Le applicazioni Wed di tipo enterprise sono una grossa risorsa per le aziende che cercano di accelerare il loro percorso verso l’innovazione digitale. Ma attenzione.
Gli esperti della sicurezza segnalano che un numero crescente di imprese sono a rischio, incorporando componenti software predefiniti e riutilizzabili, spesso provenienti da sviluppatori open-source. Gli analisti, infatti, hanno rivelato che questo tipo di componenti spesso espongono le imprese ad attacchi informatici che impattano pesantemente sull’operatività aziendale: violazioni dei dati, iniezioni di malware e denial of service (DoS).
Web application, una risorsa per le imprese ma un grattacapo per la security
Secondo gli esperti, entro il 2015 il 95% di tutte le organizzazioni IT utilizzerà un qualche elemento di software open-source nei propri sistemi IT mission-critical.
Un rapporto del Financial Services Information Sharing and Analysis Center (FS-ISAC) conferma come la maggior parte del software interno sviluppato dalle società di servizi finanziari prevede l’utilizzo di componenti open-source.
Un dato particolarmente preoccupante, soprattutto se si considera la recente scoperta delle vulnerabilità associate ai software open-source, come Heartbleed, Shellshock e Poodle. Il problema è che la maggior parte dei componenti di terze parti e open-source non subiscono lo stesso livello di controllo di sicurezza come avviene con i software che hanno uno sviluppo personalizzato. Gli analisti di Veracode negli ultimi due mesi, hanno analizzato 5.300 applicazioni web di tipo enterprise identificando ben 24 vulnerabilità.
Il supporto della supply chain del software
Per affrontare questo rischio nella supply chain del software, alcuni gruppi industriali come la OWASP, PCI e FS-ISAC hanno iniziato a richiedere politiche e controlli precisi per disciplinare l’uso di questo tipo di componenti.
Tuttavia, può essere difficile per le imprese internazionali e che hanno repository di codice multipli riuscire a individuare tutte le applicazioni in cui viene utilizzato un componente a rischio.
Il che riporta la questione al tema iniziale, ovvero che ci sono innumerevoli applicazioni web enterprise e mobile a rischio, soprattutto una volta che una vulnerabilità viene rilasciata pubblicamente.
“Il numero di vulnerabilità per ogni applicazione che abbiamo scoperto è sorprendente – ha sottolineato Phil Neray, vice-presidente della divisione Strategia di Sicurezza Aziendale di VeraCode – , ciò che è veramente allarmante è che siamo arrivati a identificare una media di otto vulnerabilità classificate come “ad alto rischio” scatenate da componenti open-source o di terze parti. I dati che abbiamo raccolto rilevano che quasi tutte le applicazioni hanno almeno una vulnerabilità critica, causata da componenti riutilizzabili. È un’informazione comunque preziosa, perché ci indica come possiamo ridurre significativamente il rischio aziendale attraverso la verifica continuativa dei portafogli applicativi dei clienti, finalizzata a intercettare la presenza di componenti a rischio “.
A questo proposito esistono anche servizi dedicati, come quello che ha istruito VeracCde, che in modo dedicato e in maniera automatica, aiutano le aziende a identificare le applicazioni che integrano componenti vulnerabili, determinando dove queste vengano utilizzate dai vari team di sviluppo, outsourcer inclusi.