Diventa Autore per CoreTech | Scopri di più





Sulla sicurezza delle applicazioni web professionali per MSSP

04/10/21 CoreTech Blog

I fornitori di servizi di sicurezza gestiti (MSSP) sono una fantastica alternativa per le organizzazioni di piccole e medie dimensioni i cui obiettivi primari sono assumere dipendenti focalizzati sul business, non reclutare team di professionisti IT e della sicurezza che, pur essendo preziosi per la sicurezza dell'organizzazione sono non contribuenti al loro core business. L'esternalizzazione dei servizi di sicurezza evita alle aziende in crescita la fatica di creare team interni da zero, il che non solo è difficile a causa di un'importante lacuna nelle competenze di sicurezza informatica, ma finisce anche con il personale specializzato che ha ben poco da fare su base regolare.

Tuttavia, la sicurezza informatica si evolve così rapidamente che molti MSSP hanno difficoltà a rimanere aggiornati. Di conseguenza, ad esempio, esiste un numero piuttosto elevato di MSSP che non includono la sicurezza delle applicazioni Web come parte dei loro servizi. Ciò è dovuto principalmente al rapido sviluppo delle tecnologie web e alla rapida migrazione al cloud. Solo pochi anni fa, agli MSSP andava bene concentrarsi sulla sicurezza della rete e degli endpoint (soluzioni anti-malware). Oggi, queste discipline di sicurezza informatica non sono più importanti della sicurezza delle applicazioni web.

Ecco i motivi principali per cui gli MSSP devono includere la sicurezza delle applicazioni Web nel loro portafoglio di servizi

Le applicazioni Web sono un obiettivo comune di attacco

In un recente studio di Forrester Research, The State of Application Security 2021, gli attacchi alle applicazioni web sono stati individuati come il metodo di attacco più comune. Ciò dimostra che mentre i media globali parlano principalmente di phishing e ransomware, molte aziende non si rendono conto di quanto sia importante la sicurezza delle applicazioni web.

Un altro motivo per cui il web viene spesso trattato con negligenza è l'improvviso spostamento della sua importanza. Solo pochi anni fa, le aziende utilizzavano il Web principalmente per scopi di marketing, condivisione di informazioni o comunicazione con i clienti. Ora, le stesse aziende utilizzano il Web per le loro attività primarie che generano entrate e archiviano le informazioni più sensibili nelle applicazioni Web.

Gli aggressori, ovviamente, ne sono consapevoli e trovano le applicazioni web che generano entrate una gustosa sorpresa: le aziende spesso le lasciano senza protezione e le vulnerabilità sono molto comuni a causa degli sviluppatori che spesso evitano la sicurezza . Allo stesso tempo, la maggior parte delle aziende ha poche idee sullo sviluppo web e lo lascia a terze parti che spesso non sono responsabili delle conseguenze relative alla sicurezza. Spesso le applicazioni che contengono dati aziendali sensibili vengono eseguite su motori open source senza che nessuno sia responsabile della loro sicurezza. Questo caos è un ambiente perfetto per gli hacker black-hat.

Non puoi coprire manualmente la sicurezza delle applicazioni web

Alcuni MSSP potrebbero pensare che il modo migliore per coprire la sicurezza delle applicazioni Web sia eseguire test di penetrazione manuali . Sebbene sia vero che il test di penetrazione manuale si traduce in una copertura di sicurezza più profonda, consuma una quantità folle di tempo. Con il numero di clienti serviti da un MSSP e il numero di siti Web e applicazioni Web da coprire, centinaia di tester di penetrazione dovrebbero lavorare 24 ore su 24 per coprire tutte le basi per ogni cliente.

Questo è anche il motivo per cui gli strumenti di test di penetrazione manuali non sono la strada da percorrere per gli MSSP. Gli strumenti di penetrazione professionale come i proxy web sono di prim'ordine nelle mani giuste, ma è la mancanza di mani il problema. Ciò di cui hanno bisogno gli MSSP sono soluzioni che automatizzano la maggior parte degli avvisi e dei casi, riducendo così il tempo e le risorse umane necessarie per concentrarsi su problemi critici ad alto rischio, consentendo così di dare priorità ai rischi più impattanti e pericolosi.

