Sono molte le aziende che negli anni passati hanno fatto investimenti per aumentare la sicurezza infrastrutturale, attraverso protezioni perimetrali della rete e controllo degli accessi utente alle applicazioni e ai dati. Protezioni che fanno fatica a tener testa al crescente numero di applicazioni che scambiano dati da remoto, così come ai nuovi scenari di rischio dove agli attacchi del cybercrime si sono aggiunte le minacce della cyberwar nel contesto della crescente tensione internazionale.
Il rischio cybercrime e la vulnerabilità delle applicazioni
La digitalizzazione dei processi aziendali ha cambiato le modalità con cui oggi si realizzano le interazioni tra le realtà di filiera, i clienti e i dipendenti. In pochi anni è cambiato il modo di fare business: l’utilizzo di connessioni remote e il telelavoro hanno trovato collocazione stabile nella produttività aziendale. Mobilità dei dati ed esposizione dei servizi via Web o app hanno aumentato le superfici d’attacco per il cybercrime, condizione che vede molte applicazioni in uso non abbastanza protette rispetto alle condizioni attuali d’impiego e a rischio di diventare bersaglio o veicolo per un attacco informatico.
Secondo l’ultimo State of Software Security report di Veracode ben il 76% delle applicazioni contiene vulnerabilità, nel 24% dei casi classificate ad alta gravità. Da dove arrivano? “La maggior parte è frutto di una cattiva scrittura del codice – spiega Paolo Restagno, Vice President per l’Europa di Veracode – determinata dalla scarsa competenza e cura degli sviluppatori nella costruzione di codice sicuro”. Questo vale sia per il codice scritto occasionalmente per app o siti Web (per esempio, a supporto di iniziative temporanee di marketing) sia per le applicazioni commerciali a cui vengono affidati processi e dati critici.
“Le vulnerabilità sono presenti nel codice scritto con ogni linguaggio e con ogni framework di sviluppo e nelle librerie Open Source utilizzate – continua Restagno – sia nelle applicazioni client-server sia in quelle più moderne per cloud. Quanto più le applicazioni gestiscono transazioni e contengono informazioni di business, tanto più diventano un bersaglio interessante per il cybercrime. E una qualsiasi falla presente nel software o nelle interconnessioni tra sistemi diversi può dare all’attaccante una via d’accesso ai sistemi di back-end ed ai dati aziendali sensibili”.
Il problema delle applicazioni sviluppate senza pensare alla sicurezza
Per troppo tempo gli sviluppatori hanno avuto mandati di lavoro basati su requisiti funzionali, operativi e temporali, ma non di sicurezza. “Fatto salvo le realtà di sviluppo più strutturate, la sicurezza non è mai stata una competenza di chi fa sviluppo” spiega Stefano Taino, CEO di Cryptonet Labs. “Un problema (la sicurezza, ndr) di cui occuparsi all’ultimo momento, con qualche test prima del rilascio, sotto la pressione dei committenti e delle penali in caso di ritardo”.
Molte vulnerabilità applicative dipendono dai bug presenti nelle librerie open source utilizzate dalla gran parte del software. “Benché vengano continuamente segnalate le vulnerabilità delle librerie e realizzati gli aggiornamenti, soltanto una piccola percentuale di sviluppatori è nelle condizioni di chiudere le falle in tempo utile (solo il 17% entro un’ora e il 25% entro una settimana, secondo lo State of Software Security, ndr)”.
Questo insieme di situazioni è causa delle vulnerabilità, quindi dell’esposizione a exploit malevoli capaci di causare perdite di business, di segreti aziendali e pesanti sanzioni economiche in caso di violazione delle normative GDPR sulla protezione dei dati personali. Le perdite di dati che nel passato potevano essere nascoste o gestite in ambito privato, sono oggi pubbliche, unendo al danno economico le responsabilità verso terzi e le perdite di credibilità aziendale.
Come rendere più sicure le applicazioni aziendali
Per rendere sicure le applicazioni serve strategia, capacità d’analisi dei rischi e impegno nell’applicare rimedi efficaci, a cominciare dai software che gestiscono le transazioni e i dati più critici. “Serve adottare un approccio programmatico per rendere il perimetro digitale aziendale più sicuro e controllato” spiega Restagno. “Board aziendale, CEO e CISO devono avere visibilità della postura aziendale su rischi cyber per poter decidere quanto rischio poter sopportare. Un aspetto non banale dal momento che molte aziende non conoscono affatto il livello di rischio associato con le applicazioni che hanno in produzione”.
La conoscenza del rischio aiuta ad affrontarne la mitigazione, sia pure senza poter contare su soluzioni facili. “Per mitigare i rischi serve migliorare il processo di sviluppo” spiega Taino. “Serve annegare i test di sicurezza all’interno del ciclo, disporre degli strumenti per automatizzare l’analisi delle singole componenti del codice e la solidità delle librerie open source utilizzate”. La sicurezza delle applicazioni non si ottiene affidandosi a patch o test di sicurezza manuali, ma disponendo dell’automazione e di controlli integrati nei cicli di sviluppo.
“Serve inoltre imporre il rispetto delle best practice di programmazione nel momento in cui lo sviluppatore scrive il codice” precisa Restagno. “In questo modo si riducono i costi e i tempi per rimediare ai problemi che si spenderebbero nelle fasi successive di sviluppo e pre-produzione”. Un risultato a cui concorre la formazione degli sviluppatori. “Chi scrive codice deve sapere come evitare il cross-site scripting o perché non deve mai mettere password all’interno del codice” continua Restagno. “È importante poter contare su strumenti di analisi e correzione contestuale che operano durante la scrittura del codice”.
Tecnologia e servizi per la sicurezza applicativa
Per realizzare rapidamente il cambiamento e portare sicurezza “by design” nello sviluppo delle applicazioni servono esperienza e strumenti appropriati. “Come Cryptonet Labs eroghiamo ai clienti la consulenza utile per introdurre l’automazione e la sicurezza nello sviluppo applicativo, occupandoci delle roadmap, di costruire ciò che manca e occupandoci della formazione dei team di sviluppatori”, spiega Taino, precisando come la sfida più difficile sia nel ridisegno dei processi di sviluppo del software. Cryptonet Labs ha esperienza sia nei progetti tattici di retrofitting, per portare la sicurezza laddove c’è un ampio portafoglio applicativo ma mancano le skill, sia in quelli più strategici dove l’obiettivo è integrare i processi di sviluppo, security e operation nella logica di DevSecOps.
Per le implementazioni, Cryptonet Labs si avvale delle metodologie di software assurance maturity model di OWASP Foundation (OSWAP SAMM) che assicurano cambiamenti graduali negli ambiti di business coinvolti. Sul fronte del supporto tecnologico, Cryptonet Labs si avvale della piattaforma Veracode per la gestione dei test di sicurezza applicativa e la formazione degli sviluppatori. Basata su cloud, la piattaforma Veracode dà supporto alle differenti attività di analisi statica e dinamica su codice applicativo e librerie, oltre a disporre dei servizi che aiutano i team di sviluppo a fare un lavoro migliore secondo le best practice di sviluppo sicuro. Veracode mette inoltre a disposizione dell’azienda gli strumenti per una gestione efficace del rischio, attraverso funzioni specifiche di reporting e di analisi delle compliance.
