“Nel corso dell’ultimo anno le violazioni di sicurezza subite dalle aziende hanno coinvolto, come stimano gli analisti, oltre un miliardo di dati dei consumatori in tutto il mondo. Queste brecce nella protezione sono ogni giorno più numerose ed è ormai evidente come la criminalità informatica stia mettendo a dura prova le pratiche operative tradizionali e implichi la necessità di ripensare la sicurezza in una logica applicativa, quale unico approccio in grado di proteggere i dati critici e salvaguardare le prestazioni aziendali”.

Così si è espresso Maurizio Desiderio, Country Manager per l’Italia e Malta di F5 Networks, di fronte ai continui cambiamenti ai quali sta andando incontro il panorama della cybersicurezza.

Gartner stima che, entro il 2020, il 60% delle aziende digitali subirà gravi perdite dal punto di vista dei servizi dovute all’incapacità dei team di sicurezza IT di gestire il rischio digitale. Le previsioni indicano anche che il traffico dei dati aziendale fluirà direttamente dai dispositivi mobile al cloud, saltando completamente i controlli di sicurezza aziendali. Nella catena organizzativa saranno richiesti cambiamenti significativi dal punto di vista della cultura, del comportamento e della tecnologia.

Oggi il 90% dei budget di sicurezza è ancora utilizzato per proteggere tutto tranne le identità degli utenti e le applicazioni vitali. Cambiare approccio è però urgente fin da ora, spostando l’investimento nella sicurezza verso una logica “detection and response”. Se si abbandona il vano tentativo di proteggere tutte le aree dell’IT simultaneamente, diventa più efficace concentrarsi sulle priorità, ovvero su quelle minacce alle quali la propria organizzazione è più vulnerabile dal punto di vista dell’operatività.

Secondo Desiderio questo nuovo approccio alla sicurezza applicativa si compone di otto caratteristiche.

Visibilità completa sui dati maggiormente critici

È necessario conoscere le proprie applicazioni critiche e garantire che siano in esecuzione proteggendole da attacchi DDoS globali a livello di rete e applicazione, con l’obiettivo di ridurre al minimo l’impatto sul business degli attacchi volumetrici e crittografati.

Ecosistema di soluzioni di sicurezza avanzate

Bisogna mitigare l’impatto delle violazioni dal livello L4 in su, comprendendo i difetti o le debolezze della logica aziendale che possono essere sfruttate dalle bot (anti-frode) e dai vettori DDoS.

Monitoraggio e controllo capillare della gestione degli accessi

È necessario questo tipo di monitoraggio per gestire il volume delle identità degli utenti, consentendo al Single Sign-On di ridurre il numero di password che vengono memorizzate in modo non sicuro su più dispositivi.

Autenticazione multifattore (MFA)

Uno strumento fondamentale per accedere alla rete e alle applicazioni senza che le identità vengano compromesse. Uno o più utenti potrebbero subire del phishing e, senza una MFA, la rete, le applicazioni e i dati potrebbero essere violati.

Protezione contro le frodi

Serve per criptare gli input dell’utente quando le informazioni vengono digitate nel browser (nell’app). La crittografia in tempo reale dei campi sensibili nasconde gli input reali dell’utente permettendo di sconfiggere i key logger.

Lotta contro l’utilizzo di username e password deboli o di default

È possibile prevenire exploit potenzialmente di grande impatto implementando il blocco dell’account dopo sei tentativi di accesso non riusciti. Le password scadute non forniscono praticamente alcuna protezione.

Automazione della gestione delle vulnerabilità delle applicazioni web

Tra il rilevamento e la mitigazione passa sempre del tempo, durante il quale un firewall per applicazioni web (WAF) può applicare una patch in modo automatico. Un WAF richiede l’attenzione di un tecnico esperto per questo molte organizzazioni optano per i servizi gestiti WAF.

Cultura della sicurezza

Bisogna comprendere come gli atteggiamenti che mettono a rischio la sicurezza in azienda siano altrettanto importanti quanto la scelta di una tecnologia robusta. Una violazione dei dati, infatti, non è sempre determinata da una minaccia esterna; qualsiasi informazione personale non criptata acquisita da una persona non autorizzata è già di per sé classificabile come una violazione.