Come chiudere la backdoor alle Network Application

Come chiudere la
backdoor alle Network
Application Vulnerabilities
Protezione dei Web server e strategia di sicurezza
Di Angelo Comazzetto, Senior Product Manager, Network Security
Con Web server che affrontano nuove tecniche di attacco e nuove
vulnerabilità, per proteggere le reti moderne non bastano più i
firewall tradizionali. La protezione dei Web server deve essere
inclusa come componente di un'infrastruttura di sicurezza
informatica completa, per creare un ambiente meno rischioso.
Tuttavia i Web application firewall tendono a essere costosi e difficili
da gestire, il che rende il delivery di queste soluzioni tutt'altro
che fattibile per le aziende di piccole e medie dimensioni. Questo
whitepaper indica il funzionamento e i motivi degli attacchi rivolti ai
Web server, nonché come le aziende di piccole e medie dimensioni
possono servirsi dell'unified threat management (UTM) per
semplificare delivery e gestione dei Web application firewall per la
protezione dei Web server.
Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza
Vulnerabilità dei Web server
Quasi tutte le organizzazioni, siano esse un conglomerato di sedi internazionali o piccole
aziende private locali, hanno un sito Web. Il sito è la parte dell'organizzazione rivolta al
pubblico, dove i clienti attuali e potenziali si recano per interagire con l'azienda stessa. I clienti
possono utilizzare i siti Web per gestire i propri account, cercare informazioni e ordinare
prodotti. Purtroppo alcune aziende di piccole e medie dimensioni trascurano la protezione di
questa parte pubblica e vulnerabile della propria rete.
Molte aziende implementano firewall e URL filter, in aggiunta a programmi antivirus e
antispam. Il problema è però che queste minacce stanno diventando sempre più sofisticate
e dipendenti dal Web. Secondo un report recentemente compilato, l'80% degli attacchi alla
rete hanno come obiettivo i sistemi basati sul Web1. Se da un lato i firewall di prima e seconda
generazione sono pur sempre in grado di impedire ad alcune infezioni di raggiungere la rete,
non bastano per bloccare l'accesso a tutti i tipi di malware, come ad es. le categorie ransom e
fake antivirus.
Una strategia basata unicamente sul firewall è paragonabile a chiudere a chiave la porta
principale di casa, sperando che nessuno noti che quella di servizio (backdoor in inglese)
è stata lasciata aperta, con solamente una zanzariera a difenderla dagli intrusi. I criminali
informatici possono facilmente rimuovere la zanzariera e entrare nella rete. Con Web
server che si trovano ad affrontare nuove tecniche di attacco e nuove vulnerabilità, i firewall
tradizionali non bastano più per proteggere le reti moderne. La protezione dei Web server deve
essere integrata come componente di un'infrastruttura di sicurezza informatica completa, per
creare un ambiente meno rischioso.
Vulnerabilità delle applicazioni Web
Il 69% delle applicazioni
Il 42% conteneva
Web conteneva almeno una
vulnerabilità ad attacchi
vulnerabilità ad attacchi di
di cross-site scripting
SQL injection
persistenti
Uno studio condotto da HP nel 2011, che ha preso in esame 236 applicazioni
Web, ha rilevato gravi vulnerabilità
Fonte: Hewlett-Packard Application Security Center, Web Security Research Group
1. Top Cyber Security Risks Report, HP TippingPoint DVLabs, SANS Institute and Qualys Research Labs, settembre 2010
Whitepaper Sophos aprile 2012
2
Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza
Evoluzione del firewall
I firewall hanno fatto la propria comparsa verso la fine degli anni '80, quando Internet era
ancora una tecnologia nuova, con limiti di utilizzo globale e connettività. I firewall denominati
"di prima generazione" si basavano su packet filter che analizzavano i pacchetti trasferiti da un
computer a un altro tramite Internet. Se un pacchetto corrispondeva al set di regole del packet
filter, tale packet filter rimuoveva (eliminava in maniera invisibile) il pacchetto o lo rifiutava
direttamente (lo eliminava, inviando "risposte di errore" all'origine).
