Riduzione del costo e complessità della gestione delle

Transcript

WHITE PAPER:
Riduzione del costo e complessità
della gestione delle vulnerabilità Web
White paper
Riduzione del costo e complessità della
gestione delle vulnerabilità Web
White Paper: Riduzione del costo e complessità della gestione delle vulnerabilità Web
Riduzione del costo e complessità della
gestione delle vulnerabilità Web
Indice generale
L'esigenza di valutazioni delle vulnerabilità Web più semplici . . . . . . . . . . 3
Vulnerabilità prive di patch compromettono la sicurezza dei siti Web . . . . . 3
6.253 nuove vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
93% di aumento negli attacchi Web . . . . . . . . . . . . . . . . . . . . . . . . . 3
Le soluzioni tradizionali sono costose e complicate . . . . . . . . . . . . . . . . . 4
Semplificazione della rilevazione delle vulnerabilità Web:
un approccio gestito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Valutazione delle vulnerabilità dei siti Web in breve . . . . . . . . . . . . . . . .
Valutazioni delle vulnerabilità dei siti Web e scansione malware . . . . . . . . Configurazione del Vulnerability Assessment Service . . . . . . . . . . . . . . .
Scansione delle vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Analisi dei report della valutazione delle vulnerabilità . . . . . . . . . . . . . . 4
4
4
5
5
7
Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Glossario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Crimeware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Scripting tra siti (XSS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Furto di identità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SQL Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vulnerabilità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
8
8
8
8
8
2
L'esigenza di valutazioni delle vulnerabilità Web più semplici
Nel giugno 2010, un gruppo di hacker è riuscito a sfruttare un punto debole nel sistema
di sicurezza di un sito di AT&T ottenendo così gli indirizzi di e-mail di oltre 120.000
clienti di iPad Apple1 , tra cui quelli di funzionari nei settori delle istituzioni, finanza,
mezzi di comunicazione, tecnologia ed esercito2 . Purtroppo, eventi come questo sono
piuttosto frequenti. Nel 2010 il volume degli attacchi basati sul Web è aumentato del
93%, rivelando una media di 230.000 identità per ciascun caso di violazione della
sicurezza dei dati verificatosi nel corso dell'anno per mano di hacking3.
In un recente studio4 condotto dal Ponemon Institute, il 90% degli intervistati ha
indicato di avere subito due o più violazioni nel corso dei 12 mesi precedenti, mentre
quasi due terzi ha rivelato di averne subite parecchie nel corso dello stesso periodo.
Queste violazioni possono risultare estremamente costose. Lo studio dimostra che
il costo medio per incidente di una violazione dei dati negli Stati Uniti è di 7,2 milioni
di dollari, toccando punte di 35,3 milioni di dollari5 in alcuni dei casi peggiori. Gli
errori nella sicurezza che coinvolgono informazioni personali possono inoltre minare
la fiducia dei clienti: più della metà degli utenti Internet evita di acquistare online6
perché teme il furto delle proprie informazioni finanziarie. Con rischi così elevati, le
organizzazioni devono focalizzare il proprio impegno nella sicurezza per prevenire
queste e altre violazioni.
Vulnerabilità prive di patch compromettono la sicurezza dei siti Web
6.253 nuove vulnerabilità
Symantec ha registrato più vulnerabilità nel 2010 che in qualsiasi anno precedente
dall'inizio della pubblicazione di questo report. Non solo, i nuovi produttori colpiti da
una vulnerabilità sono passati a 1.914, con un aumento del 161% rispetto all'anno
precedente.
93% di aumento negli attacchi Web
Una crescente proliferazione dei toolkit di attacco Web ha favorito nel 2010 un
aumento del 93% nel volume degli attacchi basati sul Web rispetto a quelli osservati
nel 2009. Pare che anche gli URL abbreviati abbiano svolto un ruolo di rilievo in questo
fenomeno. Nell'arco di un trimestre preso in esame nel 2010, il 65% degli URL nocivi
osservati sui social network era costituito da URL abbreviati.
Esiste un numero praticamente illimitato di metodi che hacker e criminali informatici
utilizzano per compromettere l'integrità, la disponibilità e la riservatezza di
informazioni o servizi. Molti attacchi approfittano di difetti comunemente presenti nel
software che creano punti deboli nel sistema di sicurezza generale del computer o della
