Le applicazioni aziendali possono rappresentare un facile bersaglio per il cybercrime, finendo in cima all’elenco degli obiettivi per attacchi provenienti dall’esterno. Tecnologie come IoT, virtual assistant al pari delle più comuni applicazioni mobili e Web stanno cambiando il modo con cui le aziende migliorano la customer experience e puntano a fare nuovo business. La moltiplicazione dei canali digitali di contatto con i clienti presta però il fianco alle vulnerabilità software, con conseguenze relative a perdita o contaminazione dei dati che, oltre a un danno diretto, implicano per l’azienda responsabilità ben precise in base alle varie normative per la protezione della privacy. È quindi fondamentale concentrarsi sulle strategie di sicurezza delle applicazioni mobili.
Vulnerabilità delle applicazioni mobile, qualche dato
Secondo i dati dell’Osservatorio Information Security e Privacy 2019 nelle aziende le principali voci di spesa del budget riservato all’information security e privacy riguardano l’adeguamento al GDPR, gli elementi di sicurezza tradizionali quali la network security e, solo a seguire, strumenti di business continuity & disaster recovery, soluzioni di endpoint security e infine tool per application security e penetration test.
Secondo l’ultima indagine di Forrester sullo stato della sicurezza delle applicazioni mobili, The State of application security 2018, gli sviluppatori danno priorità alla velocità di rilascio, anziché alla robustezza del software. Un problema che si aggiunge all’impossibilità di disporre di un numero sufficiente di professionisti da dedicare ai processi manuali di revisione della security applicativa. Ma ci sono modi per conciliare la velocità dei rilasci con la sicurezza, principalmente basati sull’automazione dei test e integrazione dei processi: per cambiare le cose occorre in ogni caso avere consapevolezza dei pericoli e scegliere le soluzioni più adatte in funzione del settore d’industria e dell’esposizione al rischio.
Un sondaggio di Forrester (effettuato su 404 professionisti di network security le cui aziende hanno subìto attacchi esterni negli ultimi 12 mesi nei seguenti paesi: Australia, Brasile, Canada,Cina, Francia, Germania, India, Nuova Zelanda, UK e USA) pone tra i bersagli principali le vulnerabilità software e le applicazioni Web, queste ultime vulnerabili ad attacchi ben conosciuti come SQL injection e cross site scripting (figura 1).
La pressione sui team di sviluppo per creare in poco tempo applicazioni facili e attrattive per gli utenti non aiuta certo il miglioramento della sicurezza del software. Altro aspetto rilevante è che tra le imprese che hanno subìto attacchi, le piccole (42%) non stanno peggio delle grandi (41%) che certamente investono molto di più nella sicurezza, ma sono anche più bersagliate rispetto a quelle di medie dimensioni (30%). Gli attacchi andati a segno hanno creato danni di business, in qualche caso sono stati persino causa di fallimento.
Sicurezza delle applicazioni mobili con l’automazione
La dipendenza del business dal software e le crescenti minacce stanno positivamente sollecitando l’attenzione verso i rischi di sicurezza associati alle applicazioni. La violazione di cui è stata vittima l’americana Equifax nel 2017 è rilevante non solo per i 143 milioni di consumatori colpiti e la natura sensibile dei dati sottratti, ma anche perché ha mostrato i rischi associati con l’impiego del software open source che, se da una parte consente di realizzare più rapidamente i servizi richiesti dai clienti, dall’altra richiede certamente più attenzione soprattutto se si tratta di versioni che arrivano direttamente dalla community.
Secondo gli analisti Forrester, chi si occupa di sicurezza deve essere conscio del fatto che vanno sempre più accorciandosi i tempi che intercorrono tra la scoperta delle vulnerabilità e l’apparizione degli exploit: le stesse fonti ufficiali di pubblicazione delle vulnerabilità che aiutano i professionisti a tutelare i sistemi sono sfruttate dalla malavita per creare exploit.
Le vulnerabilità identificate nelle componenti open source e pubblicate sul National Vulnerability Database hanno conosciuto dal 2015 ad oggi una continua crescita: chi impiega software open source deve assumersi la responsabilità di effettuare gli scan di vulnerabilità pre-rilascio e gestire i frequenti aggiornamenti. È dunque necessario dotarsi di tool che automatizzino le operazioni manuali, velocizzando le scansioni di sicurezza e l’applicazione di protezioni.
L’indagine di Forrester rileva grandi differenze nell’adozione degli strumenti di security nei diversi settori aziendali.
Nell’ambito pubblico e dell’assistenza sanitaria si trova oggi la maggiore arretratezza; benché gli investimenti siano in crescita rispetto al passato i livelli d’implementazione di Web application firewall (WAF), runtime application self-protection (RASP) e di contrasto ai bot sono inferiori alla media, a dispetto dell’attivazione in molti ospedali dei servizi di portale con cui i pazienti possono scaricare o discutere con i medici i dati sanitari (servizio che richiederebbe proprio un’attenzione estrema al rischio di intromissione nei sistemi).
