Diventa Autore per CoreTech | Scopri di più





5 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpoint

02/02/21 CoreTech Blog

Diresti che la tua azienda è sicura se i tuoi dipendenti utilizzano laptop senza alcun anti-malware installato? La maggior parte delle aziende direbbe che è un approccio irresponsabile. Allora perché molte aziende dovrebbero avere siti Web e applicazioni Web senza alcuna protezione?

Un "antivirus" (una soluzione anti-malware) è percepito come un elemento standard di un'installazione di Windows: è raro vedere un computer senza uno. Tuttavia, abbastanza stranamente, molte aziende si sentono completamente sicure semplicemente configurando un sito Web o un'applicazione Web senza prestare alcuna attenzione al fatto che sia sicuro o meno. Ciò è ancora più sorprendente perché i database accessibili dal Web di solito contengono dati più sensibili rispetto a una normale macchina da ufficio, ad esempio le informazioni personali dei clienti.

Ecco cinque motivi per cui dovresti trattare la tua sicurezza web con la stessa attenzione della sicurezza del personal computer e della sicurezza degli endpoint in generale.

Banner

Motivo 1. Il passaggio al cloud

Vent'anni fa, i siti web erano solo presentazioni semplici, per lo più statiche, cartelloni pubblicitari digitali in un certo senso. Oggi, molti di noi, ad esempio, creano i nostri documenti online invece di utilizzare un elaboratore di testi desktop: molto spesso l'unico software installato sulla nostra macchina Windows è il browser. E anche se c'è qualche altro software come Slack, utilizza interfacce web per comunicare con i server. Le aziende utilizzano i propri server meno spesso. Per molti dipendenti, computer desktop e laptop sono fondamentalmente thin client che sono lì solo per rendere possibile l'accesso al web.

Ciò significa che il tuo software anti-malware protegge fondamentalmente un computer vuoto su cui non è presente alcun software o software speciale, solo un browser. L'unico rischio maggiore che un computer di questo tipo venga attaccato è se l'attacco rende possibile il furto delle credenziali di accesso alle applicazioni web.

D'altra parte, tutti i tuoi dati, tutto il tuo software di supporto aziendale, tutto il resto è sul web o lo sarà presto. E, sfortunatamente, abbastanza spesso è lasciato completamente non protetto. Pertanto, mentre 20 anni fa la sicurezza del personal computer era molto più importante della sicurezza del web (perché il web era a malapena utilizzato), oggi diremmo addirittura che la sicurezza del web sta diventando più importante della sicurezza del personal computer.

Motivo 2. La facilità di attacco

Effettuare un attacco riuscito utilizzando il malware richiede molto lavoro. Anche se l'attaccante utilizza malware prontamente disponibile, come i noti trojan, deve comunque consegnare quel malware alla vittima. Ciò significa che devono, ad esempio, creare un sito di phishing convincente, un'e-mail di phishing convincente e convincere le persone a installare il trojan. E anche dopo che la vittima ha installato il malware, l'attaccante potrebbe scoprire che il computer della vittima non ha assolutamente alcun valore perché la vittima è solitamente casuale.

D'altra parte, effettuare un attacco web di successo è molto più semplice e ci sono anche strumenti gratuiti e facilmente disponibili che lo rendono ancora più semplice per l'attaccante. Tutto quello che devono fare è puntare lo strumento sul tuo sito web e lo strumento, che agisce proprio come uno scanner di vulnerabilità, trova i punti deboli e consente all'aggressore di sfruttarli immediatamente. Un simile attacco ha una grande probabilità di successo perché l'aggressore mira a una determinata vittima e sa che la vittima dispone di informazioni preziose.

Ai criminali digitali piace rendere la loro vita facile. Perché creare campagne di phishing cieche e complesse sperando che forse finiranno per avere alcuni dati preziosi quando potranno eseguire un attacco facile, automatizzato e mirato e ottenere risultati immediatamente?

Motivo 3. Nessun aiuto dall'esterno

Se la tua organizzazione utilizza un rinomato provider di servizi cloud per ospitare i tuoi account di posta elettronica, puoi sentirti ragionevolmente sicuro che abbia una soluzione anti-malware sul server per eliminare potenziali minacce prima che raggiungano i computer utilizzati dai tuoi dipendenti. Ciò significa che la tua soluzione anti-malware locale non è affatto necessaria per la posta elettronica.

Stranamente, non conosciamo alcun provider di web hosting che esegue regolarmente la scansione delle vulnerabilità sui contenuti che ospitano. A differenza dei provider di posta elettronica cloud, i provider di hosting Web di solito non forniscono alcun tipo di protezione tranne i firewall generici per applicazioni Web, che non eliminano le vulnerabilità.

Pertanto, fino a quando la scansione delle vulnerabilità web non diventerà parte dell'offerta del provider di servizi cloud (se mai), sarai da solo. L'unico che può trovare ed eliminare gravi vulnerabilità nei tuoi siti web o applicazioni web sei tu. Questo è ancora più un motivo per cui dovresti usare regolarmente uno scanner di vulnerabilità web.

Motivo 4. La probabilità di un attacco

Come accennato in precedenza, la tua organizzazione ha sicuramente soluzioni anti-malware lato server per tutte le tue esigenze di posta elettronica. Potrebbe trattarsi di un rinomato fornitore di servizi cloud che offre antimalware lato server o del tuo server, che non lasceresti senza antimalware. Pertanto, la probabilità che malware generico riesca a passare attraverso la posta elettronica è pressoché nulla.

