La 13a edizione dello State of Software Security Report pubblica le tendenze nel panorama del software e l'evoluzione delle pratiche di sicurezza. Alcuni dei risultati sono preoccupanti: nell'82% delle applicazioni sviluppate nel settore pubblico è stata scoperta almeno una vulnerabilità di sicurezza, rispetto al 74% nelle aziende private.
Lo studio State of Software Security ha rilevato che le applicazioni del settore pubblico tendono ad avere più vulnerabilità di sicurezza rispetto alle applicazioni del settore privato. Il maggior numero di errori e vulnerabilità nelle applicazioni è correlato a un aumento del rischio per la sicurezza. Lo studio è stato condotto nel contesto di una serie di iniziative governative globali per migliorare la sicurezza informatica, come l'EU Cyber Resilience Act, che mira a introdurre ulteriori requisiti minimi di sicurezza per i prodotti con elementi digitali. L'analisi dei dati di oltre 27 milioni di scansioni in 750.000 applicazioni ha costituito la base dell'ultimo rapporto annuale di Veracode
Molte applicazioni con falle di sicurezza
I ricercatori hanno scoperto che circa l'82% delle applicazioni sviluppate dalle organizzazioni del settore pubblico presentava almeno una vulnerabilità di sicurezza. Questo rispetto al 74 percento per le aziende private. I dati per lo studio sono stati raccolti negli ultimi 12 mesi. A seconda del tipo di vulnerabilità identificata, negli ultimi 12 mesi c'era una probabilità del 7-12% maggiore che una vulnerabilità fosse stata incorporata nelle applicazioni del settore pubblico.
I numeri da soli non riflettono le conseguenze che si verificano quando gli hacker sfruttano bug e vulnerabilità. Nell'agosto dello scorso anno, ad esempio, un attacco alla catena di fornitura contro la Camera di commercio e industria tedesca ha costretto l'azienda a chiudere completamente i propri sistemi IT e servizi digitali, telefoni e server di posta elettronica. I servizi essenziali erano di nuovo disponibili poco dopo l'attacco, ma ci è voluto più di un mese prima che venisse ripristinata la piena funzionalità.
Gravi vulnerabilità nel settore pubblico
Quando si tratta di vulnerabilità "ad alta gravità", i settori pubblici hanno il sopravvento. Nel periodo di 12 mesi dello studio, la percentuale di applicazioni con vulnerabilità di sicurezza critiche è stata inferiore nel settore pubblico (16,5%) rispetto alle aziende private (19%). Le vulnerabilità di gravità più elevata hanno un potenziale maggiore di influenzare l'intero sistema se sfruttate.
I moderni test delle applicazioni incoraggiano l'uso di strumenti di scansione della sicurezza come Static Application Security Testing (SAST) e Software Composition Analysis (SCA). Diversi tipi di scansioni possono scoprire diversi tipi di vulnerabilità. SAST e SCA hanno riscontrato una percentuale inferiore di difetti nelle applicazioni del settore pubblico rispetto alle applicazioni delle imprese private.
L'attenzione è meglio della pazienza
C'è una grande differenza tra il settore pubblico e quello privato quando si tratta della velocità con cui le scansioni rilevano nuove vulnerabilità nel software obsoleto. Per le applicazioni in uso da 5 anni, le carenze di sicurezza stanno aumentando nel settore privato, mentre stanno diminuendo nelle organizzazioni pubbliche. Questa tendenza mostra che le organizzazioni del settore pubblico prestano attenzione alla sicurezza delle loro applicazioni per diversi anni e non solo all'inizio del ciclo di vita.
Il "Rapporto 2023 sullo stato della sicurezza del software nel settore pubblico" raccomanda quattro azioni che le agenzie governative possono intraprendere per migliorare la loro posizione di sicurezza informatica:
- Catch up: gli arretrati di bug noti devono essere corretti il prima possibile.
- Scansione frequente: la scansione irregolare rende più difficile correggere gli errori e porta a più arretrati.
- Automatizzare: automatizzando i test tramite API, si evitano meglio errori e difetti nelle applicazioni.
- Aggiunta di DAST allo stack di sicurezza: utilizzare la scansione dinamica per scoprire le vulnerabilità sfuggite ad altri tipi di scansione.
“Il settore pubblico ha fatto molta strada per migliorare la sicurezza delle sue applicazioni. Tuttavia, c'è ancora molto lavoro da fare per consentire alle autorità di migliorare la loro sicurezza informatica e scongiurare nuove minacce. Concentrando i loro sforzi di sicurezza sulla causa principale della maggior parte delle violazioni informatiche, il livello dell'applicazione, possono apportare miglioramenti significativi. Scansioni regolari che utilizzano vari metodi di test e la successiva correzione delle vulnerabilità apriranno la strada a un futuro più sicuro per il settore pubblico", ha dichiarato Julian Totzek-Hallhuber, Manager Solution Architects EMEA e APAC di Veracode.
Altro su Veracode.com
A proposito di Veracode
Veracode è sinonimo di sicurezza software intelligente. La Veracode Software Security Platform trova difetti e vulnerabilità in ogni fase del moderno ciclo di sviluppo del software. Grazie alla potente intelligenza artificiale addestrata su trilioni di righe di codice, i clienti Veracode correggono gli errori più velocemente e con elevata precisione.