rete, altri invece sfruttano le vulnerabilità create da configurazioni errate del computer
o della sicurezza. Esistono letteralmente decine di migliaia di vulnerabilità note: solo
nel 2010 Symantec ne ha registrate ben 6.253 nuove7, più che in qualsiasi anno di
rilevazione precedente.
Per la maggior parte del tempo, gli sviluppatori di software sono impegnati a correggere
rapidamente le vulnerabilità che vengono scoperte per rilasciare aggiornamenti
dei prodotti e patch della sicurezza. Tuttavia, non sempre le organizzazioni hanno a
disposizione le risorse o la forza lavoro necessarie per tenere il passo degli hacker alla
continua ricerca di metodi più semplici per introdursi nel maggior numero possibile di
siti Web allo scopo di raccogliere dati sensibili o installare codice nocivo.
1
CNET News: “AT&T Hacker Indicted, Report Says.” 7 luglio 2011 - http://news.cnet.com/8301-1035_3-20077699-94/at-t-ipad-hackerindicted-report-says/
2
CNET News: “AT&T Web Site Exposes Data of 114,000 iPad Users.” 10 giugno 2010 - http://news.cnet.com/8301-27080_3-20007309245.html
3
Symantec: Internet Security Threat Report, Volume 16. marzo 2011 - http://www.symantec.com/business/threatreport/
4
Ponemon Institute: “Perceptions About Network Security.” giugno 2011 - http://www.juniper.net/us/en/local/pdf/additional-resources/
ponemon-perceptions-network-security.pdf
5
Ponemon Institute and Symantec: “2010 Annual Study: U.S. Cost of a Data Breach.” marzo 2011 - http://bit.ly/fwlC6j
6
-Javelin Strategy and Research: “2011 Identity Fraud Survey Report.” March 2011 - https://www.javelinstrategy.com/brochure/192
7
-Symantec: Internet Security Threat Report, Volume 16. marzo 2011 - http://www.symantec.com/business/threatreport /
3
Gli attacchi più pericolosi sono quelli che possono essere automatizzati, come quelli
di tipo SQL injection, che vengono utilizzati dagli hacker per ottenere l'accesso ai
database, e lo scripting tra siti che consente di aggiungere codice a un sito Web per
eseguire attività specifiche. Questi metodi possono fornire agli aggressori il controllo
sull'applicazione Web e una facile accesso a server, database e altre risorse IT. Una volta
ottenuto l'accesso a tali risorse, essi sono in grado di compromettere numeri di carta di
credito dei clienti e altre informazioni riservate.
Symantec ha registrato oltre 3 miliardi di attacchi di malware nel 2010, con un
aumento del volume di quasi il 90% rispetto al 2009. Una parte di questo aumento
può essere attribuita alla diffusione degli script automatizzati e ai toolkit di attacco
Web. Questi kit sono generalmente costituiti da codice nocivo già scritto per sfruttare
vulnerabilità e facilitare il lancio di attacchi su larga scala finalizzati al furto di identità
e ad altri scopi simili.
Le soluzioni tradizionali sono costose e complicate
L'aumento dei rischi di attacchi Web e violazioni dei dati rende sempre più difficile
la gestione delle vulnerabilità. Molte soluzioni tradizionali sono progettate per le
organizzazioni delle grandi aziende che devono attenersi a rigidi requisiti di conformità
come il Payment Card Industry (PCI) Data Security Standard. Queste soluzioni sono
calibrate in modo ottimale per rilevare un numero prestabilito di minacce e possono
generare volumi di dati non necessari su vulnerabilità di importanza secondaria,
oscurando misure di sicurezza fondamentali che dovrebbero essere adottate
immediatamente.
Come si può intuire, quasi la metà delle organizzazioni intervistate dal Ponemon
Institute indica la complessità e l'accesso limitato alle risorse IT come le maggiori
difficoltà nell'implementazione di soluzioni per la sicurezza di rete, e il 76% è a favore
della razionalizzazione e semplificazione delle funzioni di sicurezza della rete.
Semplificazione della rilevazione delle vulnerabilità Web: un approccio gestito
Per far fronte agli hacker, alle organizzazioni serve una soluzione agile che le aiuti a
identificare in modo semplice e rapido le vulnerabilità più critiche sui propri siti Web.
Symantec™ offre una semplice valutazione delle vulnerabilità basata sul cloud per
aiutare a identificare e correggere rapidamente i punti deboli più facili da sfruttare nei
vostri siti Web.
Valutazione delle vulnerabilità dei siti Web in breve
Le valutazioni delle vulnerabilità Symantec aiutano a identificare rapidamente i
punti deboli che possono essere sfruttati nel tuo sito Web. Gratuita con l'acquisto di
certificati Symantec™ Premium, Pro e SSL Extended Validation (EV), questa valutazione
integra la protezione esistente con:
