“Tempi straordinari richiedono misure straordinarie”; molte sono le persone che hanno pronunciato questa frase negli ultimi due mesi. Una delle misure straordinarie che da subito ha riguardato molti di noi è il lavoro da remoto. In questo contesto, si discute molto del tema dell’accesso alle applicazioni critiche, anche se raramente conosciamo quali siano i dettagli su come tale accesso venga abilitato.
Uno dei modi principali con cui questo avviene è attraverso l’apertura di porte RDP (Remote Desktop Protocol). Non sorprende quindi che SANS abbia notato su Shodan un aumento estremamente consistente del numero di porte RDP aperte su Internet alla fine di marzo. Moltissime persone fanno affidamento su queste opzioni di base per consentire l’accesso remoto diretto ai desktop.
Sebbene RDP sia probabilmente il protocollo citato più spesso quando si parla di accesso da remoto in questo momento, sembra che l’accesso sia garantito, senza restrizioni, anche alle console operative del reparto IT. Oltre a evidenziare l’aumento delle porte RDP aperte, infatti, l’analisi di SANS riporta anche un grafico molto interessante che mostra un aumento significativo delle porte aperte in esecuzione su 8080.
8080 può essere definita la porta “alternativa a HTTP”; chiunque si sia occupato del deployment delle applicazioni Web la riconoscerà praticamente come l’impostazione predefinita per i framework e le console operative.
In generale, le console operative hanno i propri metodi per controllare l’accesso: si avvalgono di credenziali per limitare chi può avviare improvvisamente un cluster o chiudere un’app o apportare modifiche ad una configurazione. Il vero problema è che quando osserviamo il numero di incidenti che si verificano a causa della mancanza di controllo degli accessi delle console operative (ovvero senza che vengano richieste le credenziali) appare evidente come alcune di queste app operative siano completamente aperte, senza che alcuna protezione le separi dal “grande e pericoloso Internet”.
È importante ricordare che le console operative sono fondamentalmente delle applicazioni. Sono composte da componenti di provenienza esterna, proprio come qualsiasi altra app. Sono sviluppate utilizzando le stesse librerie e gli stessi framework di qualsiasi altra app e sono distribuite a partire dalla stessa piattaforma, come qualsiasi altra app. Ciò significa che devono essere protette come qualsiasi app, perché sono vulnerabili ai medesimi exploit che colpiscono le applicazioni.
Non possiamo semplicemente fare affidamento sullo spostamento delle applicazioni operative su una porta diversa. Nell’era dell’automazione, dove i cyber criminali hanno accesso a vaste reti di bot che effettuano scansioni delle porte aperte, tali accessi sono scoperti molto facilmente. Se, inoltre, a queste scansioni abbiniamo la capacità di riconoscere una app mediante fingerprint, sarà poi facile identificare le applicazioni anche su porte non standard. Cercare di mantenere la sicurezza nascondendo le cose non è una strategia praticabile oggi, il tempo e gli investimenti economici necessari ai criminali informatici per identificare gli obiettivi, infatti, si sono ridotti significativamente.
In una nostra recente ricerca, abbiamo scoperto che una percentuale significativa di applicazioni è protetta da un web application firewall, ma non sappiamo quale percentuale di queste app sia operativa o orientata al business. Potrebbe essere questo il momento per scoprirlo.
Questo perché, progredendo verso la terza fase della trasformazione digitale, le aziende faranno sempre più affidamento sulle applicazioni operative per creare, distribuire e gestire le app e i servizi applicativi che rappresentano il business dell’azienda. Tali app operative devono, quindi, essere protette da un utilizzo dannoso perché se utilizzate in modo improprio avranno un impatto diretto sull’azienda.
Molte persone ritengono che dobbiamo iniziare a vivere questo periodo pensando che sia una nuova normalità, che il lavoro a distanza sarà anche in futuro la forma più accettabile e persino preferibile per molte organizzazioni, anche quando questa pandemia sarà passata.
Forse sarà così ma, in ogni caso, dobbiamo iniziare a riflettere sul fatto che il lavoro remoto include chi opera con applicazioni e infrastrutture e necessita di poter accedere alle console di controllo, ma quelle console – le applicazioni operative – devono essere protette da abusi e utilizzi dannosi, perché tutto avvenga nel modo corretto.
In sintesi, una protezione di base seria dovrebbe comprendere cinque principi chiave: richiedere sempre l’autenticazione, utilizzare SSL/TLS per proteggere la comunicazione, essere consapevole dell’accesso alle API e proteggerlo, mantenere alto il livello di protezione rispetto allea vulnerabilità che possono essere sfruttate e agli abusi da parte dei bot, adottando servizi applicativi appropriati.
Oggi è quindi indispensabile assicurarsi che la propria strategia di sicurezza includa la protezione delle app operative e delle app business-critical, perché a lungo termine, saranno proprio le applicazioni operative a diventare quelle maggiormente strategiche per il business e solo così potremo continuare a lavorare da casa in modo sicuro, sia a livello personale che operativo.
A cura di Lori MacVittie, Principal Technical Evangelist di F5 Networks
