Le applicazioni, siano esse di natura consumer o business, giocano un ruolo sempre più cruciale nella nostra vita personale e lavorativa, migliorando anche la nostra produttività. È evidente, dunque, che il processo di sviluppo delle applicazioni rappresenta un punto fondamentale, che deve essere presidiato con la giusta attenzione e consapevolezza. La domanda che arriva dal mercato, specie da quando si è assistito al boom dei dispositivi IoT, è quella di un rilascio di nuove applicazioni in tempi sempre più rapidi, che ha favorito la nascita del modello DevOps, vale a dire la condivisione del lavoro tra i team addetti al Development e le operations. Ma la maggiore diffusione delle applicazioni, unitamente alla crescente minaccia del cybercrime, porta con sé la necessità di introdurre l’attenzione alla sicurezza informatica direttamente nella cruciale fase del processo di sviluppo.
L’importanza della Security by design
Come racconta Salvatore Marcis, Technical Director di Trend Micro Italia, nella costruzione delle moderne applicazioni “Ormai c’è la tendenza a usare numerosi plug-in esterni, è difficile che sia tutto quanto realizzato in casa. Questa pratica può comportare dei rischi, specialmente quando si utilizzano librerie realizzate da terze parti datate e non debitamente aggiornate, che potrebbero contenere delle vulnerabilità dal punto di vista della sicurezza. Tali vulnerabilità potrebbero permettere ai cybercriminali di rendere ingestibile l’applicazione o addirittura portare al furto di dati, che con l’entrata in vigore del GDPR rappresenta un rischio che le aziende non possono più permettersi di sottovalutare”. Occorre dunque lavorare nell’ottica della Security by design, che presuppone una sicurezza integrata nella fase di sviluppo del software. Nel concreto questo significa che il team di sviluppo, nel momento in cui l’applicazione è realizzata con una commistione di codici provenienti da più parti, deve essere certo dell’assenza di problematiche relative alla security.
Uno score per comprendere l’indice di vulnerabilità
Ma perché le aziende dovrebbero essere interessate a lavorare in tal senso? La risposta è semplice: il tamponamento di una falla nel periodo successivo al rilascio di un’applicazione ha un costo quasi 30 volte superiore a quello che si potrebbe avere dalla risoluzione dei problemi già in fase di sviluppo. In quest’ottica Trend Micro permette alle aziende di intervenire in anticipo attraverso Smart Check, una soluzione che consente di effettuare un’analisi dello stato di sicurezza del proprio codice applicativo prima che lo stesso venga rilasciato in produzione. Dal momento che la maggioranza delle vulnerabilità sono legate a utilizzo di librerie di terze parti, Smart Check ne consente la rapida individuazione, assegnando anche un vero e proprio score di pericolosità. La scelta di riparare le eventuali problematiche segnalate resta comunque in capo al cliente finale, che sulla base dello score e di altre priorità (ad esempio legate all’impellenza del time to market) decide se rimettere mano allo sviluppo applicativo, oppure di accettarne i rischi.
Come sanare le falle
“In ogni caso la maggioranza delle falle scoperte dalle nostre scansioni possono essere sanate senza eccessiva difficoltà, il più delle volte effettuando un semplice aggiornamento, ovvero passando alla versione successiva della library utilizzata. L’impostazione della security by design sta trovando spazio presso le aziende che hanno già adottato un modello di sviluppo DevOps, mentre invece fatica ancora a farsi largo presso le realtà che presentano un’impostazione più tradizionale. Sicuramente sino a che non si fa un test, nelle imprese tende a mancare la consapevolezza che possano esserci dei problemi di vulnerabilità”, evidenzia Marcis.
Le conseguenze per l’IoT
Un tema che è particolarmente importante per l’IoT: la proliferazione dei dispositivi, sinora, non è stata accompagnata da un’adeguata attenzione agli aspetti di protezione. Mettendo in pericolo non solo il firmware dei device, ma anche il mondo esterno: i dati prodotti dagli apparecchi connessi alla rete vanno quasi sempre a finire nel cloud, che dunque può finire potenzialmente nel mirino dei cybercriminali. Diventa quindi fondamentale proteggere le applicazioni prima della loro messa in produzione: un approccio che soprattutto le grandi aziende, che sanno di essere sottoposte anche a conseguenze di tipo reputazionale, stanno sposando in misura crescente, anche in Italia.