Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Sviluppo: quanto sono sicure le applicazioni aziendali?

pittogramma Zerouno

Technology HowTo

Sviluppo: quanto sono sicure le applicazioni aziendali?

06 Apr 2018

di Piero Todorovich

Il software sviluppato in tempi sempre più stretti e con scarsa attenzione alla sicurezza sta diventando il bersaglio d’elezione del cybercrime e una fonte di pericolo per le aziende. Un’indagine di Forrester fa il punto sui rischi nei diversi settori d’industria e sulle possibili soluzioni

Voiced by Amazon Polly

Nell’anno passato, le applicazioni aziendali si sono rivelate un facile bersaglio per il cybercrime, finendo in cima all’elenco degli obiettivi per attacchi provenienti dall’esterno. Secondo l’ultima indagine di Forrester sullo stato della sicurezza delle applicazioni, The State of application security 2018, questo è una diretta conseguenza della priorità che gli sviluppatori danno alla velocità di rilascio, anziché alla robustezza del software. Un problema che si aggiunge all’impossibilità di disporre di un numero sufficiente di professionisti da dedicare ai processi manuali di revisione della security applicativa. Ma ci sono modi per conciliare la velocità dei rilasci con la sicurezza, principalmente basati sull’automazione dei test e integrazione dei processi: per cambiare le cose occorre in ogni caso avere consapevolezza dei pericoli e scegliere le soluzioni più adatte in funzione del settore d’industria e dell’esposizione al rischio. Di seguito riportiamo le valutazioni degli analisti di Forrester sull’argomento.

La vulnerabilità delle applicazioni, bersaglio del crimine

Tecnologie come IoT, virtual assistant al pari delle più comuni applicazioni mobili e Web stanno cambiando il modo con cui le aziende migliorano la customer experience e puntano a fare nuovo business. La moltiplicazione dei canali digitali di contatto con i clienti presta però il fianco alle vulnerabilità software, con conseguenze relative a perdita o contaminazione dei dati che, oltre a un danno diretto, implicano per l’azienda responsabilità ben precise in base alle varie normative per la protezione della privacy.

Un sondaggio di Forrester (effettuato su 404 professionisti di network security le cui aziende hanno subìto attacchi esterni negli ultimi 12 mesi nei seguenti paesi: Australia, Brasile, Canada,Cina, Francia, Germania, India, Nuova Zelanda, UK e USA) pone tra i bersagli principali le vulnerabilità software e le applicazioni Web, queste ultime vulnerabili ad attacchi ben conosciuti come SQL injection e cross site scripting (figura 1).

come proteggere le applicazioni aziendali - attacchi esterni
Figura 1 – Il software e le app sono obiettivi prioritari in caso di violazioni riusciteFonte: Forrester 2018

La pressione sui team di sviluppo per creare in poco tempo applicazioni facili e attrattive per gli utenti non aiuta certo il miglioramento della sicurezza del software. Altro aspetto rilevante è che tra le imprese che hanno subìto attacchi, le piccole (42%) non stanno peggio delle grandi (41%) che certamente investono molto di più nella sicurezza, ma sono anche più bersagliate rispetto a quelle di medie dimensioni (30%). Gli attacchi andati a segno hanno creato danni di business, in qualche caso sono stati persino causa di fallimento.

Come proteggere le applicazioni con l’automazione

La dipendenza del business dal software e le crescenti minacce stanno positivamente sollecitando l’attenzione verso i rischi di sicurezza associati alle applicazioni. La violazione di cui è stata vittima l’americana Equifax nel 2017 è rilevante non solo per i 143 milioni di consumatori colpiti e la natura sensibile dei dati sottratti, ma anche perché ha mostrato i rischi associati con l’impiego del software open source che, se da una parte consente di realizzare più rapidamente i servizi richiesti dai clienti, dall’altra richiede certamente più attenzione soprattutto se si tratta di versioni che arrivano direttamente dalla community.

Secondo gli analisti Forrester, chi si occupa di sicurezza deve essere conscio del fatto che vanno sempre più accorciandosi i tempi che intercorrono tra la scoperta delle vulnerabilità e l’apparizione degli exploit: le stesse fonti ufficiali di pubblicazione delle vulnerabilità che aiutano i professionisti a tutelare i sistemi sono sfruttate dalla malavita per creare exploit.

Le vulnerabilità identificate nelle componenti open source e pubblicate sul National Vulnerability Database hanno conosciuto dal 2015 ad oggi una continua crescita: chi impiega software open source deve assumersi la responsabilità di effettuare gli scan di vulnerabilità pre-rilascio e gestire i frequenti aggiornamenti. È dunque necessario dotarsi di tool che automatizzino le operazioni manuali, velocizzando le scansioni di sicurezza e l’applicazione di protezioni.

