Garantire la sicurezza delle applicazioni sta diventando un’impresa sempre più difficile, data la crescente complessità degli ecosistemi multicloud e il ricorso a processi manuali che inevitabilmente permettono alle vulnerabilità di propagarsi negli ambienti di produzione. Così può essere sintetizzato il messaggio generale che emerge dalla ricerca Dynatrace, condotta su un campione globale di 1.300 Chief Information Security Officer (CISO), all’’interno di organizzazioni con oltre mille dipendenti.
Il DevSecOps, ovvero l’approccio che prevede l’integrazione della sicurezza dall’inizio dello sviluppo e per tutto il ciclo di vita dell’applicazione, stenta a decollare. Come evidenzia il rapporto, tra le cause ci sarebbero sia una mancanza di cultura all’interno delle organizzazioni sia l’utilizzo di strumenti non integrati per le attività di development, delivery e security, che vanifica lo sforzo di collaborazione tra i diversi team.
Le nuove sfide nella gestione delle vulnerabilità
Scendendo nel dettaglio dei risultati e ristringendo il campo alla sola Italia, l’80% dei CISO (contro la media internazionale del 68%) ritiene più difficile gestire le vulnerabilità, visto il proliferare di ambienti cloud complessi e pipeline applicative più sofisticate.
Come dichiara il 73% degli intervistati italiani, la prevalenza di silos, sia nell’organizzazione dei team sia per la mancata integrazione delle tecnologie, aumenta il rischio che le vulnerabilità arrivino in produzione.
Solo il 34% del campione nazionale ritiene che il software fornito dai team di sviluppo sia stato completamente testato per le vulnerabilità prima della messa in produzione. Le statistiche su scala globale invece si attestano al 50%.
Un aspetto rilevante riguarda le criticità riscontrate nel classificare correttamente le vulnerabilità: secondo il 75% dei CISO italiani (il dato internazionale corrisponde al 77%), identificare le priorità di intervento è difficile perché mancano le informazioni sul rischio che un bug comporta per il proprio ambiente. Ad esempio, le vulnerabilità che gli scanner segnalano come “critiche” in fase di sviluppo si rivelano trascurabili in produzione: ciò avviene nel 54% dei casi in Italia e nel 58% secondo le statistiche globali.
Concentrarsi su vulnerabilità non rilevanti è una perdita di tempo, che sottrae ore preziose agli interventi più urgenti, aumentando i rischi. Ciò risulta ancora più grave se guardato alla luce di un altro dato statistico: in Italia, le attività di vulnerability management impegnano i team di sviluppo e sicurezza per un quarto del tempo (circa 10 ore a settimana per ogni membro).
Il DevSecOps come chiave di volta
Gli stack tecnologici cloud-native rappresentano la chiave dell’innovazione aziendale, tuttavia complicano i processi di governance e i controlli di sicurezza, che diventano impossibili senza adeguati strumenti di automazione.
Implementare un approccio DevSecOps è la chiave di volta per uscire dall’impasse, ma le prospettive non sono rosee. I CISO, soprattutto all’estero, sono consapevoli della necessità di cambiare approccio: il 67% del campione nazionale e l’81% a livello globale ritengono che exploit di vulnerabilità aumenteranno in assenza di una metodologia DevSecOps radicata nell’organizzazione. Eppure soltanto il 14% delle organizzazioni italiane e il 12% su scala internazionale ha una cultura DevSecOps sufficientemente matura per affrontare la sfida.