Rapporto: Alti tassi di vulnerabilità nelle applicazioni governative

23. Luglio 2023
| Non ci sono commenti
Rapporto: Alti tassi di vulnerabilità nelle applicazioni governative

Condividi post

La 13a edizione dello State of Software Security Report pubblica le tendenze nel panorama del software e l'evoluzione delle pratiche di sicurezza. Alcuni dei risultati sono preoccupanti: nell'82% delle applicazioni sviluppate nel settore pubblico è stata scoperta almeno una vulnerabilità di sicurezza, rispetto al 74% nelle aziende private.

Lo studio State of Software Security ha rilevato che le applicazioni del settore pubblico tendono ad avere più vulnerabilità di sicurezza rispetto alle applicazioni del settore privato. Il maggior numero di errori e vulnerabilità nelle applicazioni è correlato a un aumento del rischio per la sicurezza. Lo studio è stato condotto nel contesto di una serie di iniziative governative globali per migliorare la sicurezza informatica, come l'EU Cyber ​​​​Resilience Act, che mira a introdurre ulteriori requisiti minimi di sicurezza per i prodotti con elementi digitali. L'analisi dei dati di oltre 27 milioni di scansioni in 750.000 applicazioni ha costituito la base dell'ultimo rapporto annuale di Veracode

Molte applicazioni con falle di sicurezza

🔎 Il settore pubblico ha avuto meno vulnerabilità nel corso degli anni rispetto ad altre organizzazioni (Immagine: Veracode).

I ricercatori hanno scoperto che circa l'82% delle applicazioni sviluppate dalle organizzazioni del settore pubblico presentava almeno una vulnerabilità di sicurezza. Questo rispetto al 74 percento per le aziende private. I dati per lo studio sono stati raccolti negli ultimi 12 mesi. A seconda del tipo di vulnerabilità identificata, negli ultimi 12 mesi c'era una probabilità del 7-12% maggiore che una vulnerabilità fosse stata incorporata nelle applicazioni del settore pubblico.

I numeri da soli non riflettono le conseguenze che si verificano quando gli hacker sfruttano bug e vulnerabilità. Nell'agosto dello scorso anno, ad esempio, un attacco alla catena di fornitura contro la Camera di commercio e industria tedesca ha costretto l'azienda a chiudere completamente i propri sistemi IT e servizi digitali, telefoni e server di posta elettronica. I servizi essenziali erano di nuovo disponibili poco dopo l'attacco, ma ci è voluto più di un mese prima che venisse ripristinata la piena funzionalità.

Gravi vulnerabilità nel settore pubblico

Quando si tratta di vulnerabilità "ad alta gravità", i settori pubblici hanno il sopravvento. Nel periodo di 12 mesi dello studio, la percentuale di applicazioni con vulnerabilità di sicurezza critiche è stata inferiore nel settore pubblico (16,5%) rispetto alle aziende private (19%). Le vulnerabilità di gravità più elevata hanno un potenziale maggiore di influenzare l'intero sistema se sfruttate.

I moderni test delle applicazioni incoraggiano l'uso di strumenti di scansione della sicurezza come Static Application Security Testing (SAST) e Software Composition Analysis (SCA). Diversi tipi di scansioni possono scoprire diversi tipi di vulnerabilità. SAST e SCA hanno riscontrato una percentuale inferiore di difetti nelle applicazioni del settore pubblico rispetto alle applicazioni delle imprese private.

L'attenzione è meglio della pazienza

C'è una grande differenza tra il settore pubblico e quello privato quando si tratta della velocità con cui le scansioni rilevano nuove vulnerabilità nel software obsoleto. Per le applicazioni in uso da 5 anni, le carenze di sicurezza stanno aumentando nel settore privato, mentre stanno diminuendo nelle organizzazioni pubbliche. Questa tendenza mostra che le organizzazioni del settore pubblico prestano attenzione alla sicurezza delle loro applicazioni per diversi anni e non solo all'inizio del ciclo di vita.

Il "Rapporto 2023 sullo stato della sicurezza del software nel settore pubblico" raccomanda quattro azioni che le agenzie governative possono intraprendere per migliorare la loro posizione di sicurezza informatica:

  • Catch up: gli arretrati di bug noti devono essere corretti il ​​prima possibile.
  • Scansione frequente: la scansione irregolare rende più difficile correggere gli errori e porta a più arretrati.
  • Automatizzare: automatizzando i test tramite API, si evitano meglio errori e difetti nelle applicazioni.
  • Aggiunta di DAST allo stack di sicurezza: utilizzare la scansione dinamica per scoprire le vulnerabilità sfuggite ad altri tipi di scansione.

“Il settore pubblico ha fatto molta strada per migliorare la sicurezza delle sue applicazioni. Tuttavia, c'è ancora molto lavoro da fare per consentire alle autorità di migliorare la loro sicurezza informatica e scongiurare nuove minacce. Concentrando i loro sforzi di sicurezza sulla causa principale della maggior parte delle violazioni informatiche, il livello dell'applicazione, possono apportare miglioramenti significativi. Scansioni regolari che utilizzano vari metodi di test e la successiva correzione delle vulnerabilità apriranno la strada a un futuro più sicuro per il settore pubblico", ha dichiarato Julian Totzek-Hallhuber, Manager Solution Architects EMEA e APAC di Veracode.

Altro su Veracode.com

 

A proposito di Veracode

Veracode è sinonimo di sicurezza software intelligente. La Veracode Software Security Platform trova difetti e vulnerabilità in ogni fase del moderno ciclo di sviluppo del software. Grazie alla potente intelligenza artificiale addestrata su trilioni di righe di codice, i clienti Veracode correggono gli errori più velocemente e con elevata precisione.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , , ,