Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
La sicurezza dei database parte dal virtual patching
Indispensabili, versatili e… vulnerabili. I database aziendali sono uno degli anelli deboli dell’infrastruttura e possono aprire le porte a violazioni. Ecco la soluzione di Intel Security.
Se si dovesse stilare una classifica degli elementi che contribuiscono a indebolire la sicurezza delle infrastrutture informatiche di un’azienda, probabilmente i database arriverebbero ai primi posti.
Le ragioni di questo poco invidiabile primato sono numerose. Prime tra tutte la natura stessa e la funzione dei database, al cui accesso sono ammessi solitamente un gran numero di utenti che si trovano ad operare in un ambiente in cui, troppo spesso, non sono chiaramente definite policy e autorizzazioni.
Il vero problema, però, è la gestione delle vulnerabilità. Nella maggior parte dei casi, infatti, le violazioni avvengono grazie a exploit che fanno leva su vulnerabilità conosciute, che (in teoria) avrebbero potuto essere corrette con un semplice aggiornamento.
Paolo Florian, di Intel Security, parte proprio da qui per mettere a fuoco il problema. “Gli amministratori IT che si occupano della gesitone dei database hanno come priorità la continuità operativa e le performance del sistema” spiega Florian. “Queste esigenze si scontrano frontalmente con le buone pratiche che richiederebbero di eseguire con frequenza gli aggiornamenti del software”.
Insomma: la presunta “allergia” agli aggiornamenti, nella maggior parte dei casi, avrebbe la sua origine nella semplice necessità di non sospendere un servizio che viene considerato vitale per l’attività dell’azienda.
“Gli amministratori spesso non hanno la percezione del fatto che esista un problema di sicurezza e si concentrano solo sull’assicurare il buon funzionamento del database”.
“Questo atteggiamento è evidente proprio quando si parla degli aggiornamenti. L’installazione di una patch richiede spesso di andare a toccare l’impianto generale del database stesso” prosegue Florian. “Molti amministratori temono che l’aggiornamento possa modificare le impostazioni o (come effettivamente accade fin troppo spesso) creare problemi di compatibilità con le personalizzazioni o i plug-in utilizzati”.
Il risultato di questo cortocircuito è che i database spesso non vengono aggiornati o, nel migliore dei casi, l’update avviene con tempi assolutamente inadeguati.
“A peggiorare la situazione c’è il fatto che gli stessi produttori faticano a tenere il ritmo nella pubblicazione degli aggiornamenti, che spesso vengono rilasciati con notevole ritardo rispetto alla scoperta delle vulnerabilità” conclude Florian.
Un quadro piuttosto desolante, che rende molto difficile applicare le normali procedure per garantire la sicurezza dei sistemi.
Molti database sono in funzione 24 ore al giorno per 7 giorni alla settimana. Anche un semplice riavvio può rappresentare un problema.
Per risolverla, Paolo Florian suggerisce uno strumento alternativo. “La soluzione proposta da Intel Security per proteggere le infrastrutture di questo tipo è disponibile da due anni sul mercato italiano e tiene conto di tutte queste criticità e si basa sul virtual patching” spiega l’ingegnere.
Ma come funziona in pratica? “Il sistema si basa su un archivio delle vulnerabilità conosciute, che vengono identificate attraverso signature simili a quelle usate per i malware” spiega Florian. “In questo modo è possibile bloccare l’exploit nella shared memory anche nel caso in cui il software non sia stato aggiornato”.
L’adozione di questa tecnica offre numerosi vantaggi. Prima di tutto consente di implementare tempestivamente la protezione per le nuove vulnerabilità.
Spesso la signature per il sistema di virutal patching è disponibile prima degli aggiornamenti rilasciati dal produttore del software” continua Florian. “Per gli amministratori IT, però, il vero vantaggio è che il suo utilizzo non richiede alcun intervento sul sistema”.
Per evitare eventuali conflitti con funzioni o strumenti integrati nel database, esiste anche la possibilità di applicare il virtual patching in log. In questo modo è possibile evitare eventuali blocchi di applicazioni legittime che utilizzano funzioni simili a quelle di un exploit.
“L’uso in log consente di verificare quale sia l’effettivo impatto della patch, che applicata in questo modo non modifica nulla nel database. L’agent, inoltre, non è installato a livello di kernel, ma è un semplice daemon che può essere attivato senza fermare o riavviare il sistema” conclude Florian.
Basta quindi applicare il virtual patching? Secondo Paolo Florian questo è solo uno degli aspetti relativi alla sicurezza dei database.
“Uno degli aspetti più importanti, al di là delle vulnerabilità, è la gestione delle policy di accesso per gli utenti. Una gestione attenta permette di individuare immediatamente eventuali attività anomale, bloccando così i tentativi di intrusione”.
“L’ideale è mettere in campo un sistema di monitoraggio basato su alert che permetta di sapere in tempo reale chi sta facendo cosa. Quando viene portato un attacco, per esempio, uno dei comportamenti tipici è quello di avviare delle query per esplorare il contenuto del database. Un comportamento simile, per esempio, dovrebbe essere etichettato immediatamente come sospetto”.
Condividi l'articolo
Sony chiude le backdoor nelle sue telecamere CCTV
Il ransowmare Shade sfida Europol ed esperti di sicurezza
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
