Riduzione del costo e complessità della gestione delle
Transcript
Riduzione del costo e complessità della gestione delle
WHITE PAPER: Riduzione del costo e complessità della gestione delle vulnerabilità Web White paper Riduzione del costo e complessità della gestione delle vulnerabilità Web White Paper: Riduzione del costo e complessità della gestione delle vulnerabilità Web Riduzione del costo e complessità della gestione delle vulnerabilità Web Indice generale L'esigenza di valutazioni delle vulnerabilità Web più semplici . . . . . . . . . . 3 Vulnerabilità prive di patch compromettono la sicurezza dei siti Web . . . . . 3 6.253 nuove vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 93% di aumento negli attacchi Web . . . . . . . . . . . . . . . . . . . . . . . . . 3 Le soluzioni tradizionali sono costose e complicate . . . . . . . . . . . . . . . . . 4 Semplificazione della rilevazione delle vulnerabilità Web: un approccio gestito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Valutazione delle vulnerabilità dei siti Web in breve . . . . . . . . . . . . . . . . Valutazioni delle vulnerabilità dei siti Web e scansione malware . . . . . . . . Configurazione del Vulnerability Assessment Service . . . . . . . . . . . . . . . Scansione delle vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Analisi dei report della valutazione delle vulnerabilità . . . . . . . . . . . . . . 4 4 4 5 5 7 Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Glossario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Crimeware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scripting tra siti (XSS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Furto di identità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SQL Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8 8 8 8 8 2 White Paper: Riduzione del costo e complessità della gestione delle vulnerabilità Web L'esigenza di valutazioni delle vulnerabilità Web più semplici Nel giugno 2010, un gruppo di hacker è riuscito a sfruttare un punto debole nel sistema di sicurezza di un sito di AT&T ottenendo così gli indirizzi di e-mail di oltre 120.000 clienti di iPad Apple1 , tra cui quelli di funzionari nei settori delle istituzioni, finanza, mezzi di comunicazione, tecnologia ed esercito2 . Purtroppo, eventi come questo sono piuttosto frequenti. Nel 2010 il volume degli attacchi basati sul Web è aumentato del 93%, rivelando una media di 230.000 identità per ciascun caso di violazione della sicurezza dei dati verificatosi nel corso dell'anno per mano di hacking3. In un recente studio4 condotto dal Ponemon Institute, il 90% degli intervistati ha indicato di avere subito due o più violazioni nel corso dei 12 mesi precedenti, mentre quasi due terzi ha rivelato di averne subite parecchie nel corso dello stesso periodo. Queste violazioni possono risultare estremamente costose. Lo studio dimostra che il costo medio per incidente di una violazione dei dati negli Stati Uniti è di 7,2 milioni di dollari, toccando punte di 35,3 milioni di dollari5 in alcuni dei casi peggiori. Gli errori nella sicurezza che coinvolgono informazioni personali possono inoltre minare la fiducia dei clienti: più della metà degli utenti Internet evita di acquistare online6 perché teme il furto delle proprie informazioni finanziarie. Con rischi così elevati, le organizzazioni devono focalizzare il proprio impegno nella sicurezza per prevenire queste e altre violazioni. Vulnerabilità prive di patch compromettono la sicurezza dei siti Web 6.253 nuove vulnerabilità Symantec ha registrato più vulnerabilità nel 2010 che in qualsiasi anno precedente dall'inizio della pubblicazione di questo report. Non solo, i nuovi produttori colpiti da una vulnerabilità sono passati a 1.914, con un aumento del 161% rispetto all'anno precedente. 93% di aumento negli attacchi Web Una crescente proliferazione dei toolkit di attacco Web ha favorito nel 2010 un aumento del 93% nel volume degli attacchi basati sul Web rispetto a quelli osservati nel 2009. Pare che anche gli URL abbreviati abbiano svolto un ruolo di rilievo in questo fenomeno. Nell'arco di un trimestre preso in esame nel 2010, il 65% degli URL nocivi osservati sui social network era costituito da URL abbreviati. Esiste un numero praticamente illimitato di metodi che hacker e criminali informatici utilizzano per compromettere l'integrità, la disponibilità e la riservatezza di informazioni o servizi. Molti attacchi approfittano di difetti comunemente presenti nel software che creano punti deboli nel sistema di sicurezza generale del computer o della rete, altri invece sfruttano