Secondo un rapporto sulla vulnerabilità dei siti web diffuso ieri da WhiteHat Security, 1/3 di tutti i siti web esaminati lo scorso anno è risultato vulnerabile su base giornaliera a una minaccia “seria” come il Cross Site Scripting (XSS), la perdita di informazioni o lo spoofing di contenuti.
Settori come l’intrattenimento e i media si sono dimostrati relativamente rapidi nel risolvere le vulnerabilità dei propri siti web (con una media di 33 giorni), contro una media generale del compendio dei diversi settori di 193 giorni dalla prima notifica. Le industrie della vendita al dettaglio, delle assicurazioni e dell’assistenza sanitaria si sono distinte per essere i peggiori ritardatari: ognuno di questi ci ha messo, in media, ben oltre 200 giorni per risolvere le vulnerabilità dei propri siti a seguito della notifica.
I siti aggiornati di frequente dei grandi retailer, per esempio, generalmente pongono maggiori sfide per la sicurezza agli sviluppatori web, dicono gli esperti, perché ogni distribuzione di nuovo codice introduce nuove vulnerabilità. “Questo è un ambiente che non perdona”, ha sottolineato Jeremiah Grossman, fondatore e direttore tecnico di WhiteHat Security.
La proliferazione di “broken code” si traduce in una “gara per vedere chi riesce a sfruttare le vulnerabilità”. Il risultato è che la maggior parte delle patch di sicurezza per i siti web non funziona. Tuttavia, il tasso di bonifica per tutti i siti presi in esame è stato del 61% nel 2012, in deciso incremento rispetto a solo il 35% registrato dalla stessa società nel corso del suo primo studio, nel 2007.
WhiteHat definisce vulnerabilità “serie” quelle in cui “un utente malintenzionato potrebbe assumere il controllo di tutto o parte di un sito web, di un account utente compromesso, così come di accedere ai dati sensibili o violare i requisiti di conformità”.
Il Cross Site Scripting (43%), lo spoofing dei contenuti (13%) e la perdita di informazioni (11%) sono emerse nuovamente come le vulnerabilità “top” nel corso del 2012. La metà di tutte le vulnerabilità relative all’XXS è stata risolta, ma lo studio di WhiteHat ha anche rivelato che questo ha richiesto in media 227 giorni di tempo. I siti contenevano, in media, 56 vulnerabilità lo scorso anno. Grossman ha riconosciuto che il totale sembra alto, ma risulta drasticamente ridotto rispetto alla media di 230 relativa all’anno 2010. “I siti web sono sempre più sicuri – ha detto Grossman, ex specialista di sicurezza del colosso del web Yahoo -, ma i cattivi hanno solo bisogno di una vulnerabilità per rovinare la giornata di un responsabile della sicurezza o di un CIO”.
Inoltre, l’indagine ha osservato che l’effettiva violazione di un sistema IT o l’accesso non autorizzato a dati più o meno sensibili sembra avere un effetto benefico sulle imprese, tanto quanto un attacco di cuore che fa sì che il superstite rimanga scosso e inizi ad abbracciare uno stile di vita più sano. L’analisi di WhiteHat ha messo in luce che le organizzazioni che sono state in grado di resistere a un tentativo di violazione del proprio sito web perpetrato sfruttando una vulnerabilità a livello delle applicazioni ha successivamente sperimentato il 51% di vulnerabilità in meno, le ha risolte il 18% più velocemente e ha sperimentato un tasso di bonifica del 4% superiore alla media delle aziende che non avevano subito alcun tentativo di attacco.
La soluzione dei problemi di sicurezza richiede ancora, in media, circa tre mesi di tempo, ma ancora una volta Grossman ha notato che i tempi di bonifica continuano a diminuire.
La sfida per le imprese con risorse di sicurezza limitate è decidere quale vulnerabilità affrontare per prima. Una delle ragioni di questa forma di “triage” (del tutto simile a quella in uso presso il pronto soccorso), sostiene la ricerca di WhiteHat, è che molte delle aziende intervistate hanno dichiarato che il driver numero uno per la sicurezza web è la conformità.
Paradossalmente, gli intervistati hanno detto che la ragione principale per cui ci vuole così tanto tempo per sanare una violazione è, anche in questo caso, la conformità. Il risultato, secondo Grossman, è che le imprese destinano gran parte delle proprie risorse per la sicurezza alla materia della compliance, lasciando solo risorse residuali a disposizione di tutte le altre aree della protezione.
Dan Cornell, Chief Technology Officer presso Denim Group, concorda sul fatto che i programmi di conformità hanno un “effetto distorsivo” sugli sforzi globali profusi nella sicurezza degli ambienti web. Il risultato è un uso inefficiente delle risorse di sicurezza.
Invece, secondo Cornell, le imprese hanno bisogno di “usare lo spauracchio delle violazioni web per sviluppare una strategia coerente e omnicomprensiva di gestione del rischio”.
Grossman ha sottolineato che le aziende hanno bisogno di assegnare la responsabilità per le violazioni subite a vari livelli, lungo tutta l’organizzazione, fino al Consiglio di Amministrazione. Insieme con la responsabilità che gli deve essere assegnata, gli sviluppatori web devono avere anche il potere di adottare le azioni necessarie per risolvere le vulnerabilità, ha concluso.
