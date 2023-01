Come garantire un processo che permetta la misurazione delle prestazioni, della disponibilità, dell'esperienza utente delle applicazioni e dei servizi per identificare e risolvere i problemi prima che abbiano un impatto sui clienti. Il Rapporto Ciso 2022 e la soluzione Seer Box sviluppata dalla società sarda Pluribus One, spin-off dell’Università di Cagliari [...]

Federica Maria Rita Livelli BC & Risk Management Consultant

Le applicazioni e i servizi Web, le applicazioni desktop e le applicazioni mobile sono ormai parte integrante delle nostre attività quotidiane. Ne consegue che in un contesto sempre più caratterizzato da cyber attack e a fronte della evoluzione e dalla natura dinamica della tecnologia, il monitoraggio e la protezione delle applicazioni e servizi Web è quanto mai necessaria. Si tratta di garantire un processo che permetta la misurazione delle prestazioni, della disponibilità, dell’esperienza utente delle applicazioni e dei servizi per identificare e risolvere i problemi prima che abbiano un impatto sui clienti/utenti.

Applicazioni e servizi Web: il rapporto CISO 2022

Le tendenze di sviluppo delle applicazioni e servizi Web cambiano molto rapidamente e il mercato è in continua evoluzione a fronte dei progressi tecnologici e dell’aumento delle aspettative degli utenti.

Inoltre, secondo quanto si evince dall’ultimo Rapporto CISO 2022 di Dynatrace, anche il 2023 sarà caratterizzato da un ulteriore aumento dei cyber attack. Ne consegue che sarà sempre più strategico e fondamentale garantire il monitoraggio e la sicurezza delle applicazioni e servizi Web mitigandone le vulnerabilità. In particolare, dal rapporto scaturito dalle interviste di circa 1.300 CISO, risulta che:

Il 75% dei CISO teme che troppe vulnerabilità delle applicazioni e servizi Web arrivino alla fase di produzione del software, nonostante un approccio di sicurezza a più livelli.

Il 69% dei CISO afferma che la gestione delle vulnerabilità è diventata più difficile con l’aumentare della necessità di accelerare la trasformazione digitale.

Più di tre quarti (79%) dei CISO afferma che la gestione automatica e continua delle vulnerabilità durante il run-time sia la “chiave” per colmare il divario nelle capacità delle soluzioni di sicurezza esistenti.

Pertanto, è quanto mai urgente e fondamentale garantire l’osservabilità completa in tempo reale per identificare le vulnerabilità critiche, rilevare e bloccare gli attacchi e automatizzare gli sforzi di correzione.

Inoltre, per stare al passo con le tecnologie native del cloud e garantire un’adeguata sicurezza delle applicazioni e dei servizi Web, le organizzazioni, sia pubbliche che private (i.e. PA, gli e-commerce, e-store di beni e servizi, il settore pagamenti e tutte le piattaforme “as a service” fruibili online), non possono fare affidamento solo su approcci convenzionali e processi manuali. Ovvero, hanno la necessità di potersi avvalere di soluzioni di artificial intelligence e dell’automazione per fornire rilevazioni e alert in tempo reale, eliminare i punti ciechi, identificare nuovi rischi post-implementazione.

Criticità di sicurezza delle applicazioni e servizi Web

Le applicazioni e i servizi Web si contraddistinguono per diverse criticità di sicurezza, tra cui principalmente le vulnerabilità del software e gli attacchi bot. Vediamo in che cosa consistono:

Vulnerabilità del software. La OWASP Foundation (Open Web Application Security Project) stila periodicamente una classifica di top 10 rischi a cui sono esposte le applicazioni Web. Questa tipologia di vulnerabilità può essere causata anche da componenti di terze parti che non adottano un approccio risk-based e resilience-based by design e che sono utilizzate nello sviluppo delle applicazioni e servizi Web. Tutto questo non fa altro che sottolineare quanto sia importante la gestione della problematica dell’IT supply chain risk.

