PREVENZIONE E PROTEZIONE

Affrontare i pericoli del web: si può

Minacce sempre nuove possono essere contrastate con stumenti congrui, che "imparino" dall'esperienza e siano sempre aggiornati


Genericamente il WAF previene e difende da attacchi volti all'appropriazione, alla modifica, alla cancellazione di dati di accesso, contenuti del database, informazioni confidenziali.

In particolare le tipologie di attacco che occorrono più spesso sono :

  • Il code injection è una metodologia di attacco che ha come bersaglio i dati che risiedono in un database. L'attacco sfrutta livelli deboli di validazione dei dati di input nel codice e nell'amministrazione di un sito Web.
  • Tramite SQL-injection l'attaccante riesce a manipolare i dati utente, inserire istruzioni SQL indesiderati in moduli oppure URL, ed ottenere pieno accesso al database di back-end.
  • In caso di cross-site scripting l'attaccante agisce solamente lato client grazie all'iniezione di codice malevolo nel browser. Il visitatore di un sito potrebbe ad esempio, attraverso un link, raggiungere una pagina web la cui visualizzazione genere l'esecuzione del malware.

A livello di applicazioni web gli attacchi possono prendere di mira o il software stesso dell'applicazione e i suoi file, per modificarlo o farne scaturire errori o malfunzionamento, oppure i database che ne costruiscono i contenuti e ne raccolgono i dati.

Nell'analisi del traffico emergono altre costanti che possono essere ritenute pericolose:

  • Origini non affidabili: Indirizzi IP che hanno ripetutamente elaborato un'attività pericolosa su altri siti Web. A oggi, oltre dieci milioni di botnet hanno eseguito attacchi per conto di pirati informatici remoti.
  • Proxy anonimi: Il traffico Web originato da server proxy anonimi. Nascondendo l'identità dell'origine del traffico, i proxy anonimi vengono spesso sfruttati dai pirati informatici per lanciare gli attacchi.
  • Le reti TOR (The Onion Router): origini di traffico che vengono utilizzate dalle reti TOR per lanciare attacchi senza rivelare l'identità né la posizione geografica.
  • Rilevamento geografico IP: Gli indirizzi IP che si basano su una posizione geografica specifica. Il rilevamento geografico permette alle aziende di monitorare o bloccare l'accesso effettuato da Paesi non desiderati.
  • » URL utilizzati per attività di phishing: generazione in tempo reale di avvisi su casi di phishing contro il dominio dei clienti.

Le strategie e le modalità di difesa messe in atto tramite il WAF SecureSphere di Imperva permettono un'analisi del traffico attraverso più attributi, come la conformità del protocollo HTTP, le violazioni del profilo, le firme, i caratteri speciali e la reputazione dell'utente, per accedere in modo accurato o bloccare gli attacchi con il tasso più basso di falsi positivi, per un'alta efficacia ed affidabilità.

Relativamente alla difesa dei database:

  • controllo delle modalità di utilizzo dei database (Database Activity Monitoring)
  • monitoraggio delle attività e protezione in tempo reale dei database (Database Firewall)
  • controllo e gestione dei diritti di accesso degli utenti per i database più sensibili (User Rights Management for Databases)
  • rilevamento delle vulnerabilità, gestione della configurazione e classificazione dei dati contenuti nei database (Discovery and Assessment Server)

Relativamente alla difesa dei file delle applicazioni:

  • controllo delle modalità di utilizzo dei file (File Activity Monitoring)
  • monitoraggio delle attività e protezione dei dati dei file critici (File Firewall)
  • gestione dei diritti degli utenti per i file
  • controllo e gestione dei diritti di accesso degli utenti per i file più sensibili
  • monitoraggio e controllo delle modalità di accesso degli utenti alle applicazioni web

Sicurezza basata sulla reputazione per bloccare gli attacchi automatizzati

Il panorama delle minacce è sempre più in espansione, i pirati informatici si sono evoluti e dotati di tecnologie più efficaci. Gli attacchi più sofisticati lanciati via Web si avvantaggiano di funzionalità automatizzate su vasta scala, come una rete composta di bot. L'intervento in grado di attenuare tali attacchi deve essere automatizzato e puntuale, adattandosi costantemente per poter passare tra diverse ubicazioni e tecniche di attacco. - prevenzione delle frodi e per la sicurezza basati sulla reputazione, per arrestare le frodi commesse via Web e gli attacchi automatizzati (ThreatRadar)

ThreatRadar Reputation Services offre una difesa automatizzata contro questi attacchi mediante il rilevamento e l'interruzione di origini non affidabili note. In qualità si servizio aggiuntivo di SecureSphere WAF, ThreatRadar individua il traffico Web originato da indirizzi IP che al momento stanno attaccando altri siti Web, da determinati servizi di anonimato e da ubicazioni geografiche non desiderate.

Tracciamento delle origini di attacco su scala globale

Grazie alla prospettiva collettiva fornita dalla comunità che si occupa di sicurezza, i server ThreatRadar basati su cloud elaborano congiuntamente le informazioni relative alle origini degli attacchi

Feed automatizzati e costanti, relativi alle origini degli attacchi correnti

Pressoché in tempo reale, ThreatRadar Reputation Services distribuisce feed relativi all'origine degli attacchi a tutti i gateway SecureSphere dotati di ThreatRadar. Supportati completamente da Imperva, i feed sulla sicurezza consentono di individuare le origini che eseguono attacchi automatizzati come applicazioni DDoS, site scraping, comment spamming Web e inserimenti SQL. Imperva aggiorna con costanza tali feed fornendo una protezione attuale contro il traffico pericoloso.

Inoltre il WAF SecureSphere

  • utilizza la tecnologia dinamica brevettata Application Profiling, per conoscere tutti gli aspetti delle applicazioni web, tra le directory, URL, parametri e input dell'utente accettabili per rilevare gli attacchi con una precisione eccezionale e il blocco solo di utenti malevoli, eliminando l'impatto per i clienti legittimi.
  • impara dinamicamente un comportamento "normale" delle applicazioni e correla questo con informazioni sulle minacce leader del settore;
  • identifica e agisce su pericoli maliziosamente classificati in traffico innocente del sito web; traffico che passa inosservato attraverso le difese tradizionali.