Mentre le organizzazioni si spostano verso operazioni ibride e globali, il Web gioca un ruolo sempre più critico nel modo in cui comunichiamo, effettuiamo ricerche e cresciamo.
Questa ubiquità ha comportato una grave svista: la dipendenza moderna dal web ha ampiamente superato le misure di sicurezza che proteggono il comportamento di navigazione. L'88% dei 12.8 milioni di siti web attualmente infettati da malware non vengono inseriti nella lista nera dei motori di ricerca, i criminali informatici continuano a nascondersi dietro misure di sicurezza legittime come la crittografia HTTPS e un decimo di tutti i siti dannosi sono attivamente mascherati da domini non dannosi. All'intersezione tra dispositivo interno e web globale si trova l'utente finale, che troppo spesso rimane completamente esposto o non adeguatamente tutelato.
Le soluzioni più vecchie che tentavano di colmare il vuoto di sicurezza dell’Internet pubblica si basavano tutte su una sicurezza sacrificale. Integrazioni complesse che vanno dai proxy web all’isolamento basato su cloud hanno aggiunto un peso sempre maggiore alla pressione sull’esperienza utente e sui team di sicurezza.
La sicurezza web, che si riferisce a protocolli e misure protettive che circondano le operazioni di un'organizzazione, al fine di proteggere i dipendenti e i dati sensibili dei clienti, annulla gli attacchi senza compromessi. La sicurezza web si ottiene quando i dipendenti sono supportati da un'unica soluzione coerente. La protezione dell'esperienza e della sicurezza dell'utente, riducendo al contempo l'espansione estesa e costosa degli stack tecnologici, è l'attuale ostacolo più grande del settore.
Lo scopo della sicurezza web
La connettività globale offerta dal web è allo stesso tempo una benedizione e una maledizione. Da un lato, è una forza importante dietro la vendita al dettaglio, il marketing e il networking. Ad esempio, una stima afferma che entro il 2040, 95% di tutti gli acquisti verrà effettuato tramite eCommerce. La rete ora può entrare nelle nostre tasche, nei nostri polsi e tra ogni meccanismo di una linea di produzione. Qualsiasi marchio può mettersi in mostra in modi nuovi ed entusiasmanti, avvicinandoti alle parti interessate come mai prima d'ora.
D’altra parte, questa vicinanza apre la strada alle minacce alla sicurezza web. Il 7 maggio 2021, Colonial Pipeline ha dovuto sospendere tutte le operazioni del gasdotto per 5 giorni. Importante attore infrastrutturale, fornisce il 45% di tutto il carburante alla costa orientale. Gli aggressori sostenuti dalla Russia avevano compromesso la sicurezza della rete tramite il furto degli account, utilizzando un singolo account VPN prima di esfiltrare i dati e scatenare ransomware ovunque. I 4.4 milioni di dollari pagati come riscatto indicano quanto le minacce alla sicurezza web si siano evolute in un importante business del mercato nero e come le soluzioni di sicurezza web abbiano avuto la loro importanza.
lavoro tagliato. Si stima che, entro il 2025, la criminalità informatica globale raggiungerà un costo annuo di 10.5 trilioni di dollari. Ciò rappresenta un profitto maggiore dell'intero mercato mondiale della droga illegale.
Minacce alla sicurezza web
La superficie di attacco del panorama web odierno offre un miscuglio di approcci diversi a un criminale informatico opportunista. Le sei minacce principali spaziano dal prendere di mira gli stessi account utente allo sfruttamento dei principi fondamentali dei meccanismi di caricamento del sito.
#1. SQL Injection
Structured Query Language (SQL) viene utilizzato per richiedere e recuperare dati da un database. L'iniezione SQL sfrutta quando un sito richiede l'input dell'utente. Invece di inserire le credenziali di accesso, tuttavia, un utente malintenzionato includerà una stringa eseguibile, consentendogli l'accesso al database principale. Ciò può degenerare fino all’accesso amministrativo completo di un dispositivo interno o addirittura al furto su larga scala di dati personali.
