Secondo uno studio di NTT Application Security, nel corso di tutto il 2021 il 50% dei siti web era vulnerabile ad almeno una grave vulnerabilità. Il dato, che si basa su un totale di oltre 15 milioni di scansioni web app, dà una chiara dimensione di un problema di cui si è a conoscenza da tempo: se da una parte il mercato delle applicazioni web si sviluppa sempre più, dall’altra si tiene poco conto della sicurezza, prestando il fianco ad attacchi ed exploit molto pericolosi.
Non è un caso se solo poco tempo fa, parliamo di dicembre 2021, il mondo ha conosciuto le devastanti conseguenze dell’exploit per Log4j.
Log4Shell e le vulnerabilità zero-day di domani: ecco come le aziende possono mitigare i rischi
Indice degli argomenti
Attacco alle web app
Detto dei problemi intrinsechi delle applicazioni web, occorre anche sottolineare che, a peggiorare le cose, c’è da considerare la loro esposizione continua a Internet e, dunque, a potenziali attacchi. Sempre lo studio di NTT riporta, per esempio, che il settore finanziario e assicurativo ha il 43% di siti esposti perpetuamente a exploit di vulnerabilità. E si tratta, in realtà, della percentuale minore. I settori scientifico e industriale, infatti, hanno il 65% di siti esposti a problemi di sicurezza.
Di fronte a numeri simili è chiaro che l’approccio alla buona cybersecurity impone delle misure stringenti, soprattutto sul versante dell’assessment e della mitigazione. Spesso, tuttavia, per costrizioni nel budget o per bias di vario genere, si fatica a incanalare le poche risorse a disposizione verso strategie efficaci. Ed è in questa fase, così delicata, che è bene raccogliere e analizzare dati, gli unici elementi in grado di fornire una direzione chiara e precisa a qualsiasi strategia di cyber security.
La OWASP Top 10 come strumento di analisi e pianificazione
Una delle principali fonti di preziosi dati è la OWASP Top 10, che in apparenza può sembrare una normale classifica ma, in realtà, cela alcune delle più preziose informazioni su cui pianificare oculate strategie di cybersecurity. Comprendere questa classifica, tuttavia, richiede un insospettabile sforzo.
Partiamo col dire che la Open Web Application Security Project (OWASP, appunto), è un’organizzazione internazionale no-profit che si dedica alla sicurezza delle applicazioni web. L’attività viene svolta, in larga parte, producendo e diffondendo materiale divulgativo e operativo che aiuti utenti, professionisti e aziende a mettere in sicurezza le applicazioni web.
Tra questo materiale, la parte del leone è fatta, appunto, dalla OWASP Top 10, ossia una classifica con le 10 principali minacce alle web application. Si tratta di una fonte così attendibile che, al giorno d’oggi, è considerata da buona parte dei produttori di tool e soluzioni di cyber security.
Nata nel 2003, la OWASP Top 10 è aggiornata senza una precisa frequenza, ma sulla base dell’elaborazione di grosse quantità di dati, inviate al team di OWASP dopo aver organizzato una nuova edizione e aver indetto un sondaggio che viene proposto nella pagina ufficiale.
Questo, tuttavia, è solo una delle sorgenti per la raccolta dei dati, che non a caso è di tipo ibrido: 2 minacce, o per meglio dire rischi, sono definiti dal sondaggio, mentre 8 provengono dai dati veri e propri provenienti da organizzazioni che si sono occupate della raccolta di risultati
La classifica aggiornata
I dati complessivi raccolti sono quindi elaborati e analizzati, per portare, infine, alla compilazione della OWASP Top 10.
L’edizione più recente è quella 2021, che segue a quella del 2017, e come noto riporta 10 delle più conosciute vulnerabilità relative alle web app. Giusto per fare mente locale, la OWASP Top 10 del 2021 consiste in:
- Broken Access Control
- Cryptographic Failures
- Injection
- Insecure Design
- Security Misconfiguration
- Vulnerabile and Outdated Components
- Identification and Authentication Failures
- Software and Data Integrity Failures
- Security Logging and Monitoring Failures
- Server-Side Request Forgery (SSRF)
Ora, la classifica si presta a discussioni e valutazioni specifiche per ogni azienda, ma al di là dei risultati, va sottolineato come la OWASP vada ben oltre la semplice “chart” e offra molte più informazioni che aspettano solo di essere utilizzate.
