Tra i metodi più utilizzati dal cybercrime per mettere sotto scacco le aziende, gli attacchi alle applicazioni Web sono da considerare con molta attenzione e la difesa delle stesse un ambito prioritario di azione. Per rendere più efficiente il business e snellire i processi, le organizzazioni mettono a disposizione di clienti e partner – oltre che dei dipendenti – una serie di applicazioni Web e di soluzioni basate su IP, ed è chiaro come l’interruzione del loro funzionamento sia un danno importante, non solo in termini di guadagni mancati, ma anche di reputazione del brand.
Applicazioni Web e API, i rischi
Le applicazioni Web sono vulnerabili proprio per la loro “esposizione” ed assicurare una protezione immediata ed efficace è il primo passo per proteggere tutta l’infrastruttura e mantenere efficienti i sistemi ed i servizi. Gli attaccanti possono prendere di mira diverse funzionalità di un sito. Può essere presa di mira l’applicazione, ma anche il database dietro di essa, così da arrivare a compromettere le informazioni archiviate, per esempio attraverso un attacco SQL Injection, con l’utilizzo di false query al DB per destabilizzare il funzionamento, ottenere o modificare dati riservati; oppure sfruttare una vulnerabilità dell’applicazione agli attacchi RFI (Remote File Inclusion) o ancora una vulnerabilità XSS per inserire script malevoli che vengono poi eseguiti nel browser degli utenti.
Akamai Kona Site Defender
Akamai per indirizzare queste problematiche propone Kona Site Defender come sistema di difesa che integra un Web Application Firewall (WAF) per la sicurezza avanzata delle applicazioni con sistemi di protezione always-on, a copertura di una vasta gamma di attacchi, sfruttando le capacità e le potenzialità di Akamai Intelligent Edge Platform. Entriamo nei dettagli.
Un WAF solitamente lavora tra il client Web e il server Web ed esegue una profonda ispezione di ogni richiesta e risposta in tutte le comuni forme di traffico Web. Quindi protegge il server Web dagli attacchi individuando il traffico malevolo o anomalo, ed isolando e bloccando il traffico per fare in modo che i server non siano raggiunti.
Implementato in linea sulla piattaforma distribuita di Akamai, formata da decine di migliaia di server, il Web Application Firewall contribuisce a individuare e respingere le minacce nel traffico Http e Https, con gli alert necessari e/o bloccando il traffico degli attacchi in vicinanza alla fonte, prima ancora che raggiungano il cliente. Prevede inoltre la possibilità di creare e quindi offrire una vasta gamma di azioni di risposta, oltre a risposte completamente personalizzate. Per esempio è possibile inviare messaggi d’errore personalizzati, pagine del brand recanti il proprio logo oppure definire e offrire risposte basate su Html, Xml o Json, a seconda delle specifiche esigenze.
Da una parte i controlli adattivi sulla frequenza delle richieste assicurano per esempio la protezione dagli attacchi GET/POST flood, monitorando e controllando la frequenza delle richieste alle applicazioni, mentre i controlli a livello di rete di Kona Site Defender neutralizzano automaticamente e immediatamente gli attacchi DDoS all’edge della rete. Quelli a livello applicativo, e quelli che prendono di mira le API, vengono assorbiti dalla soluzione che permette comunque sempre l’accesso agli utenti legittimi. Ed infine è possibile mitigare anche gli attacchi DDoS sferrati contro l’infrastruttura DNS.
Le regole a livello di applicazione vengono regolarmente aggiornate dai team di ricerca Akamai; oltre a quelle predefinite è possibile comunque configurarle ad hoc. Quelle predefinite sono il frutto del lavoro di intelligence basato sull’apprendimento automatico e rielaborato dalle expertise dei team Akamai, mentre regole personalizzate e i profili di protezione ad hoc sono offerti proprio per coprire tutte le esigenze di scalabilità e migliorare l’efficienza operativa. Per questo scopo il motore di rilevamento delle anomalie proprietario è in grado di offrire la massima accuratezza da subito. Con il vantaggio di disporre di un’unica soluzione per la protezione di app sviluppate on-premise, o su più provider di servizi cloud.
Che si tratti di semplici siti/applicazioni web o API Web, o centinaia di applicazioni complesse, il livello di protezione è il medesimo. Per la protezione delle API Kona Site Defender utilizza modelli di sicurezza positivi e negativi, proteggendole dalle chiamate pericolose. Significa, in questo secondo caso, che viene analizzato e ispezionato automaticamente il traffico Xml e Json alla ricerca di attacchi alle applicazioni, mentre il primo (modello positivo) permette solo il traffico “riconosciuto” e abilitato espressamente. Esiste sempre la possibilità di generare report e avvisi ad hoc.
Akamai mette a disposizione delle API per il controllo della soluzione, permettendo l’integrazione con la toolchain di sviluppo e con i sistemi di configuration management del cliente, garantendo la massima flessibilità. Inoltre è presente una ricca offerta di servizi nel caso in cui si voglia affidare la gestione della sicurezza, il monitoraggio e la mitigazione agli esperti di Akamai. La soluzione è anche facilmente integrabile con i SIEM più conosciuti.
Infatti sono due le modalità di utilizzo di Kona Site Defender, quella autogestita e quella lasciata per la gestione ad Akamai . Le due opzioni permettono di proteggere il 50% in più di applicazioni e API con la metà dello sforzo richiesto in precedenza.
Ai team resta sempre disponibile l’accesso a una telemetria dettagliata sugli attacchi e all’analisi degli eventi di sicurezza per valutare le modifiche necessarie, migliorare la sicurezza, ottimizzare le configurazioni, secondo le esigenze. Ad esempio sarà anche possibile consentire o bloccare il traffico specifico generato da singole sottoreti IP o specifiche aree geografiche per bloccare eventuali richieste da IP malevoli o il traffico Tor utilizzato dagli hacker per nascondere le proprie identità.
Esistono moduli aggiuntivi come Bot Manager di Akamai, in grado di permettere l’accesso solo ai navigatori umani ed ai bot legittimi, bloccando quelli dannosi. Page Integrity Manager per proteggere i siti Web dalle minacce Javascript, come attacchi di web skimming, form jacking e Magecart, che identifica le risorse più vulnerabili, rilevando i comportamenti sospetti e bloccando le attività dannose.
Non perdere tutti gli approfondimenti della Room Akamai Protect Your Business
© RIPRODUZIONE RISERVATA
