7 rischi per la sicurezza delle applicazioni che potevano essere evitati

1. Introduzione#

Grandi aziende, tra cui Uber, MGM Resorts, CircleCI, Ticketmaster e molte altre, hanno subito violazioni della sicurezza tra settembre 2022 e maggio 2024 dopo che gli aggressori hanno ottenuto l'accesso non autorizzato ai loro sistemi di account utente. Gli attacchi hanno causato danni per oltre centinaia di milioni di dollari esponendo al contempo i dati personali di oltre 600 milioni di utenti e i sistemi di autenticazione obsoleti dell'epoca avrebbero potuto prevenire queste violazioni della sicurezza.

La storia non mostra alcuna prova di sofisticati zero-day o criminali informatici che utilizzano vulnerabilità sconosciute per condurre i loro attacchi. Questi casi rivelano come le organizzazioni non siano riuscite a prevenire le violazioni della sicurezza. La maggior parte di esse era a conoscenza degli attacchi di tipo MFA fatigue, ma non è riuscita a proteggersi da essi, e riconosceva le vulnerabilità dei sistemi basati su password, ma ha continuato a utilizzarli.

2. Fallimenti dell'autenticazione legacy#

L'autenticazione debole o legacy è un punto di ingresso comune per gli aggressori. La maggior parte delle violazioni della sicurezza inizia con l'ottenimento da parte degli aggressori di password rubate o utilizzate in precedenza, sebbene le organizzazioni abbiano accesso a sistemi di autenticazione consolidati basati su passkey, che forniscono protezione dal phishing. La violazione di MGM Resorts del 2023 è iniziata quando gli aggressori hanno utilizzato il vishing per contattare il supporto tecnico IT, il che ha consentito loro di reimpostare le credenziali e quindi implementare il ransomware causando sette giorni di interruzione del sistema.

I sistemi di sicurezza di MGM e di altre organizzazioni utilizzavano password insieme all'autenticazione a due fattori basata su SMS, che non è riuscita a proteggere dagli attacchi di ingegneria sociale e dal furto di credenziali. L'organizzazione non è riuscita a stabilire sistemi di autenticazione migliori perché comprendeva le minacce alla sicurezza, ma i loro sistemi attuali e i processi di lavoro hanno impedito loro di apportare modifiche.

Le passkey, che utilizzano la crittografia a chiave pubblica e l'identificazione biometrica, avrebbero ridotto in modo significativo il rischio di successo di questi attacchi. Le passkey sono più sicure delle password perché gli utenti non possono reimpostarle tramite l'accesso remoto o il supporto tecnico condividendo i codici di ripristino, il che protegge dagli attacchi di ingegneria sociale. La sicurezza delle passkey rimane vulnerabile a metodi di attacco specifici, che si verificano quando i processi di ripristino dell'account non sono adeguatamente protetti e quando i dispositivi vengono infettati da malware.

3. Attacchi basati su sessioni e cookie#

Gli aggressori si concentrano sull'ottenimento dei cookie in quanto li aiuteranno a ottenere l'accesso al sistema e ad aggirare tutte le procedure di autenticazione. La violazione di CircleCI del 2022 lo sottolinea mostrando come un malware infostealer sul laptop di un dipendente possa facilmente rubare i cookie di sessione attivi. Utilizzando questi ultimi, gli aggressori hanno quindi aggirato l'autenticazione a due fattori e ottenuto l'accesso ai sistemi di produzione.

I cookie di sessione servono come mezzo per aggirare i controlli di accesso con i loro token al portatore, facilitando l'esposizione di dati sensibili. Per evitare tali inconvenienti, le organizzazioni possono implementare le Device Bound Session Credentials (DBSC), che proteggono gli utenti dal furto di sessioni utilizzando metodi crittografici per collegare le sessioni a dispositivi specifici. Ciò rende impossibile l'utilizzo di cookie rubati da altri computer. Il sistema DBSC offre una protezione efficace contro i malware infostealer in esecuzione su vari dispositivi, ma non può fermare gli attacchi quando il malware infetta il dispositivo inizialmente registrato.