Innanzitutto, ogni rischio in classifica riconduce a una specifica scheda descrittiva che riporta una sinossi (Overview), una descrizione tecnica (Description), metodologie di prevenzione (How to Prevent), esempi specifici di attacco (Example Attack Scenario), riferimenti ad altra documentazione e un elenco a CWE annessi al rischio (List of Mapped CWEs). Oltre a questa ricca documentazione, che ha il dono dell’incisività, la OWASP Top 10, in virtù del metodo di raccolta e analisi da cui deriva, può tuttavia fornire altri elementi indispensabili per una corretta gestione della cyber security aziendale.
Una mentalità strategica, non solo operativa
La OWASP Top 10, grazie alla sua documentazione e alla sua autorevolezza obbliga a pensare alla soluzione di ciascuna delle sue minacce non solo in termini operativi ma anche strategici. Non è un caso se, nel paragrafo dedicato alla prevenzione, si trovano spesso considerazioni relative anche al management, all’awareness, al business e, in estrema sintesi, alla strategia.
Le minacce riportate dalla OWASP Top 10 sono e rimangono minacce tecniche, ma la chart invita ad affrontarle in modo più organico e completo, cosa che con un approccio al puro vulnerability management non è possibile.
Vulnerability management, questo sconosciuto: cosa ci insegna il caso Log4j
Tool e competenze, ma anche awareness
Si tende a pensare all’awareness come uno strumento utile per aumentare conoscenza e consapevolezza di chi sa poco o nulla di cyber security, ma la verità è che esiste un awareness per ogni livello di competenza di un’azienda. E dunque, dovrebbe esistere un piano di awareness dedicato a ogni gruppo di collaboratori.
Consultare la OWASP Top 10 con occhio critico e mente aperta consente di cogliere l’esigenza di questo genere di attività, specie quando si tratta di valutare quelle minacce che riguardano, per esempio, i principi di DevSecOps.
Sfruttare i framework
La OWASP Top 10 è un punto di partenza per fare delle valutazioni oggettive sullo stato della cybersecurity aziendale, ma va considerato come tale. L’inizio, cioè, di un percorso più completo (e complesso), nel quale farsi aiutare da framework e modelli predefiniti e di comprovata fama. Per esempio, uno dei migliori, per chi sviluppa software, è offerto proprio da OWASP e si chiama Software Assurance Maturity Model (SAMM).
Progettare il futuro
La OWASP Top 10 è una classifica redatta, come detto, in modo ibrido, dove 8 delle 10 posizioni sono occupate da minacce selezionate d auna base di oltre mezzo milione di diverse sorgenti di dati. La classifica, dunque, offre un quadro preciso dello stato attuale, ma il confronto con le precedenti edizioni, e i dettagli tecnici che descrivono ciascuna voce, consentono di farsi un’idea precisa e attendibile delle sfide che attendono il dipartimento di cyber security dell’azienda. Specie se si ha l’accortezza di incrociarle con altri trend facilmente ottenibili in Rete.
Credit: OWASP.org.
Per esempio, nella OWASP Top 10 del 2017, in quinta posizione, figurava il Broken Access Control. La contestuale diffusione di architetture cloud, e a partire dal 2020 l’adozione veloce e massiva di nuovi modelli di lavoro da remoto a causa della pandemia, lasciava chiaramente intendere che questo tipo di minaccia sarebbe salita nella classifica.
Classifica che, tra l’altro, si base più sul rapporto di incidenza di ogni tipologia di rischio, anziché adottare una valutazione basata sulla frequenza.
Questa importante differenza di valutazione, unita ad analisi organiche e su altri ambiti, permette di trasformare la OWASP Top 10 in uno strumento di pianificazione delle strategie di cyber security senza pari. E, volendo, senza alcun costo.
