Become a partner   | Request Support  | Contact Sales

Diventa Autore per CoreTech | Scopri di più





Dove i framework di cybersecurity incontrano la sicurezza web

06/06/22 CoreTech Blog

Un framework di sicurezza informatica è un insieme di linee guida per gli ambienti aziendali per gestire la sicurezza in modo efficace. I quadri di sicurezza informatica sono adattivi e di solito coprono molteplici aspetti dei programmi di sicurezza informatica, inclusi controlli di sicurezza, misure di salvaguardia e mitigazione appropriate, attività appropriate, programmi di gestione del rischio, tecnologia di protezione, monitoraggio continuo, nonché pianificazione della risposta agli incidenti di sicurezza informatica e pianificazione del ripristino. Possono essere applicati a vari sistemi informativi e possono aiutare a gestire fornitori di servizi esterni. Tali framework non si concentrano sul Web, ma possono essere applicati alla sicurezza Web e mostrano anche come deve far parte del quadro generale.

È un malinteso comune che i framework di sicurezza informatica siano metodologie destinate solo alle grandi organizzazioni. In ambienti di grandi dimensioni, sono indispensabili, ma possono essere utilizzati con lo stesso successo come base per le piccole organizzazioni del settore privato, aiutando le parti interessate a concentrarsi su ciò che è importante nella loro posizione di sicurezza informatica.

Framework di sicurezza informatica popolari

Il termine quadro di sicurezza informatica è molto generico e può essere applicato a diversi tipi di linee guida. Di seguito sono riportati alcuni dei più diffusi framework di sicurezza informatica:

  • Il NIST Framework (Framework for Improving Critical Infrastructure Cybersecurity), sviluppato dal National Institute of Standards and Technology, è attualmente uno dei framework generali di cybersecurity più popolari, se non il più completo e completo. ISO 27001 Gestione della sicurezza delle informazioni è un altro standard generale così rinomato. È concepito come un insieme di requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS).
  • Altri quadri di sicurezza informatica si concentrano su controlli specifici. Ad esempio, NIST SP 800-53 è un insieme di controlli di sicurezza e privacy e i controlli CIS sono un insieme di azioni prioritarie per proteggere un'organizzazione e dati da vettori di attacchi informatici noti.
  • Esistono quadri di sicurezza informatica che si concentrano sulla gestione del rischio di sicurezza informatica. ISO 27005:2018 Information Security Risk Management si concentra sulla gestione del rischio di sicurezza informatica per la tecnologia dell'informazione. La gestione del rischio FAIR definisce gli elementi costitutivi per l'implementazione di processi e programmi di gestione del rischio informatico efficaci.
  • Esistono anche framework specializzati percepiti come standard di sicurezza per settori o scenari specifici: PCI DSS, COBIT, HIPAA e altri.

Per vedere come la sicurezza web si inserisce in un quadro di sicurezza informatica, possiamo prendere come esempio il NIST CSF. Sebbene il NIST CSF potrebbe non essere la soluzione ideale per la tua organizzazione e potresti invece decidere di seguire un framework diverso, l'approccio di base rimane lo stesso.

Per utilizzare efficacemente il NIST CSF o qualsiasi altro framework di sicurezza informatica nella tua organizzazione, non puoi concentrarti solo sulla sicurezza web. La sicurezza web è e sarà sempre parte del quadro più ampio. Il NIST CSF ha lo scopo di raggiungere la comprensione organizzativa in tutte le aree della sicurezza informatica, non solo la sicurezza web, e per aiutarti a progettare politiche di sicurezza che intrecciano tutti gli aspetti insieme.

Il quadro di sicurezza informatica del NIST e il web

Il NIST CSF è composto da tre parti. Il Framework Core è un insieme di attività di sicurezza informatica, risultati desiderati e riferimenti comuni. Presenta standard, linee guida e pratiche in un modo che consente di comunicare le attività e i risultati della sicurezza informatica a tutti i livelli dell'organizzazione. Contiene quattro elementi: Funzioni, Categorie, Sottocategorie e Riferimenti informativi. I livelli di implementazione del quadro si concentrano sul rischio di sicurezza informatica e sui processi per gestirlo. Il profilo del quadro contiene risultati ripetibili in base alle esigenze aziendali selezionate dalle categorie e sottocategorie del quadro.

