Diventa Autore per CoreTech | Scopri di più
04/10/21 CoreTech Blog
I fornitori di servizi di sicurezza gestiti (MSSP) sono una fantastica alternativa per le organizzazioni di piccole e medie dimensioni i cui obiettivi primari sono assumere dipendenti focalizzati sul business, non reclutare team di professionisti IT e della sicurezza che, pur essendo preziosi per la sicurezza dell'organizzazione sono non contribuenti al loro core business. L'esternalizzazione dei servizi di sicurezza evita alle aziende in crescita la fatica di creare team interni da zero, il che non solo è difficile a causa di un'importante lacuna nelle competenze di sicurezza informatica, ma finisce anche con il personale specializzato che ha ben poco da fare su base regolare.
Tuttavia, la sicurezza informatica si evolve così rapidamente che molti MSSP hanno difficoltà a rimanere aggiornati. Di conseguenza, ad esempio, esiste un numero piuttosto elevato di MSSP che non includono la sicurezza delle applicazioni Web come parte dei loro servizi. Ciò è dovuto principalmente al rapido sviluppo delle tecnologie web e alla rapida migrazione al cloud. Solo pochi anni fa, agli MSSP andava bene concentrarsi sulla sicurezza della rete e degli endpoint (soluzioni anti-malware). Oggi, queste discipline di sicurezza informatica non sono più importanti della sicurezza delle applicazioni web.
Ecco i motivi principali per cui gli MSSP devono includere la sicurezza delle applicazioni Web nel loro portafoglio di servizi
In un recente studio di Forrester Research, The State of Application Security 2021, gli attacchi alle applicazioni web sono stati individuati come il metodo di attacco più comune. Ciò dimostra che mentre i media globali parlano principalmente di phishing e ransomware, molte aziende non si rendono conto di quanto sia importante la sicurezza delle applicazioni web.
Un altro motivo per cui il web viene spesso trattato con negligenza è l'improvviso spostamento della sua importanza. Solo pochi anni fa, le aziende utilizzavano il Web principalmente per scopi di marketing, condivisione di informazioni o comunicazione con i clienti. Ora, le stesse aziende utilizzano il Web per le loro attività primarie che generano entrate e archiviano le informazioni più sensibili nelle applicazioni Web.
Gli aggressori, ovviamente, ne sono consapevoli e trovano le applicazioni web che generano entrate una gustosa sorpresa: le aziende spesso le lasciano senza protezione e le vulnerabilità sono molto comuni a causa degli sviluppatori che spesso evitano la sicurezza . Allo stesso tempo, la maggior parte delle aziende ha poche idee sullo sviluppo web e lo lascia a terze parti che spesso non sono responsabili delle conseguenze relative alla sicurezza. Spesso le applicazioni che contengono dati aziendali sensibili vengono eseguite su motori open source senza che nessuno sia responsabile della loro sicurezza. Questo caos è un ambiente perfetto per gli hacker black-hat.
Alcuni MSSP potrebbero pensare che il modo migliore per coprire la sicurezza delle applicazioni Web sia eseguire test di penetrazione manuali . Sebbene sia vero che il test di penetrazione manuale si traduce in una copertura di sicurezza più profonda, consuma una quantità folle di tempo. Con il numero di clienti serviti da un MSSP e il numero di siti Web e applicazioni Web da coprire, centinaia di tester di penetrazione dovrebbero lavorare 24 ore su 24 per coprire tutte le basi per ogni cliente.
Questo è anche il motivo per cui gli strumenti di test di penetrazione manuali non sono la strada da percorrere per gli MSSP. Gli strumenti di penetrazione professionale come i proxy web sono di prim'ordine nelle mani giuste, ma è la mancanza di mani il problema. Ciò di cui hanno bisogno gli MSSP sono soluzioni che automatizzano la maggior parte degli avvisi e dei casi, riducendo così il tempo e le risorse umane necessarie per concentrarsi su problemi critici ad alto rischio, consentendo così di dare priorità ai rischi più impattanti e pericolosi.
Un altro presupposto erroneamente fatto da alcuni MSSP è che le soluzioni di sicurezza di rete pacchettizzate copriranno abbastanza bene la sicurezza web. Questo non è il caso. Sebbene esistano soluzioni di sicurezza di rete che includono componenti aggiuntivi a capacità limitata per coprire le vulnerabilità di sicurezza delle applicazioni Web più comuni, queste sono troppo basilari per assicurarsi che il cliente sia ben coperto.
Concentrare i propri sforzi sulla sicurezza della rete e trattare la sicurezza delle applicazioni Web come un componente aggiuntivo sarebbe stato un approccio perfetto solo circa 5 anni fa. Ora le carte in tavola sono cambiate. Poiché la maggior parte delle piccole imprese, in particolare quelle nuove, ha i propri dati sensibili nel cloud e quasi nessuna soluzione in loco, la sicurezza della rete è scesa a una priorità molto più bassa. La sicurezza di rete rimane ancora elevata per le organizzazioni a sviluppo lento come enti governativi o alcune grandi aziende, ma non per le PMI.
L'open source è una scelta comune per le aziende, soprattutto nel caso delle applicazioni web. Le applicazioni web sono spesso basate su piattaforme open source come WordPress, che, secondo W3Techs , è la base per oltre il 42% di tutti i siti web.
Questo porta molti a credere che la situazione sia simile nel mondo della sicurezza delle applicazioni web. Dopotutto, ad esempio, esistono ottime soluzioni di sicurezza di rete open source come OpenVAS, che potrebbe facilmente rivaleggiare con i più grandi player commerciali. Sfortunatamente, questo non è il caso della sicurezza web: ci sono pochissime piattaforme open source per la scansione della sicurezza delle applicazioni web e queste piattaforme hanno capacità limitate. Il problema più grande con loro è il fatto che sono stati creati per essere utilizzati come strumenti di test di penetrazione, non come soluzioni automatizzate.
Di conseguenza, gli MSSP che cercano di basare i propri servizi di sicurezza delle applicazioni Web su soluzioni open source incontrano grossi problemi di automazione e facilità d'uso e forniscono ai propri clienti solo un ambito limitato di sicurezza delle applicazioni Web.