I firewall di seconda generazione svolgevano le stesse funzioni dei loro predecessori di prima
generazione, ma intervenivano fino al livello 4 (transport layer) del modello OSI. Analizzavano
ciascun pacchetto e la relativa posizione all'interno del flusso dei dati: una tecnica nota
come "stateful packet inspection". I firewall di seconda generazione registravano tutte le
connessioni permesse, per determinare se i vari pacchetti rappresentassero l'inizio di una
nuova connessione, parte di una connessione già esistente, oppure non appartenessero ad
alcuna connessione.
Osservate
l'evoluzione della
network security.
Scaricate la nostra
infografica (in inglese)
Al giorno d'oggi il firewall si è evoluto, aggiungendo il filtraggio dell'application layer. È in
grado di "capire" determinati protocolli e applicazioni come ad es. File Transfer Protocol,
DNS o la navigazione Web. Inoltre, rileva l'eventuale intrusione di un protocollo indesiderato
attraverso porte diverse da quelle standard; è anche in grado di identificare eventuali usi illeciti
dei protocolli a scopo malevolo2.
La top 10 di OWASP dei rischi di
sicurezza delle applicazioni
1.Injection
2. Cross-site scripting (XSS)
3. Interruzione del processo di autenticazione e
gestione delle sessioni
4. Riferimenti diretti di un oggetto non protetti
5. Cross-site request forgery (CSRF)
6. Configurazione errata della sicurezza
7. Archivi di cifratura non protetti
8. Mancata limitazione dell'accesso agli URL
9. Protezione insufficiente a livello di transport layer
10. Reindirizzamenti e inoltri non convalidati
Copyright © 2003-2010 The OWASP Foundation3
2. Wikipedia, Firewall (computing): http://en.wikipedia.org/wiki/Firewall_%28computing%29
3. L'Open Web Application Security Project (OWASP) è un'organizzazione che si dedica a diffondere visibilità e consapevolezza in materia di Web application security. "The OWASP Top Ten for 2010", https://www.owasp.org/index.php/OWASP_Top_10
Whitepaper Sophos aprile 2012
3
Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza
Cybercrime e organizzazioni di piccole dimensioni
Le aziende di piccole e medie dimensioni possono ritenere di essere meno esposte agli attacchi
per via delle proprie dimensioni. Per molti criminali informatici, le dimensioni non contano.
Sovente, i criminali non prendono di mira aziende o siti specifici. Il loro scopo è ottenere
quanti più soldi possibile con il minimo sforzo. I criminali informatici creano un codice mirato
a sfruttare determinati tipi o classi di vulnerabilità dei Web server. Questo codice sottopone
quindi a scansione centinaia o migliaia di siti Web, alla ricerca di una vulnerabilità. Una volta
individuatane una, il codice sferra l'attacco e il sito viene violato.
Come agisce il cybercrime
I criminali
informatici creano
il codice
u
u
Il codice sottopone
a scansione migliaia
di siti
Il sito vulnerabile
viene violato
Non importa quanto grande o piccola sia un'organizzazione, o quante informazioni i criminali
possano prelevare illegittimamente da un unico server. Per ciascun singolo malware, i risultati
sono cumulativi, e i criminali informatici si arricchiscono indipendentemente dalle dimensioni
dell'azienda vittima. Siccome è meno probabile che aziende di piccole e medie dimensioni
abbiano una solida protezione del Web server, sono in realtà più prone alla violazione di quanto
non lo siano le organizzazioni più grandi e conosciute. Il motivo per cui si potrebbe pensare il
contrario è che è raro che le aziende più piccole finiscano nelle news in seguito a un caso di
violazione.