Per vedere chiaramente come il NIST CSF si applica alla sicurezza web, è meglio guardare alla struttura delle funzioni Framework Core. Al livello più alto del Core ci sono le seguenti funzioni: Identifica, Proteggi, Rileva, Rispondi e Recupera. Ciascuna delle funzioni contiene diverse categorie, ad esempio la funzione Identifica contiene categorie quali Asset Management, Business Environment, Governance, Risk Assessment, Risk Management Strategy e Supply Chain Risk Management. Ognuna di queste categorie ha sottocategorie specifiche che definiscono i risultati desiderati.

Nessuno degli elementi NIST CSF è pensato specificamente per il web, ma molti di essi si applicano anche alla sicurezza web. Ecco alcuni esempi notevoli:

  • AM-2: Vengono inventariate le piattaforme software e le applicazioni all'interno dell'organizzazione: questo risultato si applica anche alle applicazioni web. Per raggiungere questo risultato, devi trovare un modo per creare un inventario di tutte le applicazioni web della tua organizzazione.
  • RA-2: Le informazioni sulle minacce informatiche vengono ricevute da forum e fonti di condivisione delle informazioni: Dal punto di vista del Web, ciò significa che sono necessarie fonti esterne per conoscere potenziali eventi di sicurezza informatica Web, ad esempio nuovi vettori di attacco.
  • DS-5: Sono implementate protezioni contro la fuga di dati: i dati critici e le informazioni sensibili sono spesso accessibili tramite applicazioni web. Per evitare violazioni dei dati e garantire la sicurezza dei dati, le organizzazioni devono implementare adeguati controlli dell'accesso al Web. Molte recenti fughe di notizie sono state causate da documenti non protetti accessibili via web.
  • CM-8: Vengono eseguite scansioni delle vulnerabilità: Il fatto che la scansione delle vulnerabilità sia evidenziata come una categoria separata mostra la sua importanza nei processi di rilevamento secondo il NIST.

 

 

Banner

Articoli su Sicurezza

Sicurezza aziendale: da cosa è minacciata e come proteggerla?Il threat modeling per la sicurezza delle applicazioniScanner di vulnerabilità: ecco come funzionanoWeb security: 5 motivi per cui è essenziale contro i ransomwareChe cos'è DevSecOps e come dovrebbe funzionare?Test di penetrazione vs scansione delle vulnerabilitàConsiderazioni sui test di correzione delle applicazioni WebQuattro modi in cui l'analisi AppSec aiuta i tuoi professionisti DevSecOpsQuattro modi per combattere il divario di competenze di sicurezza informaticaDove i framework di cybersecurity incontrano la sicurezza webCome costruire un piano di risposta agli incidenti informaticiRendi i tuoi utenti parte della soluzione di sicurezza webSei l'unico che può proteggere le tue applicazioni webNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaConvergenza Dev-Sec: i progressi e le sfide sulla strada per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?Sei l'unico che può proteggere le tue applicazioni webCos'è la sicurezza del sito Web: come proteggere il tuo sito Web dall'hackingRendi i tuoi utenti parte della soluzione di sicurezza webConvergenza Dev-Sec: la ricerca illustra i progressi per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?La differenza tra XSS e CSRFNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaPrevenzione e mitigazione XSSStop ai compromessi sulla sicurezza delle applicazioni webSfatare 5 miti sulla sicurezza informaticaBasta compromessi sulla sicurezza delle applicazioni webNozioni di base sulla sicurezza web: la tua applicazione web è sicura?Che cos'è l'iniezione dell’header HTTP?Fare shift left o no?Individuazione e correzione di falle di sicurezza in software di terze partiClassi di vulnerabilità Web nel contesto delle certificazioniScripting tra siti (XSS)Che cos'è un attacco CSRFChe cos'è una SQL Injection (SQLi) e come prevenirlaAttacchi di attraversamento di directoryChe cos'è la falsificazione delle richieste lato server (SSRF)?7 migliori pratiche per la sicurezza delle applicazioni WebBlack Hat 2021: la più grande minaccia alla sicurezza informaticaÈ ben fatto? Chiedi allo sviluppatore!Scegli la soluzione di sicurezza delle applicazioni web che fa per teSicurezza fai-da-te: lo stai facendo bene?Sulla sicurezza delle applicazioni web professionali per MSSPLa cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23