Secondo gli esperti sarebbe Java il responsabile principale degli attacchi alla rete aziendale. Gli analisti di Sourcefire rilevano che il 91% di attacchi alla sicurezza sono collegati ai Java legati a Microsoft Office e Adobe Reader. Il software Adobe, in particolare, quest’anno è stato preso di mira dagli hacker, subendo tutta una serie di abusi.
Esiste dunque un problema con al sicurezza legata all’uso di Java. Dal punto di vista delle direttive, come devono comportarsi le aziende per garantire ai propri utenti la sicurezza necessaria, ad esempio quando c’è di messo l’HIPAA ((Health Insurance Portability and Accountability Act) o il PCI DSS? In questi casi è possibile gestire i Java script o quantomeno bloccarli?
Quali sono i rischi degli aggiornamenti di Java
Java, infatti, è un obiettivo primario per chi cerca di minare la sicurezza dei sistemi e delle reti aziendali. La piattaforma ha una lunga storia di vulnerabilità che ha dato vita a tutta una serie di aggiornamenti e alla nascita di numerosi centri di assistenza per la sicurezza delle informazioni in tutto il mondo. Chi conosce il problema sa che gli aggiornamenti di Java possono essere un incubo. Spesso un aggiornamento di Java è necessario, ma sussitse il rischio che sia proprio l’aggiornamento a mettere a rischio il funzionamento delle applicazioni più importanti, con un impatto su business continuity e servizio agli utenti.
Dal punto di vista di conformità, non esiste alcun requisito specifico che porti all’eliminazione di Java da un ambiente. La sfida, tuttavia, è che la maggior parte dei programmi di conformità richiedono l’applicazione di aggiornamenti alla sicurezza forniti dal produttore entro un lasso di tempo ragionevole. Di qui il dilemma del responsabile della sicurezza: utilizzare una versione a rischio di vulnerabilità e non conforme di Java oppure procedere con l’aggiornamento rischiando di compromettere il funzionamento di un’applicazione?
Ecco le alternative per gestire il problema
Eliminare Java dai propri ambienti operativi è un lusso che non si possono permettere in molti, pur essendo una scelta che evita molti grattacapi. Se non è possibile eliminare Java, l’alternativa è il controllo compensativo. Il PCI DSS, l’Ente responsabile degli standard di protezione PCI (fondato da American Express, Discover Financial Services, JCB International, MasterCard e Visa), ad esempio, per i casi in cui non si riesce a rispettare la norma e attuare un controllo di compensazione utilizza meccanismi di sicurezza supplementari. L’unica cosa è che serve produrre una documentazione che dimostra come il controllo compensativo sia sufficiente nel vostro ambiente.
Se invece l’aggiornamento di Java risulta impossibile, cercate di isolarlo. Virtualizzare l’applicazione Java o farla girare su una macchina blindata e con un’esposizione minima a Java è un compromesso che può funzionare. In alternativa, ci può essere un modo per rimuovere i dati dei titolari dei processi di business che richiedono Java, estraendo dall’applicazione il nominativo del titolare della carta. In ogni caso, prima di stabilire una strategia, investire in tecnologia e in progettazione è meglio sedersi attorno a un tavolo di lavoro ipotizzando diversi scenari.