Una recente ondata di attacchi informatici contro i siti di commercio web Magento 1 sottolinea la criticità di avere una strategia in atto per proteggere la tecnologia che ha raggiunto la fine del ciclo di vita o non è più supportata dal suo fornitore.
Adobe ha annunciato a settembre 2018 che il supporto per Magento 1 sarebbe terminato a giugno 2020, dando alle organizzazioni un tempo adeguato per il trasferimento a Magento 2 o per prendere altri accordi per proteggere i loro siti di e-commerce. Ma quell'avvertimento non ha impedito a un tesoro di aziende di attenersi a Magento 1: circa 100.000 entità utilizzano ancora la piattaforma datata.
Lo stesso vale per Windows XP, che Microsoft ha eliminato nel 2014, ma è ancora utilizzato nel 30% dei PC in tutto il mondo, secondo Net Applications .
"Lo chiamo lo tsunami del passato", ha affermato Setu Kulkarni, vicepresidente della strategia e dello sviluppo aziendale di WhiteHat Security. “Il software, o il servizio software (cioè l'API) può raggiungere la fine della sua vita perché l'organizzazione non sta più investendo in esso. Ma ciò non significa che nessun cliente lo stia utilizzando ".
Riluttanza a muoversi
Questo non vuol dire che non ci siano buone ragioni per aggrapparsi alla tecnologia che ha raggiunto EOL o EOS.
"Le aziende spesso continuano a utilizzare un'applicazione dopo l'EOL quando i costi di aggiornamento e l'interruzione dell'attività sono percepiti come maggiori dei rischi derivanti dall'utilizzo del prodotto EOL", ha affermato Mark Moses, direttore del coinvolgimento dei clienti presso nVisium. Anche una sfida, ha aggiunto: soluzioni di nicchia che sono state pesantemente modificate o che hanno richiesto la realizzazione di dozzine di interfacce. Questo dovrebbe essere replicato con l'aggiornamento richiesto.
"Quando questi costi sono elevati, la soluzione miope è mantenere la soluzione del punto EOL così com'è", ha detto Moses.
In effetti, l'interconnessione di sistemi e software può indurre alcune aziende a dubitare quando si tratta di abbandonare la tecnologia che ha raggiunto EOL o EOS.
"Ogni componente software fa parte di una complessa catena di fornitura del software che supporta l'attività del cliente finale", ha affermato Kulkarni. "Quindi, mentre un [fornitore di software indipendente] può decidere di mettere in EOL un software o un'API e in tal modo fornire un motivo ragionevole, le ramificazioni di tale decisione sono molteplici per il cliente finale che deve riorganizzare la propria catena di fornitura del software . "
La produzione, le società elettriche e altre organizzazioni di infrastrutture critiche continueranno spesso a utilizzare la tecnologia ben oltre l'EOL o EOS perché si affidano alla tecnologia operativa per risorse costose che possono sopravvivere di gran lunga al software che viene eseguito su di esse. Allo stesso modo, le organizzazioni sanitarie possono avere un software EOL associato a dispositivi medici, come una macchina MRI molto costosa che ha altri tre anni di vita funzionale, ma esegue Windows XP.
"OT spesso esegue prodotti EOL molto obsoleti, ma sono costruiti per avere longevità, molto tempo dopo che il software ha raggiunto l'EOL", ha affermato Heath Renfrow, direttore e responsabile della sicurezza delle informazioni virtuali presso Crypsis Group. “È probabile che l'apparecchiatura OT non venga sostituita ogni volta che il software raggiunge l'EOL; può sembrare poco sensato dal punto di vista aziendale. "
E, in definitiva, questo è ciò che spesso si riduce a: una decisione aziendale che si adatta alla propensione al rischio di un'organizzazione, ha continuato Renfrow: fai un investimento molto considerevole in una nuova macchina per la risonanza magnetica o continui a utilizzare il tuo modello attuale, che ha incontrato EOL dal punto di vista del software ma per il resto è perfettamente funzionante? "Ci sono vantaggi e svantaggi finanziari su molte di queste decisioni, e per le organizzazioni che sono a corto di liquidità, può essere difficile valutare i costi e i benefici".
Ci sono anche altre considerazioni. Se, ad esempio, il prodotto di fine vita è più maturo rispetto a prodotti nuovi e meno testati, o se tutte le vulnerabilità note sono già state patchate, o se l'organizzazione dispone di adeguate conoscenze di mitigazione, "allora si potrebbe dire che il fine vita il prodotto è più una "cosa sicura" che dire, un prodotto più recente, in cui è probabile che nuove vulnerabilità vengano rivelate regolarmente in futuro ", ha affermato Kedgley.
Pesare il rischio
Indipendentemente dalla logica, ignorare gli avvisi di fine vita (EOL) o fine servizio (EOS) può lasciare gli utenti senza possibilità di ricorso.
