Nonostante la libreria Java Apache log4j sia sconosciuta al grande pubblico, la notizia della sua vulnerabilità ha suscitato molto clamore e sta avendo un impatto enorme sulla sicurezza di aziende di ogni dimensione, perché questo piccolo componente viene utilizzato da migliaia di software, installati su sistemi di ogni tipo: dai server web alle applicazioni desktop; dai servizi cloud agli apparati di rete, dai più sofisticati ai dispositivi alle webcam da poche decine di euro.

Questo piccolo software, principalmente usato dagli sviluppatori per il debugging delle applicazioni e quindi spesso sconosciuto anche a clienti e utenti delle applicazioni, permette a un attaccante di prendere il controllo del sistema su cui gira e installare ogni tipo di malware: tool per l’accesso remoto, ransomware, criptominer… Nei primi giorni dopo la sua scoperta, sono stati condotti milioni di attacchi alle aziende, spesso in modo automatizzato e casuale.

Un aspetto positivo della vicenda legata a Log4Shell, se proprio vogliamo trovarlo, è che è stata così clamorosa che molte aziende hanno reagito immediatamente, spesso impiegando giorni e giorni anche solo per avere un’idea chiara dei software e dei sistemi interni vulnerabili, per poi applicare le patch disponibili a mano a mano che venivano rilasciate.

Patch delle vulnerabilità: un lavoro immane

Ma per quanti altri software aziendali esistono vulnerabilità, note o ancora sconosciute al pubblico, pronte per essere sfruttate dai criminali? Nel 2021, il National Institute of Standards and Technology statunitense ha aggiunto al suo database ben 18.378 nuove vulnerabilità, di cui 3.646 ad alto rischio. Sono circa 50 al giorno: una mole di lavoro difficilmente sostenibile dalle aziende più piccole.

La cosa si complica quando parliamo di software e sistemi in uso da molto tempo, realizzati magari da dipendenti o fornitori che hanno terminato la loro collaborazione e ospitati su servizi cloud o hosting esterni. Anche quando una vulnerabilità è nota e la patch disponibile, spesso un’applicazione immediata non è possibile, perché gli aggiornamenti dei software potrebbero portare a incompatibilità con altre applicazioni da cui sono dipendenti, o possono influire negativamente sulle prestazioni.

Che fare, quindi?

Web Application Firewall: una difesa ormai indispensabile

Per difendersi efficacemente dai rischi indotti dalle vulnerabilità dei software web, le PMI possono ricorrere a un servizio di Web Application Firewall in modalità gestita. Diversamente da un firewall di rete che agisce impedendo le connessioni che non corrispondono a regole prestabilite, o che comunque rappresentano una minaccia, un Web Application Firewall (WAF) agisce a livello di applicazione, analizzando singole richieste http per bloccare utilizzi scorretti o rischiosi. Grazie alla funzionalità di virtual patching (o vulnerability shielding), un WAF può fermare attacchi indirizzati a software vulnerabili per i quali non è ancora stato possibile applicare patch di aggiornamento. O per quelle per le quali l’aggiornamento non esiste proprio, le cosiddette vulnerabilità 0day.

Facciamo un esempio. L’attacco a Log4j avviene inserendo nel campo di un form web – dal modulo di iscrizione alla newsletter alla casella di ricerca – una stringa di testo alterata in modo da provocare l’esecuzione di un comando arbitrario sul server, come quello per scaricare ed eseguire un malware. Fino a che la patch non è stata applicata, l’unica linea di difesa è rendere inaccessibili o non utilizzabili tutti i moduli del sito web. Con un WAF, è invece possibile impostare una regola che filtri le richieste malevole, vanificando l’attacco, anche se il server non è ancora stato aggiornato. Il tutto, senza peggiorare le prestazioni o modificare la funzionalità del sito. Un WAF può proteggere applicazioni web ma anche API e web services.

Seeweb offre per tutti i suoi server la funzionalità di Web Application Firewall in modalità gestita (non è richiesta alcuna configurazione da parte del cliente) al costo di 40 euro al mese. Un singolo abbonamento può proteggere più siti e applicazioni presenti sullo stesso server, se utilizzano la stessa tecnologia o CMS, e in caso di infrastrutture complesse e siti ad alto traffico è possibile trovare con gli esperti Seeweb una configurazione che coniughi prestazioni e risparmio.

Applicazioni web: l’importanza del supporto

Come dicevamo, il servizio di Web Application Firewall è offerto in modalità gestita, che oltre a sgravare lo staff IT da lavori ripetitivi ma ad alta specializzazione, garantisce anche una copertura oraria a ciclo continuo, e che può essere attivata anche per esigenze di tipo diverso. Con la sua struttura di supporto attiva 24 ore su 24, Seeweb assiste i clienti qualora incontrassero problemi tecnici sui siti web. Già dal livello di supporto Basic, Seeweb si fa carico di monitorare l’attività dei server, applicare la protezione da attacchi DoS, fare una prima diagnosi degli attacchi informatici e applicare patch e aggiornamenti di sicurezza. Con il livello Proactive, si aggiunge il monitoraggio proattivo di server, di infrastrutture complesse e delle prestazioni dei siti e delle applicazioni e il presidio operativo in caso di eventi straordinari.

“Con Supporto Proactive garantiamo un monitoraggio continuo e costante nel tempo dell’architettura allo scopo di prevenire disservizi. Per esempio, è possibile correlare le prestazioni di un sito ai rilasci software, monitorando i tempi di risposta e verificandone l’impatto sull’infrastruttura: il rilascio ha migliorato, peggiorato o mantenuto costanti le prestazioni?”, afferma Chiara Grande, Marketing Manager di Seeweb.