastruttura di sicurezza informatica completa, per creare un ambiente meno rischioso. Vulnerabilità delle applicazioni Web Il 69% delle applicazioni Il 42% conteneva Web conteneva almeno una vulnerabilità ad attacchi vulnerabilità ad attacchi di di cross-site scripting SQL injection persistenti Uno studio condotto da HP nel 2011, che ha preso in esame 236 applicazioni Web, ha rilevato gravi vulnerabilità Fonte: Hewlett-Packard Application Security Center, Web Security Research Group 1. Top Cyber Security Risks Report, HP TippingPoint DVLabs, SANS Institute and Qualys Research Labs, settembre 2010 Whitepaper Sophos aprile 2012 2 Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza Evoluzione del firewall I firewall hanno fatto la propria comparsa verso la fine degli anni '80, quando Internet era ancora una tecnologia nuova, con limiti di utilizzo globale e connettività. I firewall denominati "di prima generazione" si basavano su packet filter che analizzavano i pacchetti trasferiti da un computer a un altro tramite Internet. Se un pacchetto corrispondeva al set di regole del packet filter, tale packet filter rimuoveva (eliminava in maniera invisibile) il pacchetto o lo rifiutava direttamente (lo eliminava, inviando "risposte di errore" all'origine). I firewall di seconda generazione svolgevano le stesse funzioni dei loro predecessori di prima generazione, ma intervenivano fino al livello 4 (transport layer) del modello OSI. Analizzavano ciascun pacchetto e la relativa posizione all'interno del flusso dei dati: una tecnica nota come "stateful packet inspection". I firewall di seconda generazione registravano tutte le connessioni permesse, per determinare se i vari pacchetti rappresentassero l'inizio di una nuova connessione, parte di una connessione già esistente, oppure non appartenessero ad alcuna connessione. Osservate l'evoluzione della network security. Scaricate la nostra infografica (in inglese) Al giorno d'oggi il firewall si è evoluto, aggiungendo il filtraggio dell'application layer. È in grado di "capire" determinati protocolli e applicazioni come ad es. File Transfer Protocol, DNS o la navigazione Web. Inoltre, rileva l'eventuale intrusione di un protocollo indesiderato attraverso porte diverse da quelle standard; è anche in grado di identificare eventuali usi illeciti dei protocolli a scopo malevolo2. La top 10 di OWASP dei rischi di sicurezza delle applicazioni 1.Injection 2. Cross-site scripting (XSS) 3. Interruzione del processo di autenticazione e gestione delle sessioni 4. Riferimenti diretti di un oggetto non protetti 5. Cross-site request forgery (CSRF) 6. Configurazione errata della sicurezza 7. Archivi di cifratura non protetti 8. Mancata limitazione dell'accesso agli URL 9. Protezione insufficiente a livello di transport layer 10. Reindirizzamenti e inoltri non convalidati Copyright © 2003-2010 The OWASP Foundation3 2. Wikipedia, Firewall (computing): http://en.wikipedia.org/wiki/Firewall_%28computing%29 3. L'Open Web Application Security Project (OWASP) è un'organizzazione che si dedica a diffondere visibilità e consapevolezza in materia di Web application security. "The OWASP Top Ten for 2010", https://www.owasp.org/index.php/OWASP_Top_10 Whitepaper Sophos aprile 2012 3 Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza Cybercrime e organizzazioni di piccole dimensioni Le aziende di piccole e medie dimensioni possono ritenere di essere meno esposte agli attacchi per via delle proprie dimensioni. Per molti criminali informatici, le dimensioni non contano. Sovente, i criminali non prendono di mira aziende o siti specifici. Il loro scopo è ottenere quanti più soldi possibile con il minimo sforzo. I criminali informatici creano un codice mirato a sfruttare determinati tipi o classi di vulnerabilità dei Web server. Questo codice sottopone quindi a scansione centinaia o migliaia di siti Web, alla ricerca di una vulnerabilità. Una volta individuatane una, il codice sferra l'attacco e il sito viene violato. Come agisce il cybercrime I criminali informatici creano il codice u u Il codice sottopone a scansione migliaia