le vulnerabilità create da configurazioni errate del computer o della sicurezza. Esistono letteralmente decine di migliaia di vulnerabilità note: solo nel 2010 Symantec ne ha registrate ben 6.253 nuove7, più che in qualsiasi anno di rilevazione precedente. Per la maggior parte del tempo, gli sviluppatori di software sono impegnati a correggere rapidamente le vulnerabilità che vengono scoperte per rilasciare aggiornamenti dei prodotti e patch della sicurezza. Tuttavia, non sempre le organizzazioni hanno a disposizione le risorse o la forza lavoro necessarie per tenere il passo degli hacker alla continua ricerca di metodi più semplici per introdursi nel maggior numero possibile di siti Web allo scopo di raccogliere dati sensibili o installare codice nocivo. 1 CNET News: “AT&T Hacker Indicted, Report Says.” 7 luglio 2011 - http://news.cnet.com/8301-1035_3-20077699-94/at-t-ipad-hackerindicted-report-says/ 2 CNET News: “AT&T Web Site Exposes Data of 114,000 iPad Users.” 10 giugno 2010 - http://news.cnet.com/8301-27080_3-20007309245.html 3 Symantec: Internet Security Threat Report, Volume 16. marzo 2011 - http://www.symantec.com/business/threatreport/ 4 Ponemon Institute: “Perceptions About Network Security.” giugno 2011 - http://www.juniper.net/us/en/local/pdf/additional-resources/ ponemon-perceptions-network-security.pdf 5 Ponemon Institute and Symantec: “2010 Annual Study: U.S. Cost of a Data Breach.” marzo 2011 - http://bit.ly/fwlC6j 6 -Javelin Strategy and Research: “2011 Identity Fraud Survey Report.” March 2011 - https://www.javelinstrategy.com/brochure/192 7 -Symantec: Internet Security Threat Report, Volume 16. marzo 2011 - http://www.symantec.com/business/threatreport / 3 White Paper: Riduzione del costo e complessità della gestione delle vulnerabilità Web Gli attacchi più pericolosi sono quelli che possono essere automatizzati, come quelli di tipo SQL injection, che vengono utilizzati dagli hacker per ottenere l'accesso ai database, e lo scripting tra siti che consente di aggiungere codice a un sito Web per eseguire attività specifiche. Questi metodi possono fornire agli aggressori il controllo sull'applicazione Web e una facile accesso a server, database e altre risorse IT. Una volta ottenuto l'accesso a tali risorse, essi sono in grado di compromettere numeri di carta di credito dei clienti e altre informazioni riservate. Symantec ha registrato oltre 3 miliardi di attacchi di malware nel 2010, con un aumento del volume di quasi il 90% rispetto al 2009. Una parte di questo aumento può essere attribuita alla diffusione degli script automatizzati e ai toolkit di attacco Web. Questi kit sono generalmente costituiti da codice nocivo già scritto per sfruttare vulnerabilità e facilitare il lancio di attacchi su larga scala finalizzati al furto di identità e ad altri scopi simili. Le soluzioni tradizionali sono costose e complicate L'aumento dei rischi di attacchi Web e violazioni dei dati rende sempre più difficile la gestione delle vulnerabilità. Molte soluzioni tradizionali sono progettate per le organizzazioni delle grandi aziende che devono attenersi a rigidi requisiti di conformità come il Payment Card Industry (PCI) Data Security Standard. Queste soluzioni sono calibrate in modo ottimale per rilevare un numero prestabilito di minacce e possono generare volumi di dati non necessari su vulnerabilità di importanza secondaria, oscurando misure di sicurezza fondamentali che dovrebbero essere adottate immediatamente. Come si può intuire, quasi la metà delle organizzazioni intervistate dal Ponemon Institute indica la complessità e l'accesso limitato alle risorse IT come le maggiori difficoltà nell'implementazione di soluzioni per la sicurezza di rete, e il 76% è a favore della razionalizzazione e semplificazione delle funzioni di sicurezza della rete. Semplificazione della rilevazione delle vulnerabilità Web: un approccio gestito Per far fronte agli hacker, alle organizzazioni serve una soluzione agile che le aiuti a identificare in modo semplice e rapido le vulnerabilità più critiche sui propri siti Web. Symantec™ offre una semplice valutazione delle vulnerabilità basata sul cloud per aiutare a identificare e correggere rapidamente i punti deboli più facili da sfruttare nei vostri siti Web. Valutazione delle vulnerabilità dei siti Web in breve Le valutazioni delle vulnerabilità Symantec aiutano a identificare rapidamente i punti deboli che possono essere sfruttati nel tuo sito Web. Gratuita con l'acquisto di certificati Symantec™ Premium, Pro e SSL Extended Validation (EV), questa valutazione integra la protezione esistente