
Sicurezza anticipata: la sicurezza è una componente di tutte le fasi dello sviluppo del
Pubblicato il 18 marzo 2021
Global venture group
Lo sviluppo e la gestione del software sono più agili e veloci che mai. La sicurezza non può essere garantita a posteriori, ma deve essere affidata anticipatamente agli sviluppatori, tenendo conto fin dall’inizio delle considerazioni sulla sicurezza in un modello DevSecOps.
Fattori trainanti
Spesso i tempi di commercializzazione hanno la priorità sulla sicurezza: gli sviluppatori si valutano in base alla velocità con cui possono creare codice, anziché sulla sicurezza di quest’ultimo, e i leader aziendali in base alla rapidità con cui riescono a immettere sul mercato nuovi prodotti e servizi. In mancanza di tempo per rimediare alle vulnerabilità del codice, si provvede alla sicurezza come se si trattasse di un extra, dopo aver completato lo sviluppo dell’applicazione: un approccio rischioso. Di conseguenza, il 42% delle aziende che hanno subito un attacco esterno attribuisce l’incidente a una falla di sicurezza del software e il 35% lo attribuisce a un’applicazione web difettosa.1 Nell’ambiente dinamico attuale delle micro-release e degli aggiornamenti quotidiani o settimanali del software, gli sviluppatori devono mantenere una mentalità orientata alla sicurezza e affidarsi ai controlli lungo tutta la durata del processo di codifica per non farsi sorprendere da eventuali problemi in materia di sicurezza. Ciò nonostante, la migrazione verso un paradigma di sicurezza affidato agli sviluppatori si è rivelata lenta: secondo Google, solo il 20% delle aziende è considerato “all’avanguardia” per quanto riguarda il DevOps.2 La “sicurezza anticipata” evidenzia l'esigenza per i team addetti alla sicurezza di collaborare con gli sviluppatori fin dall’inizio del ciclo di programmazione al fine di integrare la sicurezza delle informazioni e la relativa automazione. Idealmente, gli sviluppatori hanno il compito di provvedere durante la creazione di un prodotto o un servizio alla sua sicurezza, con strumenti che non rendono solo il codice più sicuro, ma codificano anche l’intento.
Impatto - Prima si gioca d’anticipo, più la sicurezza viene integrata profondamente nel processo di sviluppo delle applicazioni. Per conseguire questo obiettivo, i professionisti della sicurezza devono perfezionare le loro competenze in materia di programmazione e gli sviluppatori devono essere in grado di creare codice senza perdere di vista la sicurezza.
Soluzioni - Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST), Interactive Application Security Testing (IAST), Software Composition Analysis (SCA), ciclo di sviluppo sicuro, formazione in materia di sicurezza per sviluppatori, sicurezza dei container.
Prospettive:
- La prospettiva dell'anti-hacker - “La rapidità degli sviluppatori è un modo per misurare la velocità degli affari. Gli sviluppatori aggiungono continuamente funzionalità alle applicazioni e, se le aziende vogliono restare competitive, la sicurezza al giorno d’oggi deve muoversi alla velocità degli affari.” - Stephen Garcia, vicepresidente dell’area Cybersecurity, FanDuel
- La prospettiva di un hacker secondo Team8 - “La sicurezza anticipata crea vari problemi per un hacker. Man mano che il software diventa più solido, si riduce la possibilità che siano presenti vulnerabilità informatiche. Tuttavia, anche hacker sofisticati possono giocare d’anticipo inserendo codici “maligni” o backdoor, nelle prime fasi del ciclo di sviluppo prima o dopo che il codice sorgente sia stato compilato: ne è un esempio l’attacco al sistema di programmazione di Solar Winds. Invece di aspettare o scovare una vulnerabilità, gli hacker hanno modificato il sistema proprio come farebbe un programmatore e hanno creato loro stessi una vulnerabilità.”
Nel nostro prossimo articolo ci occuperemo della sicurezza intelligente.
Blog correlati
+ Un’introduzione alla sicurezza informatica, il megatrend del decennio in corso
+ La sicurezza degli oggetti: una gestione adeguata del boom di dispositivi connessi
+ Un mondo senza confini: le reti sono sempre meno legate ai luoghi fisici
1 https://www.forrester.com/report/The+State+Of+Application+Security+2020/-/E-RES159057
2 https://services.google.com/fh/files/misc/state-of-devops-2019.pdf
Categorie
Informazioni sull’autore

Global venture group
Team8 è un venture group internazionale che crea e investe in aziende che si occupano di cyber security, dati, intelligenza artificiale e fintech. Grazie all’enorme contributo di un team interno multi-disciplinare, integrato con una community dedicata di dirigenti senior e leader di pensiero, il modello di Team8 è ideato per individuare i grandi problemi, ideare soluzioni, accelerare il successo e influenzare tramite l’innovazione tecnologica. Il team di leader di Team8 include svariati imprenditori, pionieri del settore e l’ex dirigenza dell’Unità 8200, un reparto d’élite dell’intelligence israeliana specializzato nella guerra cibernetica.