Decisamente migliore la situazione di utility e compagnie di telecomunicazioni che risultano in testa per l’adozione di WAF e RASP: il 64% degli intervistati ha già implementato WAF e il 28% ha intenzione di adottare RASP. Le utility e le telecomunicazioni sono più avanti delle altre imprese anche nei piani di adozione di strumenti di static code analisys (SCA) e interactive application security testing (IAST).
Le aziende retail si stanno preparando a contrastare bot e attacchi di distributed denial-of-service (DDoS) su larga scala del tipo causato dal malware Mirai. In questo settore, i bot possono danneggiare la gestione delle merci e la fiducia dei clienti: il 37% degli intervistati nel retail ha implementato sistemi per la gestione dei bot, un altro 30% lo sta pianificando. Le aziende del settore finanziario sono invece più avanti delle altre nell’implementazione del RASP. Le società di servizi finanziari sono quelle che più di altre intendono incrementare i penetration test: 25% contro la media del 20%; i requisiti specifici del settore e le regolamentazioni costituiscono il motivo di questo interesse.
Integrazione applicativi aziendali, come fare
Secondo l’opinione degli analisti di Forrester, solo con l’incorporazione dei tool di SCA o di static application security testing (SAST) negli strumenti e nei processi di sviluppo (al pari degli altri controlli per la qualità del software) si avrà un evidente miglioramento della sicurezza delle applicazioni. L’integrazione nel ciclo di rilascio del software è ancora oggi un esercizio ‘fai-da-te’ che comporta supporti incoerenti.
L’impegno per la sicurezza non è rapportato agli sforzi per migliorare lo sviluppo, un problema che ci accompagnerà a lungo se i team della sicurezza e i fornitori non prenderanno provvedimenti. Tra questi, Forrester individua la creazione di strumenti di sviluppo interattivi capaci d’integrazione nativa con la security.
Nella Forrester Wave sugli strumenti di continuous integration (figura 2) si evidenzia che i prodotti che dimostrano le migliori capacità d’integrazione sono quelli che usano webhooks (metodi di callback che nell’applicazione eliminano la necessità di usare plug-in o integrazioni fai-da-te). Quando gli strumenti per la sicurezza del software sono agganciati a tool di continuous integration o di automazione, la scansione si attiva automaticamente al momento del check-in che precede il rilascio. Questo tipo d’integrazione evita ai responsabili della sicurezza e delle applicazioni di dover gestire complesse operazioni per ogni applicazione e ogni tool di scansione della security in base alle specifiche del progetto.
Un altro aspetto importante è assicurarsi che i tool utilizzati supportino impostazioni coerenti delle policy. Ad oggi, alcune integrazioni tra scanner di sicurezza e strumenti di sviluppo si basano sui fattori di configurazione per avviare le scansioni, elaborare i risultati e intraprendere azioni quali il blocco del rilascio software. I requisiti potrebbero essere diversi a seconda che l’applicazione sia sviluppata internamente, da una terza parte o dove avviene la scansione. Per rendere il processo scalabile, i responsabili della sicurezza devono poter impostare le policy richieste all’interno degli strumenti di sicurezza, in modo che tempi e tipologie di scansioni risultino coerenti nelle diverse applicazioni, business unit come per ogni altra esigenza aziendale.
Sicurezza delle applicazioni mobili: l’importanza dell’application assessment
In questo scenario bisogna ricordare che il mercato delle applicazioni mobili cresce sempre più rapidamente. E ciò incrementa la vulnerabilità dell’azienda in ambito sicurezza. Risulta quindi necessario che i team di security aziendali pianifichino l’assessment delle applicazioni mobili nella quotidianità. Si devono individuare cioè quali sono le applicazioni sicure e soprattutto, sulla base delle analisi, capire come gli uomini della sicurezza possano essere proattivi rispetto ai potenziali rischi.
TechTarget consiglia due metodi per fare application assessment in ambito mobile.
Da un lato, è necessario identificare un set di comportamenti pericolosi da cui guardarsi (comportamento pericolosi quali accesso ai contatti all’esterno del dispositivo, trasmissione o logging delle credenziali in modo insicuro eccetera); d’altra parte, bisogna ispezionare in modo dettagliato ciascuna applicazione. A tal proposito è utile preparare una scheda dell’applicazione in cui compaiano i vari parametri che indichino la sicurezza delle applicazioni stesse (quanto sono fragile nell’esecuzione, come viene gestito lo storage locale dei dati, quale livello di protezione delle comunicazioni tra i processi interni dell’applicazione e così via).