Spesso le aziende di piccole e medie dimensioni rinunciano al Web application firewall per via
degli elevati costi di gestione e della complicazione del delivery. Le aziende di piccole e medie
dimensioni preferiscono affidarsi a un firewall tradizionale o ad altri dispositivi di network
security per la protezione dei Web server. Ciò non costituirebbe un problema se le aziende
non avessero bisogno di consentire ad esterni l'immissione di informazioni nel Web server, per
inviare ordini, accedere agli account o modificare informazioni personali. Ma è una necessità a
cui non possono rinunciare.
Ne consegue che, quando viene ad es. creato un forum, l'azienda deve proteggere o eliminare
gli strumenti di amministrazione utilizzati per l'impostazione iniziale del forum stesso, per es.
www.mydomain.com/admin.php, in modo che nessun intruso possa accedervi o visualizzarli.
Se un'azienda di piccole o medie dimensioni non intraprende tale azione, i criminali informatici
possono approfittarne per ottenere accesso alla rete tramite backdoor. Una volta infiltratisi,
possono individuare i dati archiviati sul server, come ad es. numeri di carta di credito e indirizzi
e-mail.
Whitepaper Sophos aprile 2012
4
Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza
In molti paesi le organizzazioni che elaborano dati di carta di credito devono osservare
determinati requisiti minimi di sicurezza. Il Web Application Security Consortium afferma
che il 99% delle applicazioni Web non rispetta la compliance al PCI Data Security Standard4.
Utilizzare un Web application firewall o un programma di revisione del codice può aiutare le
aziende di e-commerce a prevenire i più comuni exploit e a mantenere la compliance alle
normative nazionali e di settore.
Analogamente alle aziende di piccole e medie dimensioni, anche i governi locali offrono servizi
online. Su questi portali self-service, i residenti possono aggiornare patenti di guida, indicare
la presenza di animali domestici, pagare tasse o bollette, inserire dati relativi al censimento e
iscriversi al voto. Se da un lato questi tipi di portale facilitano la vita a molti, è anche vero che
alcuni governi locali non hanno alle proprie dipendenze un esperto di sicurezza informatica.
Senza una soluzione per la protezione dei Web server che sia facile da gestire, i governi che
cercano di semplificare la vita ai residenti aiutano anche i criminali informatici ad appropriarsi
di dati personali.
Chiudere la backdoor alla rete
Se tutte le organizzazioni dotate di un sito Web sono vulnerabili agli attacchi rivolti ai Web
server, come possono fare le aziende di piccole e medie dimensioni per chiudere a doppia
mandata la backdoor alla rete?
Quelli che seguono sono sette consigli pratici per la messa in sicurezza dei Web server.
1. Conoscere la rete e sapere come viene vista dagli altri
Le aziende di piccole e medie dimensioni devono sapere quali informazioni sono facilmente
reperibili dagli aspiranti criminali. Meno informazioni private sono disponibili, meglio è.
Cominciate con l'analizzare i record DNS pubblici, per accertarvi che siano disponibili
solamente informazioni aziendali valide e che non venga elencata alcuna informazione relativa
ai dipendenti. I criminali possono servirsi delle informazioni disponibili al pubblico di un'azienda
e dei suoi dipendenti per lanciarvi un attacco.
Controllate quindi le risposte del Web server, per verificare che non comunichino informazioni
relative a sistemi operativi e applicazioni utilizzate. Infine, esaminate le pagine di errore, in
modo che non contengano informazioni come nome del computer locale o struttura delle
directory.
2. Limitare le risposte a probe e errori
Invece di fornire risposte a richieste “strutturate male” (ad es. quelle che il Web server non
è in grado di capire o elaborare), le aziende di piccole e medie dimensioni devono disfarsene
completamente. In questo modo si dà un taglio netto alla quantità di informazioni fornite,
oltre a diminuire i contenuti dei log: cosa che potrebbe causare problemi di risorse o
malfunzionamento del server.