con: • Una scansione automatica settimanale delle vulnerabilità sulle pagine Web destinate al pubblico, nelle applicazioni Web, nel software del server e nelle porte di rete. • Un report operativo che identifica le vulnerabilità critiche che devono essere esaminate immediatamente e gli elementi che pongono un rischio minore. • Un'opzione per ripetere la scansione del sito Web allo scopo di verificare che le vulnerabilità sono state corrette. Valutazioni delle vulnerabilità dei siti Web e scansione malware La valutazione delle vulnerabilità dei siti Web esegue una scansione dei punti di ingresso e documenta il potenziale di violazioni della sicurezza. La scansione malware cerca di individuare software dannoso già presente sul sito e nella rete. Se nel vostro sito è presente del malware, significa probabilmente che un punto di ingresso è già stato violato. La riparazione delle vulnerabilità nel sito contribuisce a impedire potenziali violazioni, compreso il malware. 4 White Paper: Riduzione del costo e complessità della gestione delle vulnerabilità Web Se utilizzate in combinazione con il certificato SSL Symantec™ e la scansione antimalware giornaliera del sito Web, la valutazione delle vulnerabilità aiuta a difendere il vostro sito Web e proteggere i clienti. Configurazione del Vulnerability Assessment Service I clienti esistenti, in fase di rinnovo o nuovi possono attivare il servizio di valutazione delle vulnerabilità come opzione dalla console di gestione di Symantec™ Trust Center, Symantec Trust Center Enterprise o Managed PKI per SSL*. Questo servizio inizierà dallo stesso nome di dominio completo (FQDN, Fully Qualified Domain Name) che viene utilizzato come nome comune del certificato SSL associato. Nel caso vengano protetti più domini con certificati SSL, è possibile attivare le valutazioni delle vulnerabilità per ciascuno dalla console di gestione. *Le opzioni di configurazione e avviso variano a seconda della console di gestione utilizzata Scansione delle vulnerabilità La valutazione delle vulnerabilità esamina i punti di ingresso utilizzati con maggiore frequenza per sferrare gli attacchi più comuni. Una volta attivata, la prima scansione delle vulnerabilità inizierà nel giro di 24 ore. Successivamente, il sito viene sottoposto a scansione con cadenza settimanale ed è possibile chiedere una ripetizione della scansione in qualsiasi momento. La valutazione delle vulnerabilità esamina tutte le porte di rete generalmente utilizzate, più di 1.000 in totale. La scansione rileva i tipi di vulnerabilità più comuni, tra cui software non aggiornato o privo di patch, scripting tra siti (XSS), SQL injection e “backdoor”, e viene aggiornata spesso non appena vengono scoperte nuove vulnerabilità. 5 White Paper: Riduzione del costo e complessità della gestione delle vulnerabilità Web Tabella 1. Dettagli sulle attività di scansione della valutazione delle vulnerabilità Area Esempi di elementi esaminati Livello di rete Scansione di base delle porte e analisi dei dati per individuare in modo non intrusivo potenziali vulnerabilità. Server HTTP Apache (e plug-in più diffusi) Software del server Web Microsoft IIS Tomcat JBoss Sendmail Software SMTP Postfix Microsoft Exchange Server Servizi Telnet Servizi SSH Servizi FTP Sistemi Unix OpenSSH Software SSH.com Daemon FTP più diffusi Microsoft ASP .NET, Adobe JRun, Adobe ColdFusion, Perl, PHP, ColdFusion, ASP/ASP .NET, J2EE/JSP Sistemi CMS più diffusi (WordPress, Django, Joomla, Drupal, ecc.) Framework Web Applicazioni di e-commerce (CubeCart, ColdFusion Shopping Cart, KonaKart, ecc.) Software per la gestione Web (phpMyAdmin) Software per forum Applicazioni di rilevazione pubblicità/statistiche Vulnerabilità delle applicazioni Web Potenziali problemi di utilizzo dei certificati SSL Vulnerabilità di scripting tra siti di riflesso Vulnerabilità SQL injection di base Certificato SSL non affidabile (firmato da autorità di certificazione sconosciuta) Controllo dei certificati autofirmati Discrepanza nel nome comune del certificato Utilizzo di cifrature deboli Certificati scaduti o revocati Trasmissione di dati non crittografata Pagine di accesso con invii di moduli di destinazione non SSL Se una valutazione rileva una vulnerabilità e si interviene per porre rimedio al problema, successivamente è possibile chiedere una ripetizione della scansione in modo da verificare che alla vulnerabilità sia stata applicata la patch appropriata. 