Le applicazioni sono un obiettivo privilegiato dai cyber criminali che possono sfruttare le tante vulnerabilità lasciate scoperte, ma non solo, come evidenziano i risultati dello speciale rapporto sugli attacchi applicativi anticipo dell'OAD (Osservatorio Attacchi Digitali) 2017, realizzato da Malabo per conto di AIPSI (Associazione Italiana Professionisti della Sicurezza Informatica - capitolo italiano dell'ISSA).
Il rapporto, relativo alla situazione italiana, analizza le problematiche tipiche delle nuove modalità di lavoro, Di fatto, l'apertura delle applicazioni verso fornitori, clienti, utenti remoti e mobili ha dissolto il concetto di perimetro aziendale che conoscevamo estendendolo a quello della portata delle applicazioni stesse.
Queste diventano dunque il principale vettore di attacco e sono sempre più difficili da proteggere. I dati di OAD Speciale Applicativi, individuano tra i principali driver degli attacchi lo sviluppo di codice poco sicuro, una carente gestione dell'autenticazione e lo sfruttamento delle vulnerabilità delle infrastrutture ICT, del software di base e del middleware utilizzati dalle applicazioni.
L'indagine (scaricabile sul sito Aipsi) ha interessato 173 rispondenti nel periodo compreso tra fine novembre 2016 e fine marzo 2017 appartenenti prevalentemente al settore merceologico dei servizi ICT e professionali, oltre a quello manifatturiero. L'obiettivo della ricerca è stato di individuare alcuni specifici trend relativi agli attacchi alle applicazioni riguardanti, soprattutto, l'uso del cloud, le principali modalità di attacco e gli impatti subiti. Dall'analisi emerge che, pur su un campione di aziende ed enti in gran parte dotati di buone misure di sicurezza digitale, la difesa degli applicativi è risultata difficile e complessa.
Sponsorizzato da F5 Networks, il rapporto ha rivelato risultati preoccupanti sotto diversi punti di vista, anche se la maggior parte degli inconvenienti inferti alle applicazioni sono stati sistemati permettendo di tornare allo stato precedente l'attacco in poche ore: in media 3, per la precisione.
Peraltro le aziende che hanno subito un attacco agli applicativi sono state il 46,9% del campione e per un non trascurabile 14,5%, è occorso un mese per tornare alla normalità. Addirittura l'1,8% ha impiegato oltre un mese per ripristinare lo stato ex ante.
I dati che preoccupano di più, come ha evidenziato l'autore del rapporto, nonché presidente di Aipsi, Marco Bozzetti, sono quelli che palesano una sostanziale mancanza di strategia e competenze sulla sicurezza nella maggior parte delle imprese e, purtroppo, anche presso le aziende dell'ICT.
La principale causa degli attacchi agli applicativi è risultata essere legata alle vulnerabilità delle infrastrutture ICT, del software di base e del middleware usati dalle applicazioni (circa il 37%), seguita dalle vulnerabilità intrinseche all'applicativo stesso e, quindi, da quelle dei sistemi di identificazione, autenticazione e controllo degli accessi.
Il rapporto OAD evidenzia come circa un quarto dei rispondenti abbia subito e rilevato attacchi agli applicativi dovuti a vulnerabilità legate a un codice applicativo intrinsecamente non sicuro, tipicamente dovute a programmazione non accurata, che non tiene ben conto degli aspetti di sicurezza, che presenta bachi e così via.
La progettazione e l'implementazione di codice sicuro parte (o dovrebbe partire) dalla scelta di un linguaggio intrinsecamente sicuro nella sua impostazione. I sistemi di sviluppo integrati (IDE, Integrated Development Environment) sono molto utili per scrivere e documentare software sicuro, ma il loro utilizzo rappresenta solo il primo tassello per la produzione di software a prova di attacco.
Una monografia sulla sicurezza è stata recentemente pubblicata da Reportec.