Inizieremo il nuovo anno discutendo della necessità di un Web Application Firewall (WAF), dell'utilizzo di framework e librerie di sicurezza per il codice sorgente e di un nuovo servizio chiamato Bugalert che vi notificherà al volo eventuali vulnerabilità di gravità elevata/critica.
Utilizzare o non utilizzare un WAF
L'efficacia dei WAF è un argomento molto dibattuto, in quanto potrebbe essere difficile determinare l'efficacia di un WAF. I WAF possono essere utili quando sono soddisfatte le seguenti condizioni:
- Il costo della correzione delle vulnerabilità è superiore all'implementazione di un WAF; oppure
- La quantità di traffico che verrà bloccata è inferiore alla soglia di tolleranza.
È inoltre possibile utilizzare un firewall per implementare mitigazioni che impediscano a bot e scrapers di raggiungere il vostro sito web, offrire sicurezza a livello di applicazione e consentire/vietare l'inserimento di IP. Una semplice implementazione di un WAF potrebbe includere l'uso di un Captcha o di una sfida Javascript per ridurre questi tipi di bot. È possibile utilizzare un WAF come proxy per consentire un traffico specifico e vietare il resto.
Un aspetto importante dei WAF è che non si tratta di una soluzione "set-it-and-forget-it". Richiedono cure amorevoli dall'inizio alla distribuzione del WAF. È necessario uno staff/team dedicato che si occupi della manutenzione del WAF per ottimizzarne l'uso in modo continuativo.
Il modo ideale per approcciare un WAF è trattarlo come una soluzione progettata principalmente per bloccare il traffico indesiderato verso la vostra applicazione web.
Sfruttare framework e librerie di sicurezza per un codice sicuro
Implementare codice sicuro da soli può essere un compito complicato da eseguire correttamente. Gli aggressori possono abusare di piccole porzioni di codice per rendere vulnerabile l'applicazione.
Per quanto riguarda la capacità di proteggere il codice, esistono framework e librerie che consentono di concentrarsi sulla sicurezza e al tempo stesso sulla realizzazione del prodotto. Questo articolo di Github illustra diversi metodi e fattori che possono aiutare a valutare ciò che si deve cercare quando si utilizzano questi framework e librerie.
Quando decidete quali librerie utilizzare, dovete considerare questi cinque fattori:
- Il pacchetto è ampiamente utilizzato?
- Il pacchetto ha una buona reputazione?
- Ci sono recensioni positive sulla biblioteca specifica?
- Il pacchetto viene mantenuto attivamente?
- Il pacchetto ha una scadenza?
- Questo è un buon indicatore del fatto che esiste una chiara tabella di marcia e che la maggior parte delle funzionalità viene implementata in modo coerente.
- I problemi di sicurezza del pacchetto vengono risolti tempestivamente?
Quando si ha a che fare con framework web e si vuole garantire la sicurezza, è importante determinare quali compiti di sicurezza (codifica XSS in uscita o validazione degli input) devono essere gestiti dal framework.
Un fattore importante da considerare quando si utilizza un framework web con una qualche forma di sicurezza incorporata è quello di permettere al framework di gestire la codifica dei dati per voi. Se si lascia che il framework gestisca la codifica dei dati al posto dell'utente, si ridurranno le possibilità che un utente manchi o non implementi correttamente una misura di sicurezza. Se si intende consentire un possibile comportamento insicuro, è necessario analizzare a fondo il comportamento consentito e rendersi conto che non è quello predefinito.
Quando si incorporano librerie e framework, è importante aggiornare le dipendenze nel codice sorgente. È possibile utilizzare strumenti di analisi della composizione del software come GitHub Dependabot per mantenere aggiornate le dipendenze.
Bugalert
Dopo la vulnerabilità di log4j, un professionista della sicurezza, Matthew Sullivan, ha rilasciato un nuovo servizio chiamato Bugalert, che avvisa i professionisti della sicurezza e dell'IT di qualsiasi vulnerabilità elevata e critica. L'unico obiettivo di Bugalert è quello di notificare rapidamente gravi falle del software tramite e-mail, telefono o SMS.
Bugalert è attualmente alla ricerca di collaboratori per sviluppare e migliorare il suo programma. Chiunque sia interessato a contribuire, può aprire un problema su Github.
Commenti