di siti Il sito vulnerabile viene violato Non importa quanto grande o piccola sia un'organizzazione, o quante informazioni i criminali possano prelevare illegittimamente da un unico server. Per ciascun singolo malware, i risultati sono cumulativi, e i criminali informatici si arricchiscono indipendentemente dalle dimensioni dell'azienda vittima. Siccome è meno probabile che aziende di piccole e medie dimensioni abbiano una solida protezione del Web server, sono in realtà più prone alla violazione di quanto non lo siano le organizzazioni più grandi e conosciute. Il motivo per cui si potrebbe pensare il contrario è che è raro che le aziende più piccole finiscano nelle news in seguito a un caso di violazione. Spesso le aziende di piccole e medie dimensioni rinunciano al Web application firewall per via degli elevati costi di gestione e della complicazione del delivery. Le aziende di piccole e medie dimensioni preferiscono affidarsi a un firewall tradizionale o ad altri dispositivi di network security per la protezione dei Web server. Ciò non costituirebbe un problema se le aziende non avessero bisogno di consentire ad esterni l'immissione di informazioni nel Web server, per inviare ordini, accedere agli account o modificare informazioni personali. Ma è una necessità a cui non possono rinunciare. Ne consegue che, quando viene ad es. creato un forum, l'azienda deve proteggere o eliminare gli strumenti di amministrazione utilizzati per l'impostazione iniziale del forum stesso, per es. www.mydomain.com/admin.php, in modo che nessun intruso possa accedervi o visualizzarli. Se un'azienda di piccole o medie dimensioni non intraprende tale azione, i criminali informatici possono approfittarne per ottenere accesso alla rete tramite backdoor. Una volta infiltratisi, possono individuare i dati archiviati sul server, come ad es. numeri di carta di credito e indirizzi e-mail. Whitepaper Sophos aprile 2012 4 Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza In molti paesi le organizzazioni che elaborano dati di carta di credito devono osservare determinati requisiti minimi di sicurezza. Il Web Application Security Consortium afferma che il 99% delle applicazioni Web non rispetta la compliance al PCI Data Security Standard4. Utilizzare un Web application firewall o un programma di revisione del codice può aiutare le aziende di e-commerce a prevenire i più comuni exploit e a mantenere la compliance alle normative nazionali e di settore. Analogamente alle aziende di piccole e medie dimensioni, anche i governi locali offrono servizi online. Su questi portali self-service, i residenti possono aggiornare patenti di guida, indicare la presenza di animali domestici, pagare tasse o bollette, inserire dati relativi al censimento e iscriversi al voto. Se da un lato questi tipi di portale facilitano la vita a molti, è anche vero che alcuni governi locali non hanno alle proprie dipendenze un esperto di sicurezza informatica. Senza una soluzione per la protezione dei Web server che sia facile da gestire, i governi che cercano di semplificare la vita ai residenti aiutano anche i criminali informatici ad appropriarsi di dati personali. Chiudere la backdoor alla rete Se tutte le organizzazioni dotate di un sito Web sono vulnerabili agli attacchi rivolti ai Web server, come possono fare le aziende di piccole e medie dimensioni per chiudere a doppia mandata la backdoor alla rete? Quelli che seguono sono sette consigli pratici per la messa in sicurezza dei Web server. 1. Conoscere la rete e sapere come viene vista dagli altri Le aziende di piccole e medie dimensioni devono sapere quali informazioni sono facilmente reperibili dagli aspiranti criminali. Meno informazioni private sono disponibili, meglio è. Cominciate con l'analizzare i record DNS pubblici, per accertarvi che siano disponibili solamente informazioni aziendali valide e che non venga elencata alcuna informazione relativa ai dipendenti. I criminali possono servirsi delle informazioni disponibili al pubblico di un'azienda e dei suoi dipendenti per lanciarvi un attacco. Controllate quindi le risposte del Web server, per verificare che non comunichino informazioni relative a sistemi operativi e applicazioni utilizzate. Infine, esaminate le pagine di errore, in modo che non contengano informazioni come nome del computer locale o struttura delle directory. 