4. Web Application Security Statistics 2008, Web Application Security Consortium, http://projects.webappsec.org/w/
page/13246989/Web%20Application%20Security%20Statistics
Whitepaper Sophos aprile 2012
5
Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza
3. Evitare di abbassare la guardia
Uno dei doveri degli amministratori IT è monitorare log e report, alla ricerca di elementi che
possano indicare anomalie, hacker e vulnerabilità. Sapere cosa fanno gli altri è importante,
e consente alle aziende di mantenere un adeguato livello di difesa. Può anche servire agli
amministratori per individuare punti deboli sfuggiti durante l'ultima analisi della rete.
4. Svolgere analisi attive
L'NMAP (Network Mapper) e altri strumenti degli utenti garantiscono che solamente le porte
autorizzate siano disponibili al pubblico. È importante sapere quali porte siano aperte sui Web
server e quali IP siano visibili su Internet. In teoria un'azienda dovrebbe bloccare tutto il traffico
e consentire da e verso i server solamente determinate porte e applicazioni.
5. Utilizzare nomi esca o proxy
Servirsi di nomi e informazioni esca nei record pubblici e per i messaggi di errore può aiutare
le aziende a identificare i tentativi di attacco. Se si nota che qualcuno ha cercato di contattare
il nome esca o di lanciare attacchi basati sulle informazioni fasulle, si ottiene la conferma che
qualcuno sta inviando probe mirati alle vostre difese.
6. Evitare di dipendere completamente da un singolo strato di difesa
Firewall e IPS (intrusion prevention system) possono aiutarvi a difendervi contro exploit
e attacchi denial of service (DoS) semplici; tuttavia queste soluzioni non sono in grado di
proteggervi dagli attacchi ai Web server, come ad es. cross-site scripting e SQL injection. Per
un'adeguata protezione dei vostri preziosi Web server, avete bisogno di un Web application
firewall.
La maggior parte dei Web application firewall funge anche da proxy inverso. Invece di
incanalare il traffico Internet sul server, il Web application firewall crea una nuova connessione
per conto suo. I Web application firewall offrono funzionalità avanzate come scansione
antimalware e offload SSL.
7. Risorse separate, per minimizzare le conseguenze in caso di violazione
Consigliamo di installare i Web application firewall in aree protette prive di accesso alla
LAN locale o agli utenti interni. In questo modo si evita di esporre l'intera organizzazione alle
minacce, qualora un exploit colpisca a segno.
Whitepaper Sophos aprile 2012
6
Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza
I limiti di una network security basata
esclusivamente sul firewall
Come si è visto, per proteggere l'ambiente di rete la network security dipende
tradizionalmente da dispositivi standalone. Di solito questi prodotti standalone sono installati
come software. Vengono eseguiti su un PC o un'appliance e forniscono funzioni di sicurezza
specifiche e relative al prodotto stesso, come il firewall. Solitamente i firewall difendono
la rete interna da attacchi esterni e vietano a risorse esterne l'accesso alla rete interna.
Tuttavia, i firewall da soli non possono fornire alle aziende di piccole e medie dimensioni la
sicurezza, flessibilità di delivery e prestazioni di cui hanno bisogno per difendersi dalle minacce
informatiche di oggi, che sono in continuo aumento ed evoluzione.
I prodotti di network security standalone, come ad es. i firewall, comportano notevoli sfide:
1. Le minacce informatiche di oggi si evolvono molto rapidamente, sono più sofisticate e
sono in grado di eludere una o più tecnologie indipendenti. È più semplice prendere come
bersaglio i dispositivi standalone, in quanto forniscono ai malintenzionati accesso diretto
alla rete.
2. Gestire e mantenere una rete sempre più distribuita e priva di un perimetro ben definito è
complicato e tutt'altro che conveniente. Ciò non crea solamente una falla di sicurezza, ma
rappresenta un ulteriore carico per risorse già sfruttate al limite.
