La trasformazione digitale è oramai un processo che abbraccia aziende di qualsiasi dimensione e operanti nei più diversi mercati, ponendo loro sfide orientate sempre più a ridurre il time-to-market e a migliorare la user experience degli utenti. Tecnologie come IoT, virtual assistant e applicazioni mobili e Web, E-commerce, rappresentano strumenti attraverso i quali le imprese stanno cambiando completamente il loro modo di produrre, ragionare e realizzare progetti a sostegno del proprio business, un’evoluzione inarrestabile e necessaria, ma non priva di criticità da considerare e affrontare. Una di queste sono gli attacchi informatici. La creazione di uno stack di application security tool integrato nelle pipeline di sviluppo è senz’altro un criterio efficace per monitorare e controllare le eventuali vulnerabilità.
Indice degli argomenti
La necessità di un approccio security by design
Secondo Gartner, più dell’80% degli attacchi informatici che hanno successo avvengono a livello applicativo, a causa di un approccio in fase di sviluppo che spesso non considera l’integrazione di funzionalità di sicurezza per prevenire vulnerabilità che, se sfruttate da malintenzionati, possono determinare conseguenze relative a perdita o contaminazione dei dati. Ciò, oltre a un danno diretto, implica per l’azienda responsabilità ben precise, in base alle varie normative per la protezione della privacy.
I motivi per cui un approccio security by design strutturato è ancora spesso mancante nei team di sviluppo di soluzioni IoT, trova risposte in carenze generalizzate come: mancanza di budget dedicato, metodologie di esecuzione dei test, spesso svolti nella fase finale del collaudo, ma soprattutto la mancanza di una cultura della sicurezza e di vertical know-how all’interno degli stessi team di sviluppo in materia di sicurezza.
Lo scenario e i contesti inquadrati suggeriscono quindi quanto la tematica risulti altamente focale e determinante per tutte quelle aziende che puntano verso traguardi di crescita competitiva o a consolidare posizioni di mercato ad alto livello.
Per questi motivi, un nuovo necessario approccio olistico al ciclo di sviluppo del software punta alla definizione di un modus operandi che integri i test di sicurezza dall’inizio alla fine del processo per creare un ambiente dove prevenzione e remediation delle criticità diventano un tutt’uno con lo sviluppo software.
Procedere per step alla security in IoT
Un primo step importante per innescare un approccio convergente richiede che diversi team di un’organizzazione lavorino insieme in modo efficiente; si tratta di un processo congiunto che coinvolge coloro che si occupano di sicurezza e audit, di sviluppo del software, business e gestione esecutiva sempre più supportati dai sistemi infrastrutturali e tool tecnologici in grado di coadiuvare le politiche di sicurezza.
Inoltre, è necessario che tutto il ciclo di vita dell’applicazione sia seguito da specialisti IT che si occupino della gestione di tutte le fasi del progetto in modo da integrare, sviluppare, aggiungere e testare funzionalità di sicurezza all’interno delle applicazioni. In questo modo, i team di sicurezza possono identificare proattivamente i rischi potenziali e, allo stesso tempo, prevenire oltre a una certa percentuale di errore residuo con la rapida rimozione dei ‘difetti’, anche la perdita di dati, modifiche o accessi non autorizzati.
Uno stack di application security tool integrato per l’IoT
Consolidato l’approccio metodologico, non è pensabile proteggere le applicazioni attraverso una singola tecnologia, soprattutto nei contesti web, cloud, mobile e di digitalizzazione di servizi. Come già anticipato, la creazione di uno stack di application security tool integrato nelle pipeline di sviluppo è senz’altro un criterio efficace per monitorare e controllare le eventuali vulnerabilità nell’IoT; alcuni di questi implicano un’analisi statica, dinamica del codice e controlli in fase di runtime.
- Static application security testing (Sast): tool per esaminare il codice binario e il codice di programmazione delle applicazioni senza ‘mandare in esecuzione’ l’applicazione (ossia senza la necessità di farla girare sui sistemi nei processi di testing).
- Dynamic application security testing (Dast): sistemi che permettono di osservare in dettaglio come si comporta l’applicazione quando è in funzione per scovarne imperfezioni o vulnerabilità prima che si prosegua con lo step di sviluppo successivo.
- Test interattivi di Sicurezza (Interactive Application Security Testing – Iast)
- Runtime application security testing (Rasp) che consentono un’autoprotezione, identificando e bloccando gli attacchi in tempo reale. Si attiva quando viene attivata l’applicazione, si tratta di un sistema di sicurezza progettato per rilevare attacchi informatici in tempo reale, senza incidere sulle funzionalità dell’applicazione, è in grado quindi di rilevare tentativi di accesso illecito ai dati personali, altre minacce e anche guasti o incidenti tecnici.
La privacy by design nel GDPR
L’entrata in vigore del GDPR (Regolamento europeo per la protezione dei dati) ha accelerato l’approccio integrato nella fase di sviluppo dell’applicazione: il Regolamento UE 2016/679 relativo alla privacy e alla protezione dei dati personali, fra i vari adempimenti ribadisce e richiede alle organizzazioni di rispettare il principio della “privacy by design” o di “protezione dei dati fin dalla progettazione”.
Sotto la spinta del regolamento UE le organizzazioni che scelgono di esternalizzare la realizzazione di software richiedono ai loro fornitori adeguate garanzie sulla sicurezza degli applicativi come, ad esempio, quelle fornite dai controlli OWASP, che a tutti gli effetti rappresentano una best practice e uno standard di riferimento per la sicurezza degli ambienti web (siti, e-commerce, software web-based) e dei dispositivi IoT. Oltre a fornire un framework di riferimenti, OWASP ha redatto una lista dei Top 10 web application security risks in cui vengono identificati i dieci maggiori rischi di sicurezza per le Web Application (Injection, Broken authentication, Sensitive data exposure, XML External Entities (XXE), Broken Access control, Security misconfigurations, Cross Site Scripting (XSS), Insecure Deserialization, Using Components with known vulnerabilities, Insufficient logging and monitoring) fornendo una preziosa indicazione per assicurare che i progetti Web vengano realizzati minimizzando i rischi elencati.
Conclusioni
La strada per un approccio virtuoso è ancora lunga e se le pianificazioni dei team di sviluppo non includeranno sistematicamente, nelle priorità, la protezione delle applicazioni, sarà sempre più elevata la quantità di esposizioni a vulnerabilità e violazioni che in termini di impatto sulla reputazione del brand, affidabilità e fiducia dei consumatori possono mettere in seria difficoltà quelle aziende che possiedono un sito web o che utilizzano o producono servizi web a sostegno del proprio business.
Sfruttare metodologie di riferimento e tool specifici è già un modo per imboccare il cammino corretto verso la riduzione del rischio, così come è corretto abbandonare quel principio o quella cattiva abitudine di considerare la sicurezza delle app una scelta facoltativa o, nel peggiore degli scenari, non necessaria.