4. Autorizzazione compromessa#

Quando gli aggressori violano il controllo degli accessi nell'applicazione, possono spostarsi lateralmente senza tenere conto delle loro autorizzazioni. Il rischio per la sicurezza derivante dalle vulnerabilità di autorizzazione continua a essere elevato perché gli aggressori hanno utilizzato con successo controlli di accesso insufficienti per spostarsi tra i componenti di sistema durante molteplici violazioni della rete.

Per identificare le vulnerabilità IDOR (Insecure Direct Object Reference), gli sviluppatori di applicazioni dovrebbero utilizzare la modellazione delle minacce basata su concetti per rilevare le strutture di base di gestione degli accessi e implementare processi di revisione del codice per convalidare le autorizzazioni degli account di servizio.

Optare per assegnazioni di ruoli e gestione delle autorizzazioni complesse invece di un modello del privilegio minimo può lasciare le organizzazioni vulnerabili a problemi di autorizzazione. L'assegnazione complessa dei ruoli può portare all'accesso non autorizzato a informazioni e funzioni sensibili nelle applicazioni rivolte ai clienti. Le organizzazioni senza un quadro di autorizzazione sicuro non possono proteggere i propri dati da accessi e operazioni non autorizzati.

Con l'aumento dei problemi di sicurezza B2C, un singolo account compromesso può causare danni significativi a più account utente. Implementando il Privileged Access Management, le organizzazioni possono concedere ai propri dipendenti e clienti solo l'accesso minimo indispensabile per svolgere il proprio lavoro. Oltre a ciò, la modellazione delle minacce basata sui concetti e la revisione del codice regolari possono aiutare a individuare facilmente i rischi e le vulnerabilità.

5. Integrazioni IA non sicure#

La rapida integrazione di GenAI e LLM nelle applicazioni ha superato la capacità dei controlli tradizionali di rilevare questi cambiamenti, il che si traduce in un rischio per la sicurezza invisibile. La violazione di Snowflake del 2024 dimostra come gli attori delle minacce abbiano utilizzato le credenziali rubate dagli attacchi malware infostealer per accedere agli ambienti dei clienti Snowflake, che non implementavano l'autenticazione a più fattori. L'attacco ha compromesso più di 165 organizzazioni, tra cui Ticketmaster con 560 milioni di record di clienti e AT&T e Santander Bank.

Le organizzazioni spesso non riescono a riconoscere l'IA come parte centrale dell'ambiente IT, lasciando le risorse IA come modelli, archivi di dati vettorizzati e pipeline IA vulnerabili a errata configurazione e rischi di attacchi informatici. La maggior parte delle organizzazioni trova difficile monitorare in modo efficace i sistemi di IA a causa della "shadow AI", in cui individui non autorizzati possono eseguire attacchi basati su credenziali senza alcun rilevamento interno.

Se le organizzazioni applicassero controlli di base come la convalida degli input, l'isolamento e il monitoraggio continuo ai loro sistemi IA come fanno per altre infrastrutture IT, questi incidenti di sicurezza avrebbero potuto essere evitati. Le organizzazioni possono automatizzare l'identificazione e la correzione degli errori di configurazione utilizzando strumenti di sicurezza dell'IA, che forniscono un inventario completo di tutte le risorse IA.

6. Configurazioni errate dell'ambiente cloud e di runtime#

Le configurazioni errate nel cloud, inclusi i bucket di archiviazione esposti, i gruppi di sicurezza eccessivamente permissivi e i container esposti, possono provocare incidenti di sicurezza. La violazione di ePallet del 2022 ha dimostrato che un bucket Amazon S3 non configurato correttamente può esporre i dati sensibili dei clienti di altre aziende che utilizzano il loro strumento. Gli aggressori hanno utilizzato due vettori principali per accedere a informazioni sensibili: bucket di archiviazione non protetti e gruppi di sicurezza con controlli di accesso inefficaci.