• Una scansione automatica settimanale delle vulnerabilità sulle pagine Web
destinate al pubblico, nelle applicazioni Web, nel software del server e nelle porte di
rete.
• Un report operativo che identifica le vulnerabilità critiche che devono essere
esaminate immediatamente e gli elementi che pongono un rischio minore.
• Un'opzione per ripetere la scansione del sito Web allo scopo di verificare che le
vulnerabilità sono state corrette.
Valutazioni delle vulnerabilità dei
siti Web e scansione malware
La valutazione delle vulnerabilità
dei siti Web esegue una scansione
dei punti di ingresso e documenta
il potenziale di violazioni della
sicurezza. La scansione malware
cerca di individuare software dannoso
già presente sul sito e nella rete. Se
nel vostro sito è presente del malware,
significa probabilmente che un punto
di ingresso è già stato violato. La
riparazione delle vulnerabilità nel sito
contribuisce a impedire potenziali
violazioni, compreso il malware.
4
Se utilizzate in combinazione con il certificato SSL Symantec™ e la scansione
antimalware giornaliera del sito Web, la valutazione delle vulnerabilità aiuta a difendere
il vostro sito Web e proteggere i clienti.
Configurazione del Vulnerability Assessment Service
I clienti esistenti, in fase di rinnovo o nuovi possono attivare il servizio di valutazione
delle vulnerabilità come opzione dalla console di gestione di Symantec™ Trust Center,
Symantec Trust Center Enterprise o Managed PKI per SSL*. Questo servizio inizierà
dallo stesso nome di dominio completo (FQDN, Fully Qualified Domain Name) che viene
utilizzato come nome comune del certificato SSL associato. Nel caso vengano protetti
più domini con certificati SSL, è possibile attivare le valutazioni delle vulnerabilità per
ciascuno dalla console di gestione.
*Le opzioni di configurazione e avviso variano a seconda della console di gestione
utilizzata
Scansione delle vulnerabilità
La valutazione delle vulnerabilità esamina i punti di ingresso utilizzati con maggiore
frequenza per sferrare gli attacchi più comuni. Una volta attivata, la prima scansione
delle vulnerabilità inizierà nel giro di 24 ore. Successivamente, il sito viene sottoposto
a scansione con cadenza settimanale ed è possibile chiedere una ripetizione della
scansione in qualsiasi momento.
La valutazione delle vulnerabilità esamina tutte le porte di rete generalmente
utilizzate, più di 1.000 in totale. La scansione rileva i tipi di vulnerabilità più comuni,
tra cui software non aggiornato o privo di patch, scripting tra siti (XSS), SQL injection
e “backdoor”, e viene aggiornata spesso non appena vengono scoperte nuove
vulnerabilità.
5
Tabella 1. Dettagli sulle attività di scansione della valutazione delle vulnerabilità
Area
Esempi di elementi esaminati
Livello di rete
Scansione di base delle porte e analisi dei dati
per individuare in modo non intrusivo potenziali
vulnerabilità.
Server HTTP Apache (e plug-in più diffusi)
Software del server Web
Microsoft IIS
Tomcat
JBoss
Sendmail
Software SMTP
Postfix
Microsoft Exchange Server
Servizi Telnet
Servizi SSH
Servizi FTP
Sistemi Unix
OpenSSH
Software SSH.com
Daemon FTP più diffusi
Microsoft ASP .NET, Adobe JRun, Adobe ColdFusion,
Perl, PHP, ColdFusion, ASP/ASP .NET, J2EE/JSP
Sistemi CMS più diffusi (WordPress, Django, Joomla,
Drupal, ecc.)
Framework Web
Applicazioni di e-commerce (CubeCart, ColdFusion
Shopping Cart, KonaKart, ecc.)
Software per la gestione Web (phpMyAdmin)
Software per forum
Applicazioni di rilevazione pubblicità/statistiche
Vulnerabilità delle
applicazioni Web
Potenziali problemi di
utilizzo dei certificati
SSL
Vulnerabilità di scripting tra siti di riflesso
Vulnerabilità SQL injection di base
Certificato SSL non affidabile (firmato da autorità di
certificazione sconosciuta)
Controllo dei certificati autofirmati
Discrepanza nel nome comune del certificato
Utilizzo di cifrature deboli
Certificati scaduti o revocati
Trasmissione di dati
non crittografata
Pagine di accesso con invii di moduli di destinazione
non SSL
Se una valutazione rileva una vulnerabilità e si interviene per porre rimedio al
problema, successivamente è possibile chiedere una ripetizione della scansione in
modo da verificare che alla vulnerabilità sia stata applicata la patch appropriata.
6
Analisi dei report della valutazione delle vulnerabilità
Dopo che la valutazione delle vulnerabilità è stata completata, è possibile generare
un report completo sulle vulnerabilità del sito Web in formato PDF dalla console di
gestione di Symantec Trust Center, Symantec Trust Center Enterprise o Managed PKI