È doveroso ricordare il caso di Log4j, una libreria open source largamente utilizzata da applicazioni e servizi Web, la cui vulnerabilità – resa nota a dicembre 2021 – richiede pochissime competenze per essere sfruttata e l’ha resa protagonista dell’incidente informatico forse più grave degli ultimi anni. Tale vulnerabilità, se non mitigata, consente ai cyber attacker di accedere ai sistemi, rubare password e accessi, estrarre dati e infettare le reti con software malevolo.

Attacchi bot – Si tratta di programmi software o script che eseguono compiti automatizzati e ripetitivi e sono ampiamente presenti sul Web. È doveroso ricordare che alcuni bot – come i crawler di ricerca – sono utili alle aziende, mentre altri possono risultare potenzialmente dannosi e causare ingenti danni economici alle aziende di e-commerce. Questi ultimi, oltre che poter sfruttare automaticamente le vulnerabilità applicative, sono anche in grado di: sovraccaricare le infrastrutture con traffico non desiderato, rallentando l’erogazione di applicazioni e servizi o, comunque, generando inutili costi di infrastruttura, sottrarre merci, accaparrarsi scorte ed effettuare appropriazioni di account attraverso il cosiddetto “credential stuffing” che comporta frodi e furti di identità.

AI e Machine learning: la soluzione italiana Seer Box di Pluribus One

Anche in Italia sono state progettate soluzione per la gestione delle app e dei servizi Web. In particolare, la soluzione Seer Box sviluppata dalla società Pluribus One – spin-off dell’Università di Cagliari – è in grado di monitorare e proteggere le applicazioni e i servizi Web dalle due criticità di sicurezza sopra descritte attraverso l’utilizzo dell’artificial intelligence.

Si tratta di un prodotto innovativo definito come un Web Application Security Manager, a sottolineare l’ambizione del prodotto di diventare la soluzione di riferimento per la sicurezza applicativa in quanto progettata per interfacciarsi con le soluzioni che possono essere utilizzate nelle varie fasi del ciclo di vita dell’applicazione (i.e.: dallo sviluppo del software fino alla fase di produzione) in modo da essere costantemente monitorata e protetta dai cyber attack.

Come afferma Davide Ariu, CEO di Pluribus One: “I sistemi di protezione di Seer Box modellano i comportamenti degli utenti che si collegano alle pagine di un sito, andando a configurare un profilo di comportamento standard. Quando rileviamo un comportamento che si discosta dal profilo standard, scatta l’allarme. In questo modo abbiamo la possibilità di integrare le regole di blocco già disposte da Firewall e Web Application Firewall, se presenti, potenziandone notevolmente le capacità di protezione e innalzando il livello di protezione degli applicativi”.

È doveroso evidenziare che Pluribus One, al fine di poter garantire l’integrazione della soluzione Seer Box con diversi tipi di soluzioni, per svolgere un ruolo di coordinamento delle attività, ha avviato un percorso di accreditamento tecnologico con i principali vendor delle soluzioni con cui interagisce (Firewall, WAF, ADC, SIEM, etc.). Ad esempio, Seer Box è un componente certificato per NGINX, versione commerciale di NGINX, il Web server, reverse proxy, e load balancer più usato al mondo.

Di fatto, Seer Box consente di dotare NGINX di funzionalità avanzate di monitoring e protection per Web application e Web Service, estendendone le funzionalità WAF (Web Application Firewall) attraverso il proprio motore di analisi e rilevazione proprietario. Inoltre, sfruttando la potenza dell’artificial intelligence e del machine learning, Seer Box risulta resiliente sia agli attacchi che prendono di mira le vulnerabilità a livello di applicazione sia ai bot malevoli.

Ancora, Seer Box può monitorare più fonti di traffico contemporaneamente e quindi consentire una protezione efficace anche in ambienti distribuiti tra data center privati e cloud pubblici.

La soluzione si adatta agli ambienti aziendali ed è integrata in modo nativo con le soluzioni SIEM (Security Information and Event Management) più diffuse. Inoltre, Seer Box offre un altissimo grado di automazione nel rilevamento sia nella risposta sia nella segnalazione degli attacchi e fornisce funzioni completamente automatizzate di reporting.