6 White Paper: Riduzione del costo e complessità della gestione delle vulnerabilità Web Analisi dei report della valutazione delle vulnerabilità Dopo che la valutazione delle vulnerabilità è stata completata, è possibile generare un report completo sulle vulnerabilità del sito Web in formato PDF dalla console di gestione di Symantec Trust Center, Symantec Trust Center Enterprise o Managed PKI per SSL. Se la scansione rileva vulnerabilità critiche, genera anche un avviso sulla console. Ogni report contiene dati operativi per consentire al personale IT di indagare sui problemi e segnalarli con chiarezza al management. Il report evidenzia le vulnerabilità critiche, con informazioni su ciascun rischio, compresa la gravità, la minaccia associata e l'impatto potenziale. Il report descrive inoltre le azioni correttive che sarà necessario adottare per rimediare ciascun problema. Conclusioni Hacker e criminali informatici stanno affinando continuamente i propri attacchi e bersagli: per affrontarli adeguatamente sono necessari strumenti agili. L'utilizzo della valutazione delle vulnerabilità automatizzata per identificare e correggere i punti deboli che possono essere sfruttati consente di ridurre il rischio che gli hacker individuino il vostro sito e lo attacchino. Le valutazioni delle vulnerabilità Symantec aiutano a ridurre il costo e la complessità della gestione delle vulnerabilità per mezzo di scansioni automatizzate, report operativi e un'architettura basata sul cloud che non richiede software da installare o mantenere. La soluzione costituisce un ottimo punto di partenza per le organizzazioni che vogliono valutare rapidamente la portata delle vulnerabilità presenti sul proprio sito. Le valutazioni delle vulnerabilità dei siti Web sono inoltre ideali per le organizzazioni che utilizzano già una soluzione per la scansione delle vulnerabilità come quelle legate alla conformità PCI e hanno l'esigenza di una soluzione complementare per effettuare controlli incrociati dei risultati come ulteriore livello di sicurezza. Se utilizzate in combinazione con il certificato SSL Symantec e la scansione antimalware giornaliera del sito Web, le valutazioni delle vulnerabilità aiutano a difendere il vostro sito Web e proteggere i clienti. 7 White Paper: Riduzione del costo e complessità della gestione delle vulnerabilità Web Glossario Crimeware Il crimeware è software che viene utilizzato per commettere atti criminali. Analogamente al crimine informatico, il termine crimeware comprende un'ampia gamma di programmi nocivi o potenzialmente nocivi. Scripting tra siti (XSS) Attacchi che consentono agli intrusi di introdurre script non autorizzati che sono in grado di aggirare le barriere di sicurezza dei browser. Furto di identità Il furto di identità è l'atto di rubare informazioni personali per assumere l'identità della vittima al fine di commettere frodi o altri crimini. SQL Injection Tipo di attacco basato sul Web che consente a estranei di impartire comandi SQL non autorizzati tramite codice non protetto in una parte di un sito che è connessa a Internet. Tramite questi comandi SQL non autorizzati, è possibile accedere alle informazioni riservate presenti in un database oltre che ai computer host dell'organizzazione. Vulnerabilità Una vulnerabilità è uno stato in uno o più sistemi informatici che consente a un aggressore di eseguire comandi come se fosse un altro utente, di accedere senza autorizzazione a dati sottoposti a limitazioni di accesso, di fingersi qualcun altro o di sferrare un attacco di tipo Denial of Service. 8 White Paper: Riduzione del costo e complessità della gestione delle vulnerabilità Web Ulteriori informazioni Visita il nostro sito Web www.symantec.it/ssl-certificates Altre informazioni Per ulteriori informazioni sui certificati Symantec SSL, è possibile chiamare il numero +353 1 850 2623 o inviare un’e-mail all’indirizzo: [email protected] Per parlare con uno specialista dei prodotti telefona al numero +353 1 850 2623 Informazioni su Symantec Symantec è leader globale nelle soluzioni per la sicurezza, lo storage e la gestione dei sistemi con l'obiettivo di aiutare privati e organizzazioni a proteggere e gestire le proprie informazioni. La nostra offerta di software e servizi consente la protezione da più rischi in più punti, con maggiore completezza ed efficienza, garantendo la sicurezza delle informazioni ovunque vengano utilizzate o archiviate. Symantec SRL Via Rivoltana, 2/d 20090 Segrate (MI) www.symantec.it © 2013 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, il logo con un segno di spunta e il logo Norton Secured sono marchi o marchi registrati di Symantec Corporation o delle sue affiliate negli Stati Uniti e in altri paesi. Altri nomi possono essere marchi dei rispettivi proprietari.