3. È difficile ottenere la performance e il potere di elaborazione richiesti per fornire una
sicurezza completa senza hardware appositamente studiato per tale scopo5.
I vantaggi di una network security basata
sull'UTM
Il miglior modo per rispondere alle diverse minacce associate all'accesso al Web è consolidare
la sicurezza in un'unica soluzione basata sul gateway e all-in-one che sia compatibile con
l'attuale firewall. Gli amministratori IT ottengono visuale e controllo del traffico Web in entrata
e in uscita. In questo modo possono installare a seconda del caso filtri, monitor e controlli per
la regolazione del traffico, tutto in maniera sicura, ordinata e a livello dell'intero sistema.
L'unified threat management (UTM) è un'appliance firewall tradizionale che svolge anche
mansioni solitamente effettuate da sistemi multipli, inclusi: filtraggio dei contenuti, filtraggio
antispam, intrusion detection e antivirus. Le UTM sono strutturate in modo da poter difendere
da tutti i livelli di attività malevola rivolta alla rete dei computer.
Per essere efficace, una soluzione UTM deve fornire sicurezza affidabile e completamente
integrata, nonché funzionalità come firewall di rete, intrusion detection system e intrusion
prevention system (IDS/IPS), oltre a antivirus per gateway. Altre capacità includono gestione
della sicurezza e dei criteri per gruppi o utenti. Le soluzioni UTM difendono dalle minacce
dell'application layer e forniscono gestione centralizzata da una singola console, tutto senza
influire negativamente sulla performance della rete.
5. Network security: Using unified threat management, SearchNetworking, TechTarget, http://searchnetworking.techtarget.
com/tip/Network-security-Using-unified-threat-management-UTM
Whitepaper Sophos aprile 2012
7
Come chiudere la backdoor alle Network Application Vulnerabilities Protezione dei Web server e strategia di sicurezza
Le aziende che utilizzano una soluzione di Web security all-in-one godono di vantaggi ben
distinti rispetto alle soluzioni di Web filtering a funzione unica più costose e complesse. Un
unico punto di controllo per l'accesso e l'utilizzo del Web implica diversi vantaggi:
• Protezione antimalware: le minacce presentate da malware, spyware, virus, worm e altri
attacchi possono essere mitigate da un'efficace prima linea di difesa.
• Taglio ai costi: un'appliance di Web security gestita in maniera centralizzata diminuisce
i compiti di gestione informatica e semplifica gli upgrade e le ordinarie operazioni di
maintenance.
• Compliance con i requisiti legali: le aziende possono bloccare l'accesso a contenuti Web
inadeguati o illegali, per poter rispettare la compliance con criteri interni e normative legali.
• Aumento della produttività: durante l'orario di lavoro, i dipendenti non sono in grado
di navigare su siti non inerenti all'attività lavorativa; in questo modo si limita il rischio di
infezioni di malware causate da siti di natura discutibile.
È inoltre possibile eliminare le attività che gravano sulla rete, come ad es. il bit streaming.
Conclusione
Una Web security basata su un'appliance è in grado di fornire una protezione conveniente e
facile da implementare, nonché controllo dell'utilizzo della rete, tutto in un'unica soluzione
gestita in maniera centralizzata. Ciò è importante in particolar modo per le aziende di
piccole e medie dimensioni. Un simile approccio consolida le misure di sicurezza tradizionali,
proteggendo nel contempo contro le nuove minacce, quali gli attacchi basati sul Web che
sfruttano le vulnerabilità a livello di utente e di server.
Un approccio all-in-one alla Web security fornisce una gestione semplificata, una sicurezza
più omogenea per l'intera rete, miglior controllo sull'utilizzo delle applicazioni Web all'interno
dell'azienda, e diminuisce il grado di esposizione alle minacce basate sul Web.
Seguendo i consigli pratici forniti da questo whitepaper e implementando la sottoscrizione
Webserver Protection in Sophos UTM, potete chiudere la backdoor alla vostra rete.