Le soluzioni di sicurezza preconfezionate non coprono la sicurezza delle applicazioni web

Un altro presupposto erroneamente fatto da alcuni MSSP è che le soluzioni di sicurezza di rete pacchettizzate copriranno abbastanza bene la sicurezza web. Questo non è il caso. Sebbene esistano soluzioni di sicurezza di rete che includono componenti aggiuntivi a capacità limitata per coprire le vulnerabilità di sicurezza delle applicazioni Web più comuni, queste sono troppo basilari per assicurarsi che il cliente sia ben coperto.

Concentrare i propri sforzi sulla sicurezza della rete e trattare la sicurezza delle applicazioni Web come un componente aggiuntivo sarebbe stato un approccio perfetto solo circa 5 anni fa. Ora le carte in tavola sono cambiate. Poiché la maggior parte delle piccole imprese, in particolare quelle nuove, ha i propri dati sensibili nel cloud e quasi nessuna soluzione in loco, la sicurezza della rete è scesa a una priorità molto più bassa. La sicurezza di rete rimane ancora elevata per le organizzazioni a sviluppo lento come enti governativi o alcune grandi aziende, ma non per le PMI.

Le soluzioni open source non sono sufficienti per la sicurezza delle applicazioni web

L'open source è una scelta comune per le aziende, soprattutto nel caso delle applicazioni web. Le applicazioni web sono spesso basate su piattaforme open source come WordPress, che, secondo W3Techs , è la base per oltre il 42% di tutti i siti web.

Questo porta molti a credere che la situazione sia simile nel mondo della sicurezza delle applicazioni web. Dopotutto, ad esempio, esistono ottime soluzioni di sicurezza di rete open source come OpenVAS, che potrebbe facilmente rivaleggiare con i più grandi player commerciali. Sfortunatamente, questo non è il caso della sicurezza web: ci sono pochissime piattaforme open source per la scansione della sicurezza delle applicazioni web e queste piattaforme hanno capacità limitate. Il problema più grande con loro è il fatto che sono stati creati per essere utilizzati come strumenti di test di penetrazione, non come soluzioni automatizzate.

Di conseguenza, gli MSSP che cercano di basare i propri servizi di sicurezza delle applicazioni Web su soluzioni open source incontrano grossi problemi di automazione e facilità d'uso e forniscono ai propri clienti solo un ambito limitato di sicurezza delle applicazioni Web.


Articoli su Sicurezza

Sicurezza aziendale: da cosa è minacciata e come proteggerla?Il threat modeling per la sicurezza delle applicazioniScanner di vulnerabilità: ecco come funzionanoWeb security: 5 motivi per cui è essenziale contro i ransomwareChe cos'è DevSecOps e come dovrebbe funzionare?Test di penetrazione vs scansione delle vulnerabilitàConsiderazioni sui test di correzione delle applicazioni WebQuattro modi in cui l'analisi AppSec aiuta i tuoi professionisti DevSecOpsQuattro modi per combattere il divario di competenze di sicurezza informaticaDove i framework di cybersecurity incontrano la sicurezza webCome costruire un piano di risposta agli incidenti informaticiRendi i tuoi utenti parte della soluzione di sicurezza webSei l'unico che può proteggere le tue applicazioni webNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaConvergenza Dev-Sec: i progressi e le sfide sulla strada per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?Sei l'unico che può proteggere le tue applicazioni webCos'è la sicurezza del sito Web: come proteggere il tuo sito Web dall'hackingRendi i tuoi utenti parte della soluzione di sicurezza webConvergenza Dev-Sec: la ricerca illustra i progressi per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?La differenza tra XSS e CSRFNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaPrevenzione e mitigazione XSSStop ai compromessi sulla sicurezza delle applicazioni webSfatare 5 miti sulla sicurezza informaticaBasta compromessi sulla sicurezza delle applicazioni webNozioni di base sulla sicurezza web: la tua applicazione web è sicura?Che cos'è l'iniezione dell’header HTTP?Fare shift left o no?Individuazione e correzione di falle di sicurezza in software di terze partiClassi di vulnerabilità Web nel contesto delle certificazioniScripting tra siti (XSS)Che cos'è un attacco CSRFChe cos'è una SQL Injection (SQLi) e come prevenirlaAttacchi di attraversamento di directoryChe cos'è la falsificazione delle richieste lato server (SSRF)?7 migliori pratiche per la sicurezza delle applicazioni WebBlack Hat 2021: la più grande minaccia alla sicurezza informaticaÈ ben fatto? Chiedi allo sviluppatore!Scegli la soluzione di sicurezza delle applicazioni web che fa per teSicurezza fai-da-te: lo stai facendo bene?Sulla sicurezza delle applicazioni web professionali per MSSPLa cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23