Il report SANS Top-20 è storicamente una delle più importanti risorse nelle mani del professionista di sicurezza per apprendere l'evoluzione delle minacce dirette ai sistemi informatici. Deve il suo nome "Top-20" al fatto che quando è stato stilato nella sua seconda versione (nel 2001) comprendeva la lista delle 20 vulnerabilità considerate più critiche (la prima versione del 2000 aveva una lista di solo 10 vulnerabilità). Negli anni poi il report ha evoluto la sua struttura, con la suddivisione delle vulnerabilità più critiche (che nel tempo sono aumentate) in una serie di categorie: Client-side Vulnerabilities, Server-side Vulnerabilities, Security Policy & Personnel, Application Abuse, Network Devices, Zero Day Attacks.

Nella versione del report appena pubblicato per il 2007, "SANS Top-20 2007 Security Risks", la sintesi dell'analisi è molto chiara e desidero riportarvela nella versione originale (estratta dal relativo Executive Summary):

"The cyber arms race continues. Cyber criminals and cyber spies have shifted their focus again, successfully evading the countermeasures that most companies and government agencies have worked for years to put into place. Facing real improvements in system and network security, the attackers now have two new prime targets that allow them to evade firewalls, antivirus, and even intrusion prevention tools: users who are easily misled and custom-built applications. This is a major shift from prior years when attackers limited most of their targets to flaws in commonly used software"

In questa sintesi e nel report di dettaglio ci sono molte conferme alle diverse considerazioni che ho già avuto modo di condividere, sia quando ho parlato dei principi di Security Governance, che del recente Microsoft Security Intelligence Report v3:

  • I reali miglioramenti dei sistemi operativi ("Operating systems have fewer vulnerabilities that can lead to massive Internet worms")e della sicurezza di rete, che portano chi attacca a cercare nuovi punti deboli, ora identificati nella:
    • poca robustezza della sicurezza applicativa del software realizzato in casa, e l'urgenza di un processo come il SDL: "Until colleges that teach programmers and companies that employ programmers ensure that developers learn secure coding, and until those employers ensure that they work in an effective secure development life cycle, we will continue to see major vulnerabilities in nearly half of all Web applications."
    • Debolezza degli utenti nei confronti degli attacchi di social engineering, anche in virtù dell' aumento di attacchi verso il client: "Today it is equally important, perhaps even more important, to prevent users having their computers compromised via malicious web pages or other client-targeting attacks"
  • Necessità di continuare a fare attività di hardening: "The default configurations for many operating systems and services continue to be weak and continue to include default passwords"
  • L'urgente attenzione verso la Data Protection: "it is now critical to check the nature of any data leaving an organization's boundary"

Gli altri spunti del report sono davvero tanti, e possono aiutare concretamente nell'analisi di rischio che ogni azienda dovrebbe realizzare in modo costante, quindi buona lettura!