Le scansioni di conformità di base mostrano che questi attacchi provengono da due fonti principali, ovvero archiviazione accessibile pubblicamente con dati specifici dell'utente e porte di gestione virtuale esposte. Le organizzazioni potrebbero considerare questi errori di configurazione come soluzioni a breve termine per la conformità, ma la maggior parte di essi diventa punto di violazione della sicurezza.

L'identificazione e la correzione delle configurazioni errate dovrebbero essere continue attraverso la gestione costante del livello di sicurezza cloud o controlli di sicurezza di runtime, il che riduce significativamente il rischio che gli aggressori sfruttino le vulnerabilità. Le organizzazioni possono utilizzare strumenti di scansione e monitoraggio automatizzati per individuare le configurazioni errate e la piattaforma di monitoraggio può quindi risolverle.

7. Sicurezza assente nell'SDLC#

Le vulnerabilità entrano nel processo di produzione quando le funzioni di sicurezza non sono integrate in modo appropriato nel processo di sviluppo del software. Un' azione GitHub non configurata correttamente nella pipeline CI/CD di una startup di criptovalute stava condividendo silenziosamente le credenziali AWS, aiutando gli aggressori a minare 800 dollari in criptovaluta.

SAST/DAST, la revisione sicura del codice e la scansione delle dipendenze possono identificare le comuni vulnerabilità di sicurezza. Potrebbero variare dagli attacchi di iniezione alla deserializzazione non sicura e ai riferimenti diretti non sicuri agli oggetti, ma questi problemi persistono quando la sicurezza non riceve alcuna attenzione.

L'integrazione della sicurezza nel ciclo di vita dello sviluppo del software (SDLC) consente agli sviluppatori di identificare e risolvere le vulnerabilità di sicurezza, che possono quindi implementare nelle loro applicazioni web prima della distribuzione in produzione. La prevenzione di questi problemi richiede alle organizzazioni di implementare tre pratiche di sicurezza fondamentali, che includono la scansione automatizzata, la gestione delle dipendenze e revisioni sicure del codice.

8. Processi di monitoraggio e correzione insufficienti#

Le organizzazioni continuano a subire violazioni della sicurezza in gran parte perché non riescono a riconoscere gli indicatori di allarme e mancano di processi di rimedio definiti per le anomalie di sistema. Dovrebbero monitorare costantemente i loro sistemi informatici e stabilire una chiara procedura di risposta per le violazioni della sicurezza, seguendo gli attuali standard del settore alla luce della violazione di Uber del 2022. Senza una registrazione completa degli eventi di sicurezza, le organizzazioni faticano a monitorare il credential stuffing, tentativi di accesso anomali ai dispositivi o transazioni anomale di token.

Le organizzazioni trovano difficile rilevare l'autenticazione e i tentativi di accesso o registrare gli eventi di registrazione degli utenti perché le informazioni raccolte mancano di dettagli sufficienti per un'identificazione precoce dell'abuso dei diritti di sicurezza.

I sistemi dell'organizzazione identificano e gestiscono eventi anomali attraverso procedure di risposta automatizzate, algoritmiche e incentrate sulla privacy. Le funzionalità di rilevamento e risposta dell'IA aiuteranno le organizzazioni a identificare le relazioni tra gli eventi di sicurezza e a impedire il verificarsi di violazioni.

9. Conclusione#

La parte più frustrante dello studio delle violazioni di MGM, Snowflake, Uber e CircleCI è comprendere che questi incidenti avrebbero potuto essere evitati. L'incidente è diventato inevitabile perché la tecnologia attuale non disponeva delle capacità necessarie che le aziende incentrate sulla sicurezza utilizzavano già per i propri sistemi di autenticazione.