Seer Box impiega l’AI e il Machine learning per:

Sviluppare un robusto modello del comportamento legittimo delle applicazioni che monitora. Le richieste contenenti gli attacchi, sulla base di questo modello, vengono rilevate, in quanto statisticamente differenti rispetto ad altri attacchi. Indubbiamente un obiettivo non facile da conseguire se si considera che il modello deve essere costantemente aggiornato, a partire dai dati (i.e. il traffico in ingresso ai servizi), dei quali a priori non è possibile sapere se rappresentino traffico lecito o tentativi di attacco. Ovvero, come si dice in gergo, il Machine learning opera in un ambiente adversarial, in cui i dati buoni e di attacco sono mescolati fra loro, in modo tale che il sistema apprenda a discernerli e sia consapevole che i dati da cui sta imparando potrebbero, per loro natura, essere contaminati. È doveroso evidenziare come Seer Box è in grado di apprendere un modello corretto anche in presenza di dati inquinati. Fonte immagine: www.seerbox.it

Sviluppare modelli customizzati per ogni cliente e per le sue applicazioni, garantendo il massimo livello di protezione. Il modello è infatti costruito localmente presso il cliente, in modo tale da imparare le specificità delle applicazioni del cliente, e quindi, garantirne la protezione anche nel caso in cui utilizzi applicazioni Web custom, sviluppate soltanto per lui dal fornitore e non presenti altrove. È doveroso sottolineare che l’approccio più comunemente usato dai vendor funziona per proteggere applicazioni standard (ad esempio basate sui CMS Drupal, WordPress e Joomla) che sono statisticamente rilevanti in quanto largamente diffuse, ma è purtroppo inefficace per le applicazioni custom.

La soluzione Seer Box è utilizzata con successo presso importanti realtà pubbliche e private dislocate sul territorio nazionale. Fra queste, pubbliche amministrazioni regionali, banche e servizi di pagamento, realtà del mondo assicurativo, ospedali, operatori dei servizi idrici, hosting provider, operatori del trasporto marittimo.

Case history: Numera

Un caso di successo nel settore pagamenti è stata la collaborazione con Numera (Numera Sistemi e Informatica S.p.a., società del gruppo BPER recentemente entrata a far parte del Gruppo NEXI S.p.a.) per la protezione dei propri servizi orientati ai sistemi di pagamento.

Un service provider di primo livello quale Numera deve sottostare agli stringenti requisiti di sicurezza della normativa PCI DSS (Payment Card Industry Data Security Standard – Standard di sicurezza dei dati dell’industria delle carte di pagamento). Pertanto, aveva la necessità di dotarsi di strumenti che rilevassero in modo tempestivo le minacce e fossero di facile utilizzo oltre che di adeguato supporto nella fase di implementazione. Tutti requisiti ampiamente soddisfatti da Seer Box.

Perché Numera ha scelto Seer Box per la protezione dei propri servizi web

Conclusioni

Le applicazioni e i servizi Web, come tutti i software, contengono inevitabilmente dei difetti che, in alcuni casi, costituiscono vere e proprie vulnerabilità che possono essere sfruttate, introducendo rischi per le organizzazioni. Pertanto, la capacità di garantire la sicurezza delle applicazioni e dei servizi Web implica l’adozione di pratiche di sviluppo sicure e l’implementazione di misure di sicurezza durante l’intero ciclo di vita dello sviluppo del software, assicurando che i difetti a livello di progettazione e i bug a livello di implementazione vengano risolti. In caso contrario è necessario dotarsi di sistemi in grado di svolgere tale funzione.

È doveroso ricordare che le applicazioni e servizi Web non protetti possono causare massicce interruzioni del servizio e tempi di inattività, con conseguenti perdite di vendite e ricavi. Inoltre, l’assenza di sicurezza delle applicazioni e servizi Web può anche minacciare la reputazione dell’azienda e la fiducia dei clienti a fronte della perdita/violazione di dati sensibili.

Concludendo, le dinamiche del Web sono in continua evoluzione, ne consegue che sarà quanto mai necessario anticipare i rischi e, adottare una cybersecurity proattiva implementando soluzioni efficaci in grado di garantire strategia di sicurezza Web efficiente.