#2. Cross Site Scripting
Spesso utilizzato insieme agli attacchi di phishing (vedi sotto), il cross-site scripting vede un utente malintenzionato allegare codice dannoso alla fine di un URL attendibile. Un browser presuppone la legittimità del sito e quindi esegue lo script allegato. L'aggressore può accedere a qualsiasi cookie, token di sessione o altre informazioni sensibili conservate dal browser, trasmettendo essenzialmente informazioni di accesso e dispositivo.
#3. Violazione della password
Esemplificato nel caso Colonial Pipeline, una password riutilizzata, trapelata o compromessa può significare un disastro per i paesi sottosviluppati Strategie di prevenzione della perdita di dati (DLP).. È una delle cause più comuni di attacchi alla sicurezza web, con credenziali di accesso verificate che costituiscono una fetta significativa del mercato illecito dei criminali informatici.
Code Injection è un termine più generale per qualsiasi attacco che si basa su un'applicazione che esegue dati non attendibili. Questi attacchi alla sicurezza web sono in gran parte facilitati da una cattiva gestione dei dati e da un’insufficiente sanificazione dei dati immessi.
#4. Iniezione di codice
Code Injection è un termine più generale per qualsiasi attacco che si basa su un'applicazione che esegue dati non attendibili. Questi attacchi alla sicurezza web sono in gran parte facilitati da una cattiva gestione dei dati e da un’insufficiente sanificazione dei dati immessi.
#5. Schemi di phishing
Il cervello umano è irreparabile. Il phishing ne trae vantaggio di questo tramite ingegneria sociale e spoofing: ad esempio, un URL con errori di ortografia può indurre anche i dipendenti attenti alla sicurezza a digitare le proprie credenziali in una schermata di accesso falsa di Office365, in particolare se l'e-mail illecita rappresenta una minaccia che il tuo account sia già stato violato.
#6. Reindirizzamenti dannosi
I browser Web sono particolarmente vulnerabili agli attacchi di reindirizzamento. Sebbene i reindirizzamenti abbiano un uso legittimo, ad esempio nelle schermate di pagamento sicure, gli aggressori possono prendere il controllo del processo di navigazione includendo un reindirizzamento subdolo in un URL altrimenti apparentemente legittimo. Questo può indirizzarti direttamente a un sito controllato da un utente malintenzionato, aprendo le porte a download drive-by e malvertising.
Come funziona la sicurezza web?
La sicurezza web viene spesso mantenuta attraverso una serie di soluzioni, in cui ciascuna organizzazione dà priorità al proprio approccio. A guidare ogni decisione ci sono tre obiettivi principali: monitorare e valutare il traffico web ai fini della conformità; proteggere le reti interne da attori illeciti; e conservare i dati personali all'interno di database sicuri.
Uno stack completo mira a fornire un approccio completo, in cui ciascun componente svolge un ruolo individuale. Seguendo il percorso dei dati dall'utente finale al sito web, ecco alcune delle principali soluzioni di sicurezza web:
Estensioni di sicurezza del browser
Offrendo una protezione che preserva l'esperienza dell'utente, le estensioni del browser forniscono una forma di difesa nativa del browser. Sebbene le estensioni tradizionali come i blocchi degli annunci possano risiedere sul dispositivo dell'utente finale e impedire le campagne di malvertising, presentano comunque un rischio.
Le estensioni di terze parti del mercato di massa spesso detengono le autorizzazioni per leggere e modificare i dati su qualsiasi sito Web visitato, aprendo la porta agli attacchi. Le organizzazioni hanno bisogno di a estensione di sicurezza del browser appositamente creata che scansiona attivamente ogni componente di una pagina web non attendibile. Spostando l'analisi del codice e dei file dannosi più vicino alla piattaforma locale dell'utente finale, la latenza viene rimossa.
Le estensioni di sicurezza del browser di nuova generazione offrono anche policy adattive, facilitando una risposta coerente alle minacce che abbraccia l’intera organizzazione. Infine, l'account utente può essere protetto monitorando attentamente le attività del browser, aiutando a identificare e prevenire tentativi di esfiltrazione di dati. Le estensioni di sicurezza del browser si sono evolute in modo significativo rispetto al primo blocco degli annunci; molte organizzazioni devono ancora trarne vantaggio.
