Oggi, si sa, la rete è colma di minacce cyber e nessuno è mai al sicuro. Nonostante questa sia una verità assodata, le organizzazioni registrano un aumento del debito di sicurezza. Come si può rimediare? La risposta, ancora una volta si trova nella tecnologia, più precisamente nell’Intelligenza Artificiale.
Veracode, specialista mondiale nella gestione del rischio applicativo, ha presentato i risultati del proprio report annuale State of Software Security (SoSS) 2024 per l’area EMEA, che porta alla luce preoccupanti livelli di debito di sicurezza all’interno delle aziende di questa regione (Europa, Medio Oriente, Africa).
La ricerca ha rilevato che il 68% delle organizzazioni in EMEA presenta un qualche debito di sicurezza, mentre il 46% presenta falle persistenti ad alta gravità nel codice, classificate come debito di sicurezza “critico”. Quest’ultime rappresentano il rischio maggiore per le applicazioni e sono considerate come una bolla pronta a esplodere, con il rischio di violazioni catastrofiche.
Veracode State of Software Security EMEA Snapshot 2024: Diffusione del debito di sicurezza nell’area EMEA
In un mondo in cui ogni interazione applicativa può diventare un potenziale punto di ingresso per i cybercriminali, comprendere e gestire il debito di sicurezza è più che mai cruciale. Quest’ultimo, definito all’interno del report come una falla del software non risolta per più di un anno, può accumularsi quando gli sviluppatori non hanno il tempo o le risorse per risolvere le vulnerabilità potenzialmente pericolose. Nel corso del tempo, queste falle si accumulano, rendendo le organizzazioni sempre più vulnerabili ai cybercriminali.
“I risultati del report SoSS EMEA di quest’anno devono essere un campanello d’allarme per le aziende della regione EMEA, che dovrebbero concentrarsi sulla correzione dei debiti di sicurezza critici, che rappresentano il rischio più elevato”, spiega Massimo Tripodi, Country Manager Italia di Veracode.
Da cosa deriva il debito di sicurezza?
Gli sviluppatori che hanno il compito di individuare e correggere manualmente le falle spesso non riescono ad affrontare il crescente debito di sicurezza, a causa della lentezza delle tempistiche di correzione e della definizione delle priorità. L’analisi delle velocità di remediation nell’area EMEA ha rilevato che le organizzazioni che utilizzano metodi manuali impiegano in media 19 mesi per correggere le falle nel codice di terze parti, rispetto ai 9 mesi per quello di prima parte. Con un numero così elevato di vulnerabilità da risolvere, le aziende devono definire le priorità delle falle da correggere per prime, soprattutto quelle critiche.
Per quanto riguarda le fonti di debito di sicurezza, il report evidenzia che l’84% del debito di sicurezza in generale deriva da codice di prima parte sviluppato internamente. Contemporaneamente, l’80% del debito di sicurezza critico deriva da codice di terze parti, che spesso passa inosservato ma che può essere altrettanto pericoloso per le organizzazioni dell’area EMEA. Il dato più significativo è che il debito di sicurezza critico è notevolmente più alto del 65% rispetto al tasso globale.
Utilizzare l’intelligenza artificiale per correggere le vulnerabilità
Sebbene generatori AI di codice siano sempre più utilizzati dagli sviluppatori per la creazione di software grazie alla loro velocità ed efficienza, non sempre producono dei risultati sicuri. Una recente indagine ha infatti rilevato che il 36% del codice generato dallo strumento GitHub CoPilot, alimentato dall’intelligenza artificiale, conteneva falle di sicurezza.
L’intelligenza artificiale può essere utilizzata anche per abbattere il debito di sicurezza, supportando gli sviluppatori e i team di sicurezza e riducendo drasticamente i tempi di correzione delle vulnerabilità.
“Strumenti di remediation basati sull’AI possono far risparmiare ai team una quantità significativa di tempo, automatizzando le raccomandazioni di correzione e affrontando le falle su scala. Ad esempio, la nostra soluzione di correzione alimentata dall’intelligenza artificiale, Veracode Fix, ha ridotto i tempi di risoluzione delle vulnerabilità più comuni da giorni a minuti, migliorando in modo significativo la produttività degli sviluppatori”, aggiunge Massimo Tripodi.
Mitigare il debito di sicurezza all’interno di un ambiente complesso
Veracode State of Software Security EMEA Snapshot 2024: Distribuzione di tutte le falle in base alla classificazione di gravità e allo stato di debito di sicurezza
Poiché tre quinti (60%) di tutte le falle nelle organizzazioni EMEA non sono considerate né debito di sicurezza né gravità critica, diventa più facile e gestibile per gli sviluppatori concentrarsi sulla correzione del 4% che rappresenta il rischio più elevato. Una volta risolte queste, le aziende possono affrontare i debiti di sicurezza non critici o le falle critiche più recenti, in base alla loro capacità e propensione al rischio.
Per coloro che sono alla ricerca di una strategia di prioritizzazione del debito di sicurezza, gli strumenti di Application Security Posture Management (ASPM) sono in grado di monitorare costantemente il rischio attraverso la raccolta, l’analisi e la prioritizzazione dei problemi di sicurezza lungo l’intero ciclo di sviluppo del software.
Gli strumenti ASPM si stanno diffondendo in modo importante grazie alla loro capacità di fornire una panoramica completa e unificata dei rischi a livello di stack applicativo, semplificandone la risoluzione. Longbow, basato sulla tecnologia di Veracode, offre un approccio ASPM che, attraverso l’analisi contestuale, identifica la causa principale dei problemi e suggerisce le azioni più efficaci per mitigarli con il minimo sforzo.
“La prevalenza del debito di sicurezza tra le organizzazioni EMEA evidenzia la necessità di un’azione immediata per proteggere le aziende da future violazioni. I responsabili della sicurezza e gli sviluppatori dovrebbero concentrarsi sulla correzione delle falle più critiche che rappresentano il rischio maggiore in funzione del contesto in cui si trovano. Le soluzioni di sicurezza basate sull’intelligenza artificiale che scalano gli sforzi di correzione consentiranno ai team di affrontare il crescente debito di sicurezza in modo più efficiente e di ridurre il tempo necessario per sfruttare le vulnerabilità”, conclude poi Massimo Tripodi.