2. Limitare le risposte a probe e errori Invece di fornire risposte a richieste “strutturate male” (ad es. quelle che il Web server non è in grado di capire o elaborare), le aziende di piccole e medie dimensioni devono disfarsene completamente. In questo modo si dà un taglio netto alla quantità di informazioni fornite, oltre a diminuire i contenuti dei log: cosa che potrebbe causare problemi di risorse o malfunzionamento del server. 4. Web Application Security Statistics 2008, Web Application Security Consortium, http://projects.webappsec.org/w/ page/13246989/Web%20Application%20Security%20Statistics Whitepaper Sophos aprile 2012 5 Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza 3. Evitare di abbassare la guardia Uno dei doveri degli amministratori IT è monitorare log e report, alla ricerca di elementi che possano indicare anomalie, hacker e vulnerabilità. Sapere cosa fanno gli altri è importante, e consente alle aziende di mantenere un adeguato livello di difesa. Può anche servire agli amministratori per individuare punti deboli sfuggiti durante l'ultima analisi della rete. 4. Svolgere analisi attive L'NMAP (Network Mapper) e altri strumenti degli utenti garantiscono che solamente le porte autorizzate siano disponibili al pubblico. È importante sapere quali porte siano aperte sui Web server e quali IP siano visibili su Internet. In teoria un'azienda dovrebbe bloccare tutto il traffico e consentire da e verso i server solamente determinate porte e applicazioni. 5. Utilizzare nomi esca o proxy Servirsi di nomi e informazioni esca nei record pubblici e per i messaggi di errore può aiutare le aziende a identificare i tentativi di attacco. Se si nota che qualcuno ha cercato di contattare il nome esca o di lanciare attacchi basati sulle informazioni fasulle, si ottiene la conferma che qualcuno sta inviando probe mirati alle vostre difese. 6. Evitare di dipendere completamente da un singolo strato di difesa Firewall e IPS (intrusion prevention system) possono aiutarvi a difendervi contro exploit e attacchi denial of service (DoS) semplici; tuttavia queste soluzioni non sono in grado di proteggervi dagli attacchi ai Web server, come ad es. cross-site scripting e SQL injection. Per un'adeguata protezione dei vostri preziosi Web server, avete bisogno di un Web application firewall. La maggior parte dei Web application firewall funge anche da proxy inverso. Invece di incanalare il traffico Internet sul server, il Web application firewall crea una nuova connessione per conto suo. I Web application firewall offrono funzionalità avanzate come scansione antimalware e offload SSL. 7. Risorse separate, per minimizzare le conseguenze in caso di violazione Consigliamo di installare i Web application firewall in aree protette prive di accesso alla LAN locale o agli utenti interni. In questo modo si evita di esporre l'intera organizzazione alle minacce, qualora un exploit colpisca a segno. Whitepaper Sophos aprile 2012 6 Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza I limiti di una network security basata esclusivamente sul firewall Come si è visto, per proteggere l'ambiente di rete la network security dipende tradizionalmente da dispositivi standalone. Di solito questi prodotti standalone sono installati come software. Vengono eseguiti su un PC o un'appliance e forniscono funzioni di sicurezza specifiche e relative al prodotto stesso, come il firewall. Solitamente i firewall difendono la rete interna da attacchi esterni e vietano a risorse esterne l'accesso alla rete interna. Tuttavia, i firewall da soli non possono fornire alle aziende di piccole e medie dimensioni la sicurezza, flessibilità di delivery e prestazioni di cui hanno bisogno per difendersi dalle minacce informatiche di oggi, che sono in continuo aumento ed evoluzione. I prodotti di network security standalone, come ad es. i firewall, comportano notevoli sfide: 1. Le minacce informatiche di oggi si evolvono molto rapidamente, sono più sofisticate e sono in grado di eludere una o più tecnologie indipendenti. È più semplice prendere come bersaglio i dispositivi standalone, in quanto forniscono ai malintenzionati accesso diretto alla rete. 2. Gestire e mantenere una rete sempre più distribuita e priva di un perimetro ben definito è complicato e tutt'altro che conveniente. Ciò non crea solamente una falla di sicurezza, ma rappresenta un ulteriore carico per risorse già sfruttate al limite. 