L’indagine di Forrester rileva grandi differenze nell’adozione degli strumenti di security nei diversi settori aziendali.

Nell’ambito pubblico e dell’assistenza sanitaria si trova oggi la maggiore arretratezza; benché gli investimenti siano in crescita rispetto al passato i livelli d’implementazione di Web application firewall (WAF), runtime application self-protection (RASP) e di contrasto ai bot sono inferiori alla media, a dispetto dell’attivazione in molti ospedali dei servizi di portale con cui i pazienti possono scaricare o discutere con i medici i dati sanitari (servizio che richiederebbe proprio un’attenzione estrema al rischio di intromissione nei sistemi).

Decisamente migliore la situazione di utility e compagnie di telecomunicazioni che risultano in testa per l’adozione di WAF e RASP: il 64% degli intervistati ha già implementato WAF e il 28% ha intenzione di adottare RASP. Le utility e le telecomunicazioni sono più avanti delle altre imprese anche nei piani di adozione di strumenti di static code analisys (SCA) e interactive application security testing (IAST).

Le aziende retail si stanno preparando a contrastare bot e attacchi di distributed denial-of-service (DDoS) su larga scala del tipo causato dal malware Mirai. In questo settore, i bot possono danneggiare la gestione delle merci e la fiducia dei clienti: il 37% degli intervistati nel retail ha implementato sistemi per la gestione dei bot, un altro 30% lo sta pianificando. Le aziende del settore finanziario sono invece più avanti delle altre nell’implementazione del RASP. Le società di servizi finanziari sono quelle che più di altre intendono incrementare i penetration test: 25% contro la media del 20%; i requisiti specifici del settore e le regolamentazioni costituiscono il motivo di questo interesse.

L’integrazione migliora la sicurezza delle applicazioni

Secondo l’opinione degli analisti di Forrester, solo con l’incorporazione dei tool di SCA o di static application security testing (SAST) negli strumenti e nei processi di sviluppo (al pari degli altri controlli per la qualità del software) si avrà un evidente miglioramento della sicurezza delle applicazioni. L’integrazione nel ciclo di rilascio del software è ancora oggi un esercizio ‘fai-da-te’ che comporta supporti incoerenti.

L’impegno per la sicurezza non è rapportato agli sforzi per migliorare lo sviluppo, un problema che ci accompagnerà a lungo se i team della sicurezza e i fornitori non prenderanno provvedimenti. Tra questi, Forrester individua la creazione di strumenti di sviluppo interattivi capaci d’integrazione nativa con la security.

Nella Forrester Wave sugli strumenti di continuous integration (figura 2) si evidenzia che i prodotti che dimostrano le migliori capacità d’integrazione sono quelli che usano webhooks (metodi di callback che nell’applicazione eliminano la necessità di usare plug-in o integrazioni fai-da-te). Quando gli strumenti per la sicurezza del software sono agganciati a tool di continuous integration o di automazione, la scansione si attiva automaticamente al momento del check-in che precede il rilascio. Questo tipo d’integrazione evita ai responsabili della sicurezza e delle applicazioni di dover gestire complesse operazioni per ogni applicazione e ogni tool di scansione della security in base alle specifiche del progetto.

The Forrester Wave Continuous Integration Tools
The Forrester Wave Continuous Integration Tools, Q3 2017Fonte: Forrester 2017

Un altro aspetto importante è assicurarsi che i tool utilizzati supportino impostazioni coerenti delle policy. Ad oggi, alcune integrazioni tra scanner di sicurezza e strumenti di sviluppo si basano sui fattori di configurazione per avviare le scansioni, elaborare i risultati e intraprendere azioni quali il blocco del rilascio software. I requisiti potrebbero essere diversi a seconda che l’applicazione sia sviluppata internamente, da una terza parte o dove avviene la scansione. Per rendere il processo scalabile, i responsabili della sicurezza devono poter impostare le policy richieste all’interno degli strumenti di sicurezza, in modo che tempi e tipologie di scansioni risultino coerenti nelle diverse applicazioni, business unit come per ogni altra esigenza aziendale.

Piero Todorovich
Giornalista

Giornalista professionista dal 91, ha scoperto il Computer negli Anni 80 da studente e se n'è subito innamorato, scegliendo di fare della divulgazione delle tecnologie e dell'informatica la propria professione. Alla passione per la storia delle tecnologie affianca quella per i viaggi e la musica.

Argomenti trattati

Approfondimenti

D
Ddos
F
Firewall
M
Malware
Technology HowTo
Sviluppo: quanto sono sicure le applicazioni aziendali?

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4