» continua
» continua
» continua
Nel corso degli ultimi anni, la maggior parte delle imprese ha attuato significativi investimenti nella sicurezza di perimetro e della rete. Le organizzazioni hanno stretto i loro controlli e si sono mosse verso una posizione di difesa che limita drammaticamente l'efficacia degli attacchi network-scanning degli hacker. Purtroppo, mentre i professionisti della sicurezza erano occupati ad accrescere i controlli della rete, gli attacker hanno speso il loro tempo per sviluppare nuove tecniche per colpire il prossimo tallone di Achille: lo strato dell'applicazione.
Uno recente studio di Gartner ha evidenziato questo rischio valutando che il 75% degli attacchi avvenuti con successo riguarda lo strato di applicazione. Ma la società di analisi ha fatto una previsione ancor più spaventosa: entro l'anno 2009, l'80% delle imprese cadrà vittima di un attacco allo strato dell'applicazione.
Ma perché questi attacchi hanno un così elevato tasso di successo? La risposta è abbastanza semplice: escludono tutti i controlli network-centrici che il personale deputato alla sicurezza ha implementato durante gli ultimi dieci anni, come il blocco delle porte. Considerate per esempio gli attacchi alle applicazioni Web. I firewall tradizionali che proteggono un server Web contengono le regole che bloccano tutte le specie di traffico indesiderabile, solo permettendo che il traffico TCP attraversi il firewall tramite le porte 80 o 443. Purtroppo, il firewall non può distinguere il traffico desiderato della porta 80 dal traffico indesiderato della porta 80.
L'importanza degli application
firewall
Ed è qui dove gli application firewall entrano in gioco. Questi firewall
realizzano il controllo del traffico dello strato dell'applicazione HTTP prima
che raggiunga il server Web. I dispositivi possono controllare un collegamento e
analizzare la natura e il tipo di comandi che gli utenti stanno inviando
all'applicazione. Possono quindi analizzare il traffico per individuare
signature degli attacchi o eventuali deviazioni conosciute dai profili di
utilizzo standard.
Anche se gli application firewall hanno un grande potenziale, il loro processo di implementazione dovrebbe essere lento e attentamente valutato. Se torniamo al tempo in cui i firewall di rete sono entrati in azienda, vediamo che i responsabili dell'implementazione hanno tipicamente adottato un metodo prudente per questi progetti, conducendo attente analisi e approfonditi test. Le stesse metodologie dovrebbero essere applicate quando si implementa un firewall per le applicazioni Web. Un test puntuale fa nascere la fiducia tra gli sviluppatori aziendali delle applicazioni e può servire ai responsabili di sicurezza per convincersi che la tecnologia aiuterà l'impresa più di quanto possa complicare quotidianamente la loro.
La definizione delle regole
Una volta che un'organizzazione è pronta ad inserire il prodotto
nell'ambiente di produzione, è tempo di pensare a una solida base di regole per
il firewall. Di seguito vi proponiamo un metodo passo-passo per costruire e
implementare le regole base di un application firewall all'interno di
un'organizzazione:
1. Avere un periodo sufficiente di adattamento. I più moderni firewall delle applicazioni Web hanno sofisticate capacità di monitorare il traffico e sono in grado di "apprendere" i pattern dalla normale attività. Col tempo, il firewall viene "addestrato" per riconoscere questi pattern e per bloccare il traffico anomalo. Tuttavia, il firewall deve essere addestrato per un periodo abbastanza lungo di tempo in modo che l'insieme di regole rifletta le tendenze periodiche e stagionali nell'attività della rete. Per esempio, un rivenditore e-commerce non dovrebbe addestrare il firewall affinché protegga il suo Web site durante i più tranquilli mesi estivi per poi implementare l'insieme di regole definite durante la stagione di shopping invernale.
2. Sviluppare regole personalizzate per poter aggiungere signature fornite dal vendor. La conoscenza dell'infrastruttura dell'organizzazione è importante e il poter adattare un firewall affinché soddisfi al meglio le specifiche esigenze di un cliente può migliorare drammaticamente l'efficacia del tool. Per esempio, se soltanto un'applicazione Web in un ambiente può accettare l'upload dei file, dovrebbe essere messa a punto una regola che blocchi completamente i comandi di PUT (i comandi HTTP usati per gli upload dei file) a tutti gli altri sistemi.
3. Partire con un funzionamento in modo passivo. Testare un insieme di regole spesso richiede “un avvio soft”. Con una tal strategia, il firewall viene messo online con tutte le regole proposte. Viene quindi fatto funzionare in modalità monitoring senza che blocchi alcun tipo di traffico. Prima che il firewall sia convertito alla modalità attiva, dovrebbe essere speso del tempo per valutare il traffico che viola le regole del firewall. Chi è incaricato dell'implementazione dovrebbe anche regolare i falsi positivi prima di entrare in produzione. I programmatori non hanno mai gradito che i sistemi di sicurezza si introducano nelle loro applicazioni spezzandole e questo vi porterà a impiegare un po' di tempo per migliorare i rapporti con gli sviluppatori.
4. Controllare, controllare, controllare. Una volta che il firewall è implementato in modo attivo, dovrebbe essere analizzato con attenzione tramite i log di traffico. I record degli attacchi bloccati possono essere usati per quantificare il ritorno sul loro investimento di sicurezza. Ci possono anche essere falsi positivi supplementari che possono ulteriormente aiutare in una messa a punto più fine delle regole di base.
Come i firewall di rete, gli application firewall non sono una panacea. Tool come WebInspect e AppScan possono essere utilizzati per verificare la vulnerabilità delle applicazioni Web. Integrare queste attività con una prova periodica di penetration rende la vostra strategia difensiva decisamente più solida.
