Classifica 2007 delle principali minacce web

gennaio 7, 2008

Il SANS Institute è un’organizzazione indipendente che opera nell’ambito della sicurezza dei sistemi informativi e che svolge numerose attività di ricerca e di formazione (certificazioni GIAC, università online sulla sicurezza, bollettini sui rischi e le vulnerabilità). La fama del SANS deriva però dalla pubblicazione, ogni anno, della classifica (nota come: Top Twenty) delle minacce web. Lo scorso 28 novembre 2007, a Londra, è stata presentata, in collaborazione con l’UK CPNI (il britannico Centre for Protection of National Infrastructure) la nuova Top Twenty che sottolinea l’emergere di due fenomeni sempre più pericolosi: la insicurezza della applicazioni (dal punto di vista del codice) ed il phishing. Dunque mentre negli anni scorsi le analisi e raccomandazioni di SANS erano indirizzate principalmente verso l’adozione e corretta configurazione delle difese perimetrali (anti virus, firewall) e degli strumenti di monitoraggio (intrusion detection system, sistemi di vulnerability assessment) quest’anno, viceversa, i due principali rischi individuati sono:

  1. gli errori e le vulnerabilità nel coding delle applicazioni web che possono portare alla compromissione dei computer connessi ad Internet (la cosiddetta “zombificazione”) con il conseguente furto di dati o l’utilizzo del computer stesso per attività legate al cybercrime (come ad esempio la partecipazione ad attacchi ddos);
  2. gli inganni perpetrati via email o con altre false comunicazioni (phishing) che può portare al furto d’identità e dunque al prelevamento non lecito di somme anche ingenti dai conti correnti online (ma in certi casi gli esperti SANS hanno rilevato che il phishing si accompagna a veri e propri atti di spionaggio industriale o militare).

Oltre a questi due macro rischi SANS ha individuato altre 18 tipologie di significative minacce che ha classificato in sei raggruppamenti:
Vulnerabilità lato client:
C1. Web Browsers
C2. Office Software
C3. Email Clients
C4. Media Players
Vulnerabilità lato Server:
S1. Web Applications
S2. Windows Services
S3. Unix and Mac OS Services
S4. Backup Software
S5. Anti-virus Software
S6. Management Servers
S7. Database Software
Politiche di sicurezza e del personale:
H1. Excessive User Rights and Unauthorized Devices
H2. Phishing/Spear Phishing
H3. Unencrypted Laptops and Removable Media
Abuso nell’uso di applicazioni:
A1. Instant Messaging
A2. Peer-to-Peer Programs
Network Device:
N1. VoIP Servers and Phones
Zero Day Attacks:
Z1. Zero Day Attacks
Da sottolineare, infine, che alla redazione della Top Twenty 2007 hanno partecipato anche due “italiani”: si tratta di Matteo Shea e Giuseppe Gottardi della società Communication Valley .

Il documento del SANS propone anche una serie di “prassi corrette” per contrastare e limitare le nuove minacce. In particolare per quanto riguarda la sicurezza delle applicazioni SANS consiglia l’uso di tool specifici per valutare il codice. Importante anche l’uso di metodiche volte alla codifica sicura come ad esempio gli standard del “Secure Programming Council” per la programmazione sicura in Java e C disponibili sempre attraverso il sito SANS. Tali standard rappresentano una sorta di “essential skill” per valutare, ad esempio le conoscenze dei programmatori durante un colloquio di assunzione o durante la selezione di una azienda di outsourcing. Sempre in quest’ottica SANS ha recentemente annunciato una nuova certificazione professionale di sicurezza denominata “GIAC Secure Software Programmer (GSSP)” volta proprio ad attestare il grado di capacità e consapevolezza nei confronti della sicurezza da parte di chi sviluppa software.
Per quanto riguarda invece il contrasto dei fenomeni di phishing SANS consiglia un approccio multiplo: bisogna in primo luogo sensibilizzare il personale su tale tipo di minaccia invitando tutti a comportarsi, con le proprie credenziali elettroniche, in modo prudente; occorre, inoltre, tenere sotto stretta osservazione tutti i sistemi connessi ad Internet che, se compromessi, potrebbero generare danni sensibili (di tipo economico e di tipo legale) all’organizzazione.

Nel comunicato stampa di SANS di presentazione della Top Twenty viene infine consigliato un approccio generale di difesa dai rischi analizzati per mezzo di un mix di controlli automatizzati e test. È necessario ad esempio configurare i sistemi nella “modalità più sicura” possibile in relazione alle necessità di business proprie dell’organizzazione (cioè disabilitare tutto ciò che non è strettamente necessario); fortemente consigliato impedire a tutti gli utenti di installare o disinstallare autonomamente software; opportuno cifrare i dati considerati particolarmente sensibili; investire in formazione ed “awareness” in ambito sicurezza prevedendo anche un sistema premiante (e/o punitivo) per il rispetto delle regole.


Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.