3. È difficile ottenere la performance e il potere di elaborazione richiesti per fornire una sicurezza completa senza hardware appositamente studiato per tale scopo5. I vantaggi di una network security basata sull'UTM Il miglior modo per rispondere alle diverse minacce associate all'accesso al Web è consolidare la sicurezza in un'unica soluzione basata sul gateway e all-in-one che sia compatibile con l'attuale firewall. Gli amministratori IT ottengono visuale e controllo del traffico Web in entrata e in uscita. In questo modo possono installare a seconda del caso filtri, monitor e controlli per la regolazione del traffico, tutto in maniera sicura, ordinata e a livello dell'intero sistema. L'unified threat management (UTM) è un'appliance firewall tradizionale che svolge anche mansioni solitamente effettuate da sistemi multipli, inclusi: filtraggio dei contenuti, filtraggio antispam, intrusion detection e antivirus. Le UTM sono strutturate in modo da poter difendere da tutti i livelli di attività malevola rivolta alla rete dei computer. Per essere efficace, una soluzione UTM deve fornire sicurezza affidabile e completamente integrata, nonché funzionalità come firewall di rete, intrusion detection system e intrusion prevention system (IDS/IPS), oltre a antivirus per gateway. Altre capacità includono gestione della sicurezza e dei criteri per gruppi o utenti. Le soluzioni UTM difendono dalle minacce dell'application layer e forniscono gestione centralizzata da una singola console, tutto senza influire negativamente sulla performance della rete. 5. Network security: Using unified threat management, SearchNetworking, TechTarget, http://searchnetworking.techtarget. com/tip/Network-security-Using-unified-threat-management-UTM Whitepaper Sophos aprile 2012 7 Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza Le aziende che utilizzano una soluzione di Web security all-in-one godono di vantaggi ben distinti rispetto alle soluzioni di Web filtering a funzione unica più costose e complesse. Un unico punto di controllo per l'accesso e l'utilizzo del Web implica diversi vantaggi: • Protezione antimalware: le minacce presentate da malware, spyware, virus, worm e altri attacchi possono essere mitigate da un'efficace prima linea di difesa. • Taglio ai costi: un'appliance di Web security gestita in maniera centralizzata diminuisce i compiti di gestione informatica e semplifica gli upgrade e le ordinarie operazioni di maintenance. • Compliance con i requisiti legali: le aziende possono bloccare l'accesso a contenuti Web inadeguati o illegali, per poter rispettare la compliance con criteri interni e normative legali. • Aumento della produttività: durante l'orario di lavoro, i dipendenti non sono in grado di navigare su siti non inerenti all'attività lavorativa; in questo modo si limita il rischio di infezioni di malware causate da siti di natura discutibile. È inoltre possibile eliminare le attività che gravano sulla rete, come ad es. il bit streaming. Conclusione Una Web security basata su un'appliance è in grado di fornire una protezione conveniente e facile da implementare, nonché controllo dell'utilizzo della rete, tutto in un'unica soluzione gestita in maniera centralizzata. Ciò è importante in particolar modo per le aziende di piccole e medie dimensioni. Un simile approccio consolida le misure di sicurezza tradizionali, proteggendo nel contempo contro le nuove minacce, quali gli attacchi basati sul Web che sfruttano le vulnerabilità a livello di utente e di server. Un approccio all-in-one alla Web