Veracode, realtà specializzata nella gestione del rischio applicativo, ha lanciato la 15° edizione del suo report State of Software Security (SoSS). Lo studio, basato su rivelazioni condotte su 1,3 milioni di applicazioni uniche e con 126,4 milioni di risultati preliminari, mette in luce le principali tendenze e offre una nuova visione sul livello di maturità della sicurezza del software con l’obiettivo di migliorare la gestione complessiva del rischio applicativo.
La ricerca rivela un preoccupante aumento del tempo medio necessario per risolvere le falle di sicurezza, passato da 171 giorni a 252 giorni negli ultimi cinque anni, con un aumento addirittura del 327% rispetto ai dati del primo report di 15 anni fa. Inoltre, il 50% delle aziende presenta un debito di sicurezza critico, definito come un accumulo di vulnerabilità non risolte da più di un anno. La maggior parte di queste falle proviene da codice di terze parti e dalla supply chain del software. Un debito di sicurezza non risolto espone le aziende ad attacchi informatici, con conseguenti danni reputazionali, finanziari e operativi.
Percentuale del debito di sicurezza tra le organizzazioni
“La superficie di attacco è diventata sempre più articolata, in particolare negli ultimi due anni con l’esplosione dell’AI engineering. Già il report dell’anno scorso aveva rilevato come il 46% delle organizzazioni avesse debiti di sicurezza di alta gravità: se l’aumento annuale può sembrare marginale, è certo che la direzione generale intrapresa è quella sbagliata”, dichiara Chris Wysopal, Chief Security Evangelist di Veracode. “Il nostro studio fornisce solide prove del fatto che le aziende possono essere in grado di risolvere il loro debito di sicurezza, ma hanno bisogno di supporto per definire le priorità delle loro iniziative”.
Valutazione delle prestazioni di sicurezza
La ricerca di Veracode ha analizzato anche la distribuzione del debito di sicurezza all’interno delle organizzazioni. Se da una parte c’è chi non ha quasi debiti e dall’altra chi invece registra valori molto elevati, la maggior parte si colloca in una via di mezzo, con un mix di applicazioni senza debiti e con debiti.
Distribuzione del debito di sicurezza tra le applicazioni in 20 organizzazioni prese a titolo di esempio
“Il divario tra il 25% superiore e il 25% inferiore delle organizzazioni è particolarmente interessante”, ha affermato Chris Wysopal. “I risultati sottolineano la necessità di capire quali fattori siano alla base delle marcate differenze nel modo in cui le aziende gestiscono il debito di sicurezza e cosa possano fare i team per affrontarlo”.
Risanare il debito di sicurezza calcolando il livello di maturità della sicurezza
La ricerca di Veracode mette in evidenza cinque metriche chiave che indicano il livello di maturità della sicurezza e possono prevedere la capacità di un’azienda di ridurre sistematicamente il rischio: ricorrenza delle vulnerabilità, capacità di correzione, velocità di correzione, diffusione del debito di sicurezza e debito open-source. Il report spiega il ruolo di ogni singola metrica rivelando i parametri che determinano se un’organizzazione è leader o invece si sta muovendo in ritardo.
- Ricorrenza delle vulnerabilità: le aziende leader presentano falle in meno del 43% delle applicazioni, mentre quelle “in ritardo” superano l’86%.
- Capacità di correzione: ogni mese i leader risolvono oltre il 10% delle falle presenti, mentre quelle “in ritardo” ne risolvono meno dell’1%.
- Velocità di correzione: i “leader” del settore correggono la metà delle vulnerabilità in cinque settimane, mentre le organizzazioni “in ritardo” ci mettono più di un anno.
- Diffusione del debito di sicurezza: meno del 17% delle applicazioni nelle aziende “leader” presenta un debito di sicurezza, rispetto a più del 67% di quelle “in ritardo”.
- Debito open-source: le organizzazioni “leader” hanno un debito critico open-source inferiore al 15%, mentre in quelle “in ritardo” il 100% del debito critico è di origine open-source.
“La ricerca offre uno scenario interessante per le aziende che vogliono valutare la propria maturità in materia di sicurezza. In questo modo è possibile comprendere i fattori specifici che contribuiscono al debito di sicurezza, valutare l’importanza di ciascuna metrica e confrontare le proprie prestazioni con quelle di organizzazioni simili”, ha commentato Chris Wysopal. “Offriamo poi indicazioni approfondite da parte dei nostri esperti e di aziende leader su come migliorare questo aspetto.”
Le regolamentazioni informatiche promuovono comportamenti virtuosi, incrementando la sicurezza delle applicazioni
La ricerca di Veracode ha rilevato che il tasso di applicazioni che superano la Top 10 dell’Open Worldwide Application Security Project (OWASP) è aumentato del 63% negli ultimi cinque anni ed è più che raddoppiato in 15 anni. Le nuove normative sulla cybersecurity dello scorso anno, come la sentenza della Securities and Exchange Commission (SEC) degli Stati Uniti e il Cyber Resilience Act dell’Unione Europea, hanno contribuito a questa tendenza, in quanto i fornitori di software adottano un approccio più disciplinato alla gestione del rischio.
Una nuova prospettiva sul livello di maturità della sicurezza
La nuova visione di Veracode sulla maturità della sicurezza del software sottolinea la necessità per le aziende di adottare un approccio strategico e orientato al contesto per gestire i rischi più urgenti e potenzialmente vulnerabili. Il report raccomanda alle aziende due aree chiave su cui concentrarsi. In primo luogo, devono migliorare la visibilità e l’integrazione nell’intero ciclo di vita dello sviluppo del software, utilizzando automazione e cicli di feedback per prevenire nuove falle di sicurezza. In secondo luogo, devono dare priorità alla correlazione e alla contestualizzazione dei risultati sulla sicurezza in una visione unificata, che consenta loro di affrontare in modo efficiente il backlog della sicurezza e di ridurre i rischi più elevati con il minimo sforzo.
“Strumenti come l’Application Security Posture Management consentono ai professionisti della sicurezza e ai team di sviluppo di stabilire le priorità e prendere decisioni informate, individuando ciò che è vulnerabile, facilmente accessibile e più urgente”, ha concluso Chris Wysopal.
Se le aziende si muovono all’interno di un panorama di minacce sempre più articolato, dare priorità alla maturità della sicurezza è essenziale. La ricerca di Veracode fornisce una roadmap per le aziende al fine di effettuare analisi comparative e migliorare la loro posizione di sicurezza. Affrontando il debito di sicurezza e utilizzando gli strumenti e le best practice, è possibile per loro migliorare la resilienza, ridurre il rischio e rispettare le normative di cybersecurity in costante evoluzione.