"In primo luogo, c'è un problema quando si rimane indietro senza patch di sicurezza", ha detto Kedgley. "Le vulnerabilità che vengono scoperte dopo la fine del ciclo di vita non verranno mai risolte, con ogni hacker che sa dove si trovano gli obiettivi morbidi."
New Net ha "clienti bancari con risorse adeguate" che utilizzano ancora RHEL 5 e AIX per le app principali, nonché rivenditori che si affidano a EpoS su Windows 7 e XP.
Renfrow ha anche indicato la "lista molto lunga di difetti software scoperti nei prodotti ogni giorno", che non svaniscono una volta terminato il supporto. La differenza è che gli sviluppatori non forniranno necessariamente le patch. WannaCry, che ha esposto l'uso del software EOL Microsoft in tutto il mondo, è stata quella che Renfrow definisce un'eccezione: “Microsoft è andata ben oltre e ha fornito una patch per quelle versioni del software che erano EOL. Questo è un raro esempio di software EOL che riceve supporto. "
Le organizzazioni sacrificano anche le capacità tecnologiche rifiutandosi di trasferirsi. John Yun, vicepresidente marketing di AppOmni, confronta la sfida di un'organizzazione per prepararsi alla fine del ciclo di vita “con quella di prepararsi ad adottare nuove funzionalità e capacità.
La nuova tecnologia è dotata di "capacità di sicurezza nuove e migliori, senza le quali l'organizzazione non potrebbe assumere una posizione di leadership in materia di sicurezza", ha affermato. "Non sfruttare nuove funzionalità e capacità può avere conseguenze disastrose".
Sebbene le aziende possano essere ambivalenti riguardo alla loro tecnologia EOL, i criminali informatici non lo sono. Quando la tecnologia raggiunge la fine del ciclo di vita o il supporto, spesso i cattivi attori sono già pronti ad attaccare. L'ingegnere di ricerca del personale tenable Satnam Narang ha osservato lo scorso giugno che i criminali informatici che "hanno regolarmente preso di mira i siti Magento come parte degli attacchi Magecart , in cui iniettano codice dannoso nei siti al fine di rubare le informazioni della carta di pagamento dai clienti delle vittime" erano "probabilmente bit per sfruttare tutte le vulnerabilità nascoste in Magento 1. "
Quasi due mesi dopo che Narang pronunciò quelle parole, i ricercatori Sansec scoprirono una campagna Magecart automatizzata contro 2.000 negozi Magento che comprometteva le informazioni private di migliaia di clienti e potrebbe essere il più grande attacco del suo genere dal 2015.
Il punto? I criminali informatici stanno prestando attenzione agli incidenti EOL e EOS, quindi anche le aziende dovrebbero – e questo significa elaborare un piano per andare avanti.
Una strategia per proteggere le applicazioni o le API basate sul Web è valutarle dinamicamente in produzione e utilizzare i controlli di sicurezza per mitigare i rischi per la sicurezza su base continuativa, ha affermato Kulkarni, definendolo un approccio che non richiede investimenti significativi per lo sviluppo.
Justin Kezer, consulente di gestione presso nVisium, ha affermato che le aziende dovrebbero tenere traccia di tutte le loro risorse con le loro dipendenze. "Questo è il punto di partenza per essere in grado di pianificare ciò che deve essere sostituito o aggiornato e quando", ha detto. "Le aziende devono essere proattive con il loro SDLC, che include l'EOL."
Idealmente, dovrebbero "pianificare dovrebbe essere la migrazione alle piattaforme più recenti che sono sempre le più sicure e meglio supportate", ha affermato Kedgley. Se questa non è un'opzione, però, "allora possono guardare a ciò che un auditor chiama 'controlli compensativi … che servono a colmare le lacune nel sistema di fine vita". Ad esempio, la protezione avanzata della configurazione può ridurre al minimo la superficie di attacco e il software di rilevamento delle violazioni può almeno fornire avvisi se i sistemi sono stati compromessi.
Disporre di un solido sistema di gestione dei progetti per il ciclo di vita del software e dell'hardware è fondamentale "per evitare problemi di fine vita", ha affermato Renfrow. "Gli annunci EOL vengono normalmente forniti con largo anticipo, fornendo alle organizzazioni il tempo necessario per definire il budget e pianificare la transizione."
IT e sicurezza informatica, ha affermato Renfrow, "devono operare come qualsiasi altra unità aziendale dell'azienda, preparando budget lungimiranti e piani di gestione dei progetti per tali eventi". Se il budget è inferiore, le organizzazioni "devono misurare i rischi associati al mantenimento di una soluzione EOL e presentare tali rischi ai dirigenti senior in modo che possano determinare se i rischi sono accettabili".
E se i leader ritengono che i rischi siano inaccettabili? "Dedicare più budget alla partecipazione alle risorse EOL", ha detto Renfrow.
Il post Mentre la tecnologia raggiunge la fine della vita, gli hacker stanno guardando è apparso per la prima volta su SC Media .