Gateway web sicuro (SWG)
A partire dall'utente finale, questa soluzione funge da proxy tra il dispositivo e un sito non attendibile. Invece di connettersi direttamente a un sito Web, un utente accede al SWG dell'organizzazione, che è quindi responsabile della connessione dell'utente. Mentre lo fa, l'SWG controlla la connessione per individuare eventuali contenuti dannosi confrontandolo con un elenco predefinito di siti dannosi noti. Consente inoltre a un'organizzazione di rispettare le proprie politiche di utilizzo del web bloccando l'accesso a contenuti inappropriati.
Una delle principali sfide presentate da uno strumento SWG è che la configurazione è in genere sotto forma di un ambiente autonomo. Ciò rende notevolmente difficile l’integrazione con altri elementi dell’infrastruttura di sicurezza organizzativa. La mancanza di flussi di lavoro, registrazione o reporting coordinati può spesso rappresentare una spina nel fianco di una protezione coesa.
Isolamento del browser
Mentre SWG agisce come procuratore, isolamento del browser mira a allontanare fisicamente l'utente finale dal server non affidabile che fornisce il sito Web o il codice dell'applicazione. L'isolamento remoto del browser è una delle iterazioni più utilizzate; questo conduce tutta la navigazione web su un server controllato da un fornitore cloud di terze parti. Con l'esecuzione dello script del sito su questo server, all'utente viene trasmessa una rappresentazione grafica del sito web. Qualsiasi clic del mouse e immissione di dati viene ritrasmesso al server cloud per l'esecuzione, consentendo di mantenere isolato il dispositivo dell'utente finale.
Sebbene ciò possa aiutare a stabilire un approccio alla sicurezza nativo del cloud, vale la pena notare che l’esperienza dell’utente è spesso influenzata in modo significativo. Ciò ha portato a casi di protezione organizzativa irregolare poiché gli utenti danno priorità a una protezione inferiore rispetto a un’esperienza di navigazione inaffidabile e frustrante.
Decrittografia TLS/SSL
Quando le richieste (indirette) dell'utente raggiungono il server esterno, il server inizia a inviare indietro i dati. Dal punto di vista della sicurezza, non sappiamo ancora cosa contengano questi pacchetti. La crittografia svolge da tempo un ruolo fondamentale nella sicurezza web, impedendo a occhi indiscreti di accedere ai dati in transito. È per questo motivo che oggi la maggior parte dei dati viene trasferita tramite connessioni crittografate Transport Layer Security (TLS). Anche se i dati sensibili traggono enormi vantaggi dalla crittografia inviolabile, la crittografia funziona in entrambe le direzioni: la crittografia nasconde anche pacchetti di dati dannosi.
La decrittografia TLS e SSL descrive il modo in cui il traffico crittografato viene decodificato; costituisce una base fondamentale che supporta il prossimo pezzo dello stack tecnologico di sicurezza web. Sebbene cruciale per molti di questi strumenti, la decrittazione richiede un’elevata intensità di calcolo, rendendola un altro componente da aggiungere alla latenza complessiva della rete.
Firewall/IPS
Con gli endpoint protetti e il traffico decrittografato, il firewall rappresenta la prima linea di difesa contro i pacchetti di dati dannosi. Il filtraggio preciso avviene in base alle politiche stabilite da un team di sicurezza, aiutando il firewall a rimuovere tutti i pacchetti riconosciuti come sospetti.
Un sistema di prevenzione delle intrusioni (IPS) si trova in linea immediatamente dietro il firewall. Questa soluzione è molto efficace nel rilevare e interrompere qualsiasi tentativo di sfruttare le vulnerabilità delle app Web senza patch. Quando viene scoperta una vulnerabilità diffusa, segue un periodo di tempo critico dove gli autori delle minacce possono sfruttare l’exploit prima del rilascio di una patch. Con il rilevamento delle firme, un IPS può bloccare il traffico dannoso, configurando al tempo stesso il firewall per prevenire attacchi futuri.
sandboxing
Mentre le misure di cui sopra aiutano a proteggere un utente in tempo reale, il sandboxing è una soluzione che riguarda la gestione del rischio a lungo termine. Simile a una macchina virtuale, consente l'isolamento di script dannosi all'interno di un contenitore sicuro. Ciò è incredibilmente utile per informazioni aggiornate sugli attacchi, poiché il malware in tempo reale può essere catturato e analizzato senza rischiare la contaminazione delle reti o dei dispositivi interni.
antivirus
Poiché la connettività Web funge da vettore principale per molte forme di malware, una soluzione antivirus può aiutare a individuare i file infetti e impedire l'esecuzione di ulteriori script su un dispositivo non protetto. Ransomware, spyware e trojan possono tutti trarre vantaggio da un'unica svista, il che significa che a volte un antivirus può fungere da ultima forma di difesa. I programmi antivirus ispezionano tutto il traffico che scorre nello stack tecnologico per identificare eventuali istanze riconoscibili di malware.
