Sicurezza Applicativa: introduzione
Fino ad oggi gli addetti alla sicurezza informatica hanno sempre considerato la sicurezza dei sistemi e delle reti (SSR) come prioritaria, trascurando altri aspetti invece fondamentali. Ma questo ha soprattutto delle motivazioni storiche legate alla evoluzione della sicurezza informatica.
In passato gli hacker miravano perlopiù a rendere inservibili i sistemi oppure a manifestare la loro presenza attraverso i cosiddetti "defacement"; l'obiettivo era quindi quello di rendere indisponibile un sistema (interno o esterno) oppure affermare la propria superiorità tecnica.
Gli hacker erano quasi sempre adolescenti desiderosi di dimostrare le proprie abilità informatiche al mondo, magari facendosi assumere poi dalle stesse aziende attaccate.
Ma la versione romantica dell'hacker oggi non è più attuale; oggigiorno gli hacker sono degli abili informatici assoldati spesso da organizzazioni criminali per trafugare dati, identità, denaro e talvolta provocare gravi disservizi ai sistemi di istituzioni e governi.
Ma se per quest'ultima tipologia di minacce la SSR nella maggior parte dei casi ci può venire in aiuto, per tutte le altre tipologie di minacce, solo una maggiore sicurezza intrinseca delle applicazioni può limitare sensibilmente le vulnerabilità e vanificare quindi le minacce. L'obiettivo quindi non è soltanto la protezione dei sistemi ma anche e soprattutto la protezione dei dati.
Neanche il concetto di perimetro di rete sicuro (PRS) oramai è più sufficiente. Il PRS oggi impedisce solo attacchi di un certo tipo e protocolli quali HTTP, HTTPS e Web Services tipicamente subiscono poche restrizioni da parte dei firewall perimetrali, consentendo quindi fughe o manipolazione di dati. Questi protocolli rappresentano quindi delle brecce permanenti nel PRS e le applicazioni Web in particolare rappresentano un cavallo di troia continuo che rende rarefatto il PRS.
Inoltre bisogna anche considerare che, contrariamente a quello che comunemente si potrebbe pensare, la maggior parte degli attacchi avviene all'interno dell’azienda o dell’ente e che quindi anche le applicazioni sviluppate secondo il paradigma “fat client” non sono immuni a questi problemi di sicurezza.
La sicurezza applicativa impone quindi un cambio nel modello mentale degli addetti alla sicurezza informatica: non più sicurezza come prodotto bensì come processo.
Sperare di rendere sicura un'applicazione solo dopo che la si è prodotta, può portare infatti a costi eccessivi nella gestione e produzione di aggiornamenti di sicurezza.
Dall’anno duemila in poi il focus si sta quindi spostando dalla SSR, oramai abbastanza consolidata, alla sicurezza applicativa che introduce concetti e valutazioni di sicurezza durante la fase di sviluppo e gestione del software (Secure SDLC), evitando quindi il fenomeno della cosiddetta sicurezza retrofit.
Sicurezza applicativa significa quindi non solo considerare aspetti di qualità del software come efficacia, efficienza e usabilità, ma anche appunto sicurezza, e questo richiede un passo in più rispetto alle valutazioni che normalmente si fanno per garantire la qualità del software: calarsi nei panni di un hacker che voglia sovvertire il sistema e successivamente ritornare nei propri panni per l’adozione delle giuste contromisure.
Per rendere sicure le applicazioni abbiamo bisogno quindi di linee guida, best practice...
Blog link:
Commenti
Posta un commento