security fornisce una gestione semplificata, una sicurezza più omogenea per l'intera rete, miglior controllo sull'utilizzo delle applicazioni Web all'interno dell'azienda, e diminuisce il grado di esposizione alle minacce basate sul Web. Seguendo i consigli pratici forniti da questo whitepaper e implementando la sottoscrizione Webserver Protection in Sophos UTM, potete chiudere la backdoor alla vostra rete. Sophos Webserver Protection: un componente di Sophos UTM Configurare un Web application firewall può essere difficile e rischia di risultare in costi elevati. I dispositivi UTM sono appositamente studiati per le aziende di piccole e medie dimensioni, e offrono la possibilità di gestire diverse funzioni di sicurezza da un'unica console. Siccome i dispositivi UTM vengono installati sul gateway di rete, si trovano nella posizione ideale per proteggere i Web server. Sophos Webserver Protection è disponibile come sottoscrizione nella console Sophos UTM. Siccome viene gestita dall'interfaccia Sophos UTM WebAdmin, fornisce alle aziende di piccole e medie dimensioni un modo semplice per gestire la sicurezza delle applicazioni Web insieme alle altre funzioni di sicurezza dell'organizzazione. Whitepaper Sophos aprile 2012 8 Come chiudere la backdoor alle vulnerabilità delle applicazioni di rete Protezione dei Web server e strategia di sicurezza Per consentire alle aziende di piccole e medie dimensioni di proteggere applicazioni come Outlook Web Access (OWA) e di difendersi contro attacchi come SQL injection e cross-site scripting, Sophos Webserver Protection offre le seguenti funzioni: Web application firewall: i criminali informatici mettono alla prova i vostri siti e le vostre applicazioni senza che voi ve ne accorgiate, allo scopo di individuare eventuali falle di sicurezza e vulnerabilità. Il Web application firewall che ricevete con la sottoscrizione Sophos Webserver Protection impedisce agli hacker di utilizzare SQL injection o XSS (cross-site scripting), mediante la scansione dell'attività e l'utilizzo di pattern per identificare probe e attacchi. Protezione avanzata dei moduli (Form Hardening): è una tecnologia unica firmata Sophos che consente di esaminare e verificare le informazioni inviate dai visitatori mediante i moduli presenti sui vostri siti Web. In questo modo impediamo ai malintenzionati di servirsi dei moduli per introdurre dati non validi che possono danneggiare o inviare exploit ai server. Proxy inverso: Sophos UTM protegge Web server e Outlook Web Access. Gli amministratori sottopongono a scansione tutte le transazioni in entrata e in uscita in tempo reale, utilizzando diverse funzionalità di sicurezza per controllare il modo in cui i visitatori interagiscono con i server tramite connessioni HTTP normali o HTTPS cifrate. Antivirus: la sottoscrizione Sophos Webserver Protection fornisce due motori di scansione distinti, che operano in parallelo per la prevenzione di qualsiasi infezione, proteggendo sia utenti che server. I contenuti vengono sottoposti a scansione e bloccati da un punto centrale, prima che possano avere accesso in entrata o in uscita dalla rete. Protezione avanzata degli URL (URL Hardening): La funzionalità URL hardening di Sophos garantisce che i visitatori di un sito possano accedere solamente ai contenuti a loro destinati. Costringendo i visitatori a interagire correttamente con i server, questa funzione impedisce anche agli hacker più creativi di eseguire operazioni inattese che possono danneggiare il vostro sito. Protezione dei cookie: la protezione dei cookie mantiene i cookie (i “pacchetti di informazioni” comunemente usati dai Web server) protetti dai tentativi di manomissione. Questa funzione attribuisce una firma digitale a ciascun cookie, il che consente di verificare l'integrità delle informazioni restituite dagli utenti. Sophos Web Security Scaricate una prova gratuita di 30 giorni Vendite per Italia Tel: (+39) 02 911 808 E-mail: [email protected] Boston, USA | Oxford, Regno Unito © Copyright 2012. Sophos Ltd. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari. Whitepaper Sophos 4.12v1.dNA