per SSL. Se la scansione rileva vulnerabilità critiche, genera anche un avviso sulla
console.
Ogni report contiene dati operativi per consentire al personale IT di indagare sui
problemi e segnalarli con chiarezza al management. Il report evidenzia le vulnerabilità
critiche, con informazioni su ciascun rischio, compresa la gravità, la minaccia associata
e l'impatto potenziale. Il report descrive inoltre le azioni correttive che sarà necessario
adottare per rimediare ciascun problema.
Conclusioni
Hacker e criminali informatici stanno affinando continuamente i propri attacchi e
bersagli: per affrontarli adeguatamente sono necessari strumenti agili. L'utilizzo della
valutazione delle vulnerabilità automatizzata per identificare e correggere i punti deboli
che possono essere sfruttati consente di ridurre il rischio che gli hacker individuino il
vostro sito e lo attacchino.
Le valutazioni delle vulnerabilità Symantec aiutano a ridurre il costo e la complessità
della gestione delle vulnerabilità per mezzo di scansioni automatizzate, report operativi
e un'architettura basata sul cloud che non richiede software da installare o mantenere.
La soluzione costituisce un ottimo punto di partenza per le organizzazioni che vogliono
valutare rapidamente la portata delle vulnerabilità presenti sul proprio sito. Le
valutazioni delle vulnerabilità dei siti Web sono inoltre ideali per le organizzazioni che
utilizzano già una soluzione per la scansione delle vulnerabilità come quelle legate
alla conformità PCI e hanno l'esigenza di una soluzione complementare per effettuare
controlli incrociati dei risultati come ulteriore livello di sicurezza. Se utilizzate in
combinazione con il certificato SSL Symantec e la scansione antimalware giornaliera
del sito Web, le valutazioni delle vulnerabilità aiutano a difendere il vostro sito Web e
proteggere i clienti.
7
Glossario
Crimeware
Il crimeware è software che viene utilizzato per commettere atti criminali.
Analogamente al crimine informatico, il termine crimeware comprende un'ampia
gamma di programmi nocivi o potenzialmente nocivi.
Scripting tra siti (XSS)
Attacchi che consentono agli intrusi di introdurre script non autorizzati che sono in
grado di aggirare le barriere di sicurezza dei browser.
Furto di identità
Il furto di identità è l'atto di rubare informazioni personali per assumere l'identità della
vittima al fine di commettere frodi o altri crimini.
SQL Injection
Tipo di attacco basato sul Web che consente a estranei di impartire comandi SQL non
autorizzati tramite codice non protetto in una parte di un sito che è connessa a Internet.
Tramite questi comandi SQL non autorizzati, è possibile accedere alle informazioni
riservate presenti in un database oltre che ai computer host dell'organizzazione.
Vulnerabilità
Una vulnerabilità è uno stato in uno o più sistemi informatici che consente a un
aggressore di eseguire comandi come se fosse un altro utente, di accedere senza
autorizzazione a dati sottoposti a limitazioni di accesso, di fingersi qualcun altro o di
sferrare un attacco di tipo Denial of Service.
8
Ulteriori informazioni
Visita il nostro sito Web
www.symantec.it/ssl-certificates
Altre informazioni
Per ulteriori informazioni sui certificati Symantec SSL, è possibile chiamare
il numero +353 1 850 2623 o inviare un’e-mail all’indirizzo:
[email protected]
Per parlare con uno specialista dei prodotti
telefona al numero +353 1 850 2623
Informazioni su Symantec
Symantec è leader globale nelle soluzioni per la sicurezza, lo storage e la gestione
dei sistemi con l'obiettivo di aiutare privati e organizzazioni a proteggere e gestire le
proprie informazioni. La nostra offerta di software e servizi consente la protezione da
più rischi in più punti, con maggiore completezza ed efficienza, garantendo la sicurezza
delle informazioni ovunque vengano utilizzate o archiviate.
Symantec SRL
Via Rivoltana, 2/d
20090 Segrate (MI)
www.symantec.it
© 2013 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, il logo con un segno di spunta e il logo Norton Secured sono marchi o marchi registrati di Symantec Corporation o delle sue
affiliate negli Stati Uniti e in altri paesi. Altri nomi possono essere marchi dei rispettivi proprietari.

Riduzione del costo e complessità della gestione delle

Transcript

Documenti analoghi

Sicurezza per i cittadini e per le imprese

controllo di sicurezza dell`infrastruttura informatica - SIQ

convegno - Carnelutti

Symantec™ Email and Web Security.cloud

piano di assetto del territorio

a scuola di osteopatia