Sophos Webserver Protection: un componente di
Sophos UTM
Configurare un Web application firewall può essere difficile e rischia di risultare in costi elevati.
I dispositivi UTM sono appositamente studiati per le aziende di piccole e medie dimensioni,
e offrono la possibilità di gestire diverse funzioni di sicurezza da un'unica console. Siccome
i dispositivi UTM vengono installati sul gateway di rete, si trovano nella posizione ideale per
proteggere i Web server.
Sophos Webserver Protection è disponibile come sottoscrizione nella console Sophos UTM.
Siccome viene gestita dall'interfaccia Sophos UTM WebAdmin, fornisce alle aziende di piccole
e medie dimensioni un modo semplice per gestire la sicurezza delle applicazioni Web insieme
alle altre funzioni di sicurezza dell'organizzazione.
Whitepaper Sophos aprile 2012
8
Come chiudere la backdoor alle vulnerabilità delle applicazioni di rete Protezione dei Web server e strategia di sicurezza
Per consentire alle aziende di piccole e medie dimensioni di proteggere applicazioni come
Outlook Web Access (OWA) e di difendersi contro attacchi come SQL injection e cross-site
scripting, Sophos Webserver Protection offre le seguenti funzioni:
Web application firewall: i criminali informatici mettono alla prova i vostri siti e le vostre
applicazioni senza che voi ve ne accorgiate, allo scopo di individuare eventuali falle di sicurezza
e vulnerabilità. Il Web application firewall che ricevete con la sottoscrizione Sophos Webserver
Protection impedisce agli hacker di utilizzare SQL injection o XSS (cross-site scripting),
mediante la scansione dell'attività e l'utilizzo di pattern per identificare probe e attacchi.
Protezione avanzata dei moduli (Form Hardening): è una tecnologia unica firmata Sophos
che consente di esaminare e verificare le informazioni inviate dai visitatori mediante i moduli
presenti sui vostri siti Web. In questo modo impediamo ai malintenzionati di servirsi dei moduli
per introdurre dati non validi che possono danneggiare o inviare exploit ai server.
Proxy inverso: Sophos UTM protegge Web server e Outlook Web Access. Gli amministratori
sottopongono a scansione tutte le transazioni in entrata e in uscita in tempo reale, utilizzando
diverse funzionalità di sicurezza per controllare il modo in cui i visitatori interagiscono con i
server tramite connessioni HTTP normali o HTTPS cifrate.
Antivirus: la sottoscrizione Sophos Webserver Protection fornisce due motori di scansione
distinti, che operano in parallelo per la prevenzione di qualsiasi infezione, proteggendo sia
utenti che server. I contenuti vengono sottoposti a scansione e bloccati da un punto centrale,
prima che possano avere accesso in entrata o in uscita dalla rete.
Protezione avanzata degli URL (URL Hardening): La funzionalità URL hardening di Sophos
garantisce che i visitatori di un sito possano accedere solamente ai contenuti a loro destinati.
Costringendo i visitatori a interagire correttamente con i server, questa funzione impedisce
anche agli hacker più creativi di eseguire operazioni inattese che possono danneggiare il vostro
sito.
Protezione dei cookie: la protezione dei cookie mantiene i cookie (i “pacchetti di informazioni”
comunemente usati dai Web server) protetti dai tentativi di manomissione. Questa funzione
attribuisce una firma digitale a ciascun cookie, il che consente di verificare l'integrità delle
informazioni restituite dagli utenti.
Sophos Web Security
Scaricate una prova gratuita di 30
giorni
Vendite per Italia
Tel: (+39) 02 911 808
E-mail: [email protected]
Boston, USA | Oxford, Regno Unito
© Copyright 2012. Sophos Ltd. Tutti i diritti riservati.
Tutti i marchi sono proprietà dei rispettivi titolari.
Whitepaper Sophos 4.12v1.dNA