I vantaggi della sicurezza web
I principali vantaggi della sicurezza web aziendale sono perfettamente paralleli al successo a lungo termine. Ad esempio, la conformità normativa è un fattore chiave per le partnership commerciali e la buona fede dei consumatori. Dopotutto, la fiducia riposta in un’organizzazione nell’archiviare i dati in modo responsabile viene rapidamente infranta in caso di violazione. Oggi un numero crescente di normative, come GDPR e CCPA, si concentrano sulle misure di protezione che la tua organizzazione adotta per le informazioni sensibili. Una sicurezza web di prim'ordine dovrebbe fornire piena visibilità e controllo sui database gestiti dalla tua azienda e darti una visione completa di chi accede a cosa.
Con il lavoro remoto e ibrido che diventa mainstream negli ultimi anni, i DevSecOps si sono trovati improvvisamente di fronte al compito sisifo di mantenere la sicurezza organizzativa con soluzioni di sicurezza web che semplicemente non erano state create pensando alla trasformazione del cloud. Le moderne soluzioni di sicurezza web consentono ai dipendenti di lavorare comodamente da casa, mentre il loro dispositivo è ancora soggetto e protetto dalla politica di sicurezza aziendale.
Infine, la sicurezza web protegge i dipendenti e le operazioni mission-critical dai download dannosi. Proprio come Colonial Pipelines ha dovuto chiudere per diversi giorni, istanze di ransomware e spyware possono disabilitare completamente le operazioni, divulgando IP e progetti riservati a concorrenti e governi ostili. L'oncia di prevenzione fornita dalla moderna sicurezza web è migliore di una "cura" di riscatto da 4.4 milioni di dollari.
Proteggi la tua navigazione con LayerX
L'assoluta complessità degli stack tecnologici di sicurezza web di oggi è fuori controllo. I professionisti della sicurezza informatica devono affrontare un grave burnout. I criminali informatici continuano a saccheggiare database sensibili con scarsa considerazione per le soluzioni di sicurezza preesistenti.
Questo perché gli stack di sicurezza odierni sono in gran parte inadatti allo scopo. La maggior parte dei componenti sono stati realizzati molto prima che il browser Web diventasse uno strumento operativo leader nelle operazioni quotidiane; Ad aggiungere benzina sul fuoco è stata la scomparsa del perimetro organizzativo, che ha visto la transizione di database e altre risorse chiave in soluzioni segmentate di terze parti.
LayerX offre un'unica piattaforma di sicurezza del browser, basata su un'estensione del browser Enterprise. Il servizio di sicurezza web di LayerX viene implementato a livello di identità dell'utente, offrendo la sua suite completa di protezione
funzionalità da qualsiasi luogo in cui un utente accede al Web.
L'accessibilità non definisce solo l'esperienza dell'utente. LayerX crea un profilo di rischio ad alta risoluzione mentre l'utente naviga grazie alla sua attenzione approfondita su ogni evento di navigazione. Al centro di questo processo si trova il Plexus Engine. Monitora continuamente le modifiche del browser, i comportamenti della pagina e le attività dell'utente. Tutti questi eventi vengono raggruppati insieme, arricchiti dal cloud Intel di supporto LayerX Threat e analizzati per valutarne il contesto di rischio in tempo reale.
Con un impatto quasi nullo sull'esperienza dell'utente finale, l'estensione del browser LayerX è in grado di individuare attività dannose all'interno di qualsiasi componente nascosto in una pagina Web a cui si accede, prima di impedire l'interazione con il browser. LayerX è stato creato appositamente per fornire ai team di sicurezza gli strumenti giusti per proteggere clienti e dipendenti in un panorama cloud-first.