La probabilità di contrarre un virus da un sito Web visitato è altrettanto bassa. Questo perché i browser non installano nulla sul tuo computer a meno che tu non dia esplicita autorizzazione. Inoltre, i tuoi dipendenti di solito non visitano siti Web rischiosi che potrebbero diffondere malware. Pertanto, anche se non è stato installato alcun anti-malware, la probabilità di ricevere malware su una macchina da ufficio è molto bassa.

D'altra parte, la probabilità che il tuo sito web o la tua applicazione web sia l'obiettivo di un attacco generico è molto più alta. Questo perché gli hacker black-hat utilizzano semplicemente un software automatizzato per cercare siti Web disponibili e quindi scansionarli per individuare eventuali vulnerabilità. Se utilizzi qualsiasi tipo di software web open source con plugin, come WordPress, Joomla, Drupal, Magento, ecc., Stai rischiando di più. Ricorda: a differenza dei laptop dell'ufficio, il tuo sito web o la tua applicazione web sono esposti al pubblico e chiunque può accedervi e provare ad hackerarli.

Motivo 5. Diventare un accessorio del crimine

Se, a seguito di un attacco dannoso, la tua azienda diventa un accessorio di un crimine, potrebbe avere conseguenze anche peggiori di un attacco diretto contro la tua azienda. Potrebbe costarti molta reputazione e mettere a rischio l'intera tua azienda. Pertanto, qualsiasi forma di protezione dagli attacchi deve anche tenere conto della possibilità che qualcuno utilizzi le tue risorse per attaccare qualcun altro.

L'obiettivo degli attacchi basati su malware è spesso installare software botnet. Tale software viene quindi utilizzato per massicci attacchi DDoS contro altre entità. Gli aggressori possono anche installare soluzioni VPN canaglia, che vengono quindi utilizzate per nascondere l'indirizzo IP originale dell'attaccante.

Tuttavia, anche le applicazioni Web potrebbero diventare accessori. Ad esempio, se la tua applicazione web ha una vulnerabilità cross-site scripting (XSS) , questa vulnerabilità può essere utilizzata per creare attacchi di phishing che sembreranno provenire dal tuo dominio. E la portata di tali attacchi è molto maggiore rispetto alle botnet: una botnet viene utilizzata per attaccare un singolo obiettivo contemporaneamente. Una campagna di phishing può essere inviata a milioni di target che poi vedrebbero il tuo dominio affidabile e, possibilmente, cadranno vittime della truffa.

Quindi, se non vuoi mettere a rischio la tua reputazione, dovresti assicurarti che i tuoi siti web e le tue applicazioni web non abbiano vulnerabilità che potrebbero essere utilizzate per attaccare qualcun altro. E l'unico modo per farlo in modo efficace è utilizzare uno scanner di vulnerabilità web.

 


Articoli su Sicurezza

Sicurezza aziendale: da cosa è minacciata e come proteggerla?Il threat modeling per la sicurezza delle applicazioniScanner di vulnerabilità: ecco come funzionanoWeb security: 5 motivi per cui è essenziale contro i ransomwareChe cos'è DevSecOps e come dovrebbe funzionare?Test di penetrazione vs scansione delle vulnerabilitàConsiderazioni sui test di correzione delle applicazioni WebQuattro modi in cui l'analisi AppSec aiuta i tuoi professionisti DevSecOpsQuattro modi per combattere il divario di competenze di sicurezza informaticaDove i framework di cybersecurity incontrano la sicurezza webCome costruire un piano di risposta agli incidenti informaticiRendi i tuoi utenti parte della soluzione di sicurezza webSei l'unico che può proteggere le tue applicazioni webNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaConvergenza Dev-Sec: i progressi e le sfide sulla strada per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?Sei l'unico che può proteggere le tue applicazioni webCos'è la sicurezza del sito Web: come proteggere il tuo sito Web dall'hackingRendi i tuoi utenti parte della soluzione di sicurezza webConvergenza Dev-Sec: la ricerca illustra i progressi per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?La differenza tra XSS e CSRFNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaPrevenzione e mitigazione XSSStop ai compromessi sulla sicurezza delle applicazioni webSfatare 5 miti sulla sicurezza informaticaBasta compromessi sulla sicurezza delle applicazioni webNozioni di base sulla sicurezza web: la tua applicazione web è sicura?Che cos'è l'iniezione dell’header HTTP?Fare shift left o no?Individuazione e correzione di falle di sicurezza in software di terze partiClassi di vulnerabilità Web nel contesto delle certificazioniScripting tra siti (XSS)Che cos'è un attacco CSRFChe cos'è una SQL Injection (SQLi) e come prevenirlaAttacchi di attraversamento di directoryChe cos'è la falsificazione delle richieste lato server (SSRF)?7 migliori pratiche per la sicurezza delle applicazioni WebBlack Hat 2021: la più grande minaccia alla sicurezza informaticaÈ ben fatto? Chiedi allo sviluppatore!Scegli la soluzione di sicurezza delle applicazioni web che fa per teSicurezza fai-da-te: lo stai facendo bene?Sulla sicurezza delle applicazioni web professionali per MSSPLa cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23