Oltre l’80% delle applicazioni sviluppate dalle aziende Emea ha presentato almeno una falla di sicurezza nel corso degli ultimi 12 mesi, rispetto al valore di poco inferiore al 73% delle imprese statunitensi. Sempre in area Emea, la percentuale di applicazioni contenenti vulnerabilità di “elevata gravità” è la più alta rispetto a tutte le regioni, raggiungendo quasi il 20%.
Lo rivela il report “State of Software Security 2023” di Veracode , fornitore di soluzioni di intelligent software security, secondo cui le applicazioni aziendali sviluppate dalle aziende in Europa, Medio Oriente e Africa tendono a contenere più falle di sicurezza rispetto a quelle create dalle loro controparti statunitensi. Elevate vulnerabilità comportano un aumento dei livelli di rischio, aspetto da non sottovalutare in un momento in cui i cyberattacchi alla software supply chain sono sempre più comuni.
Un mix sempre più complesso di software
Il report State of Software Security 2023, basato sull’analisi di dati raccolti nel corso di oltre 27 milioni di scansioni effettuate su 750.000 applicazioni, esamina lo stato della sicurezza del software e presenta risultati dettagliati per l’area Emea, che comprende Regno Unito, Germania, Francia, Italia, Medio Oriente e Africa. Presi singolarmente, questi numeri non rendono l’idea delle potenziali conseguenze dello sfruttamento delle vulnerabilità del software da parte dei criminali informatici. Le organizzazioni Emea utilizzano un mix sempre più complesso di software di terze parti per fornire i propri servizi, con il risultato che lo sfruttamento di una singola grave vulnerabilità potrebbe avere un impatto su migliaia di vittime contemporaneamente.
“I nostri dati evidenziano che le aziende, in tutto il mondo, continuano a distribuire una quantità preoccupante di applicazioni con un alto numero di falle presenti nella Top 25 della Cwe”, ha dichiarato Chris Eng, Chief Research Officer di Veracode. “Abbiamo anche rilevato differenze geografiche, in particolare in termini di utilizzo di codice di terze parti o open-source e di modalità di introduzione delle vulnerabilità nel ciclo di vita dell’applicazione.”
Java e il codice di terze parti introducono falle significative
La ricerca ha individuato notevoli differenze geografiche nell’utilizzo di piattaforme software, con Java che si è rivelato il linguaggio più utilizzato dagli sviluppatori Emea. I team che lo utilizzano hanno rimediato alle falle a un ritmo più lento rispetto a chi ha utilizzato .Net o JavaScript, facendo sì che molte siano rimaste persistenti o nascoste per un periodo di tempo significativamente più lungo. Poiché oltre il 95% delle applicazioni Java è costituito da codice di terze parti o open-source, il suo forte utilizzo ha un ruolo chiave nella percentuale più elevata di vulnerabilità introdotte nelle applicazioni dell’area. Questo evidenzia l’importanza dell’analisi della composizione del software (Sca), che individua le falle nel codice open-source.
Più rischi di vulnerabilità con l’AI generativa
Con l’intelligenza artificiale generativa che ha guadagnato terreno nello sviluppo del software è aumentato anche il rischio di vulnerabilità provenienti da fonti esterne. Uno studio, presentato al Black Hat nel 2022, ha evidenziato falle nel 40% del codice scritto da modelli linguistici di grandi dimensioni addestrati su vasti bacini di dati non raffinati, tra cui milioni di repository pubblici di GitHub. È quindi fondamentale che le aziende sfruttino gli strumenti Sca per rilevare e correggere queste falle, consentendo agli sviluppatori di sfruttare l’intelligenza artificiale senza compromettere la sicurezza delle applicazioni.
Le applicazioni diventano più vulnerabili nel tempo
La ricerca ha inoltre dimostrato che le applicazioni Emea continuano a introdurre falle a un ritmo molto più elevato nell’intero ciclo di vita applicativo rispetto alle altre aree geografiche. Le organizzazioni in Emea mantengono le applicazioni aggiornate, ma è diminuita l’attenzione alla qualità. Dopo cinque anni, il 50% delle applicazioni presenta nuovi difetti, rispetto a poco più del 30% nel resto del mondo. Complessivamente, la probabilità di base che venga introdotta una falla in un mese è stata del 27%.
Per questo motivo, sarebbe auspicabile prestare maggiore attenzione all’ultima parte del ciclo di vita dell’applicazione e alla scansione più regolare delle applicazioni. Sarebbe necessario anche dare priorità alla formazione sulla sicurezza per i propri sviluppatori, in quanto, come rilevato nella ricerca il completamento di 10 laboratori di sicurezza interattivi ridurrebbe la probabilità di introduzione di una falla dal 27% a circa il 25% in un mese.
Automatizzare la sicurezza del software
“Il report State of Software Security 2023 mette in luce l’importanza della sicurezza nell’intero ciclo di vita del software e l’urgente necessità di affrontare i rischi posti dal codice generato da terzi e intelligenza artificiale” chiarisce Chris Eng. “Sebbene a livello globale si registri ancora un volume preoccupante di vulnerabilità, le cifre sono più elevate in Emea in quasi tutti i parametri. I team di sviluppo di questa area devono cogliere l’opportunità di automatizzare la sicurezza del software per effettuare scansioni regolari e valutare attentamente l’uso di strumenti di intelligenza artificiale, per aumentare la sicurezza e responsabilizzare gli sviluppatori.”
“In Italia stiamo rilevando un incremento di consapevolezza legato alla sicurezza applicativa, ma è necessario che le aziende siano maggiormente preparate a rilevare eventuali vulnerabilità e rispondervi in modo efficace e rapido al fine di evitare che queste vengano sfruttate in modo critico” sottolinea Massimo Tripodi, country manager di Veracode Italia. “Sviluppare e distribuire applicazioni intrinsecamente sicure è un passaggio fondamentale per la protezione efficace di business, utenti e dati, consentendo alle aziende di mantenere la loro competitività ed evitare rischi che potrebbero danneggiare la produttività in modo grave.”