Tutte le organizzazioni in questo report avevano la possibilità di implementare le passkey prima che i loro sistemi venissero violati. Mentre le passkey erano disponibili e rappresentavano una tecnologia matura durante il 2022-2024, le Device Bound Session Credentials (DBSC) non erano ampiamente disponibili fino al 2024. Il sistema includeva molteplici controlli di sicurezza cloud, come l'applicazione dell'MFA, le allowlist di rete, IAM con privilegio minimo e monitoraggio. Tuttavia, questi controlli necessitavano di un'impostazione manuale per una protezione completa.

I team di sicurezza di alcune organizzazioni supportavano questi controlli, ma non sono riusciti a sconfiggere la resistenza al cambiamento a livello aziendale. Il risultato ha portato all'esposizione dei dati personali di oltre 600 milioni di persone, indagini normative e perdite totali che hanno superato le centinaia di milioni.

Le organizzazioni hanno condotto ricerche che dimostrano che gli attacchi basati sulle credenziali aumenteranno a un ritmo accelerato, quindi le organizzazioni devono affrontare immediatamente questa minaccia critica alla sicurezza. La tua organizzazione deve determinare se adotterà sistemi di autenticazione moderni prima o dopo che altre organizzazioni utilizzeranno il tuo fallimento nella sicurezza come esempio nelle indagini sulle loro violazioni.

Esistono strumenti per la sicurezza delle applicazioni e funzionano in modo automatico attraverso un semplice processo che non necessita di complicate procedure di installazione. Il ROI è misurabile. La comunità della sicurezza manca di un senso di urgenza, che le consentirebbe di riconoscere la modernizzazione dell'autenticazione come un controllo di sicurezza essenziale. L'organizzazione deve agire immediatamente perché la prossima chiamata all'help desk, e-mail di phishing e payload infostealer si svilupperanno in un incidente da cento milioni di dollari.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande frequenti#

Come ha fatto la violazione di CircleCI ad aggirare l'autenticazione a due fattori?#

Nella violazione di CircleCI del 2022, un malware infostealer sul laptop di un dipendente ha rubato direttamente i cookie di sessione attivi. Poiché i cookie di sessione agiscono come token al portatore che garantiscono l'accesso immediato, gli aggressori li hanno utilizzati per eludere completamente l'autenticazione a due fattori e raggiungere i sistemi di produzione.

Qual è la differenza tra DBSC e i normali cookie di sessione per la sicurezza?#

I normali cookie di sessione possono essere rubati dal malware infostealer e riutilizzati da qualsiasi dispositivo, aggirando i controlli di autenticazione. Le Device Bound Session Credentials (DBSC) utilizzano metodi crittografici per legare una sessione al dispositivo specifico che l'ha creata, in modo che i cookie rubati non possano essere riutilizzati da macchine controllate dagli aggressori.

Perché il controllo degli accessi compromesso ha causato danni così diffusi nella violazione di Snowflake?#

La violazione di Snowflake ha compromesso oltre 165 organizzazioni clienti perché i singoli ambienti tenant non disponevano dell'applicazione dell'MFA, il che significa che un set di credenziali rubate poteva sbloccare interi archivi di dati dei clienti. Solo Ticketmaster ha visto esposti 560 milioni di record di clienti come risultato di questa singola lacuna di controllo.

Quale errore di sicurezza SDLC ha portato all'incidente di mining di criptovalute di GitHub Actions?#

Un flusso di lavoro di GitHub Actions configurato in modo errato nella pipeline CI/CD di una startup di criptovalute divulgava silenziosamente le credenziali AWS agli aggressori, che le utilizzavano per minare 800 dollari in criptovaluta. L'articolo identifica la scansione SAST/DAST automatizzata, la gestione delle dipendenze e le revisioni sicure del codice come le tre pratiche che avrebbero intercettato questa errata configurazione prima della distribuzione in produzione.