C’è una forte pressione sulle aziende, in questi mesi, perché compiano la migrazione al cloud. Spostare nella nuvola le applicazioni, ove possibile, sembra spesso l’unico modo per aumentare la produttività, gestendo i costi. Mentre tutto ciò accade, i team di sicurezza sono chiamati anche a vegliare sullo sviluppo cloud-native. Per fortuna, esistono delle iniziative per la cloud security che possono permettere loro di gestire efficacemente i rischi legati al cloud, avendo modo di dedicarsi anche ad altro. Sono cinque e, per questo 2023, dovrebbero essere quelle su cui puntare.
1. Strumenti di sicurezza developer-centric, per passare al DevSecOps
È da molto tempo che si parla di DevSecOps, tanto che, ormai, c’è qualcuno che crede sia un sogno irrealizzabile. Molti sono, infatti, ancora ancorati ad un approccio di tipo DevOps.
Chi si occupa di sicurezza non può imporre agli sviluppatori questa transizione, proponendo prodotti o servizi diversi. Sarebbe percepita come una “sgradevole” invasione di campo. È, però, necessario che intervenga, perché oggi non è più in grado di stare al passo con la velocità e il volume dei rilasci. Non andrà meglio, in tal senso, nei prossimi mesi, e il rischio è quello di vedere aumentate le possibilità di commettere errori. Errori che minano la sicurezza dell’azienda.
Dalla ricerca del 2022 “Walking the Line: GitOps and Shift Left Security” emerge che la maggior parte degli attacchi subiti dalle organizzazioni è legata a configurazioni errate, vulnerabilità del software nel codice proprietario e open source, oppure a problemi di accesso. Si tratta di errori evitabili, se si hanno gli strumenti giusti per identificare e correggere i problemi, prima che le applicazioni vengano distribuite nel cloud. Questo passaggio, evidentemente necessario, non consiste solo in un test o in scansioni da effettuare prima della distribuzione. Perché sia efficace, è necessario fare qualcosa di più. Per esempio, affiancare gli sviluppatori, aiutandoli a porre rimedio ai problemi riscontrati nelle applicazioni in esecuzione.
Secondo la stessa ricerca, oltre metà delle organizzazioni (68%) sta preferendo prodotti di sicurezza incentrati sugli sviluppatori, per responsabilizzarli maggiormente. Una certa parte (31%) non ne riconosce pienamente l’importanza, ma solo l’1% non sta vagliando l’idea di passare a un approccio DevSecOps.
È un cambiamento molto delicato, per compierlo con successo i tool di sicurezza devono integrarsi con i flussi di lavoro dello sviluppo. Questo eviterebbe, alla security, qualsiasi curva di apprendimento e, ai developer, il continuo cambio di strumenti tra Dev e Sec.
I due team devono lavorare a stretto contatto, visto che questo è fondamentale per comprendere davvero le reciproche esigenze. In particolare, chi si occupa di sicurezza, dovrebbe ascoltare la parte DevOps. In questo tipo di approccio, sono spesso richieste competenze diverse rispetto alle classiche, utili per la sicurezza delle applicazioni.
Quando diventa necessario scalare, inoltre, non basta che gli sviluppatori utilizzino gli strumenti di sicurezza che sono stati loro inizialmente forniti. Serve che ne abbiano di nuovi, atti a garantire la coerenza tra i team di sviluppo. Non solo: il team sicurezza deve poter mantenere visibilità e controllo su questa fase, per gestirne ogni minimo rischio.
2. La sicurezza la supply chain del software
Un altro aspetto chiave della sicurezza nello sviluppo del software riguarda l’utilizzo di componenti e risorse di terze parti, durante la creazione di applicazioni. La sicurezza dovrebbe supportare i developer in modo che risparmino tempo e si dedichino al codice proprietario, per creare applicazioni efficienti. Non basta proteggere ciò che è contenuto nell’applicazione stessa, è necessario allargare lo sguardo e valutare tutto ciò che è stato usato per eseguirla: infrastruttura, driver, dipendenze, compilatori, repository, sistemi operativi e servizi cloud, oltre a tutti i soggetti che hanno avuto accesso a questi componenti.
Nell’attuale contesto economico-politico complesso, il software open source (OSS) svolge un ruolo significativo perché fornisce vaste librerie di codice libero, utilizzabili dagli sviluppatori. Non è un caso, quindi, se nella ricerca dell’Enterprise Strategy Group di TechTarget emerge che la maggior parte delle organizzazioni (80%) utilizza massicciamente l’OSS e un ulteriore 19% prevede di farlo nel prossimo anno. In molti casi, inoltre, più della metà del codice delle applicazioni è costituito da OSS: metà delle volte l’OSS è presente nel 51-75% del codice, per poche (6%) in oltre il 75%.
Questo quadro generale, con un’alta percentuale di OSS nel codice dell’applicazione, genera preoccupazioni in ambito security. Significa che molte aziende rischiano di restare vittime di chi prende di mira gli OSS. Diventano importanti la fiducia nella fonte del codice, l’identificazione delle vulnerabilità, la comprensione della composizione del codice e la creazione di una distinta base del software, nonché la capacità di porre rapidamente rimedio a qualsiasi problema venga rilevato. Il settore dell’open source ne è consapevole e ha avviato diverse iniziative, in questo ambito.
La Open Source Security Foundation e la Cloud Native Computing Foundation forniscono entrambe numerose risorse OSS, a supporto degli sviluppatori. Resta, però, molto importante consentire la coerenza tra team di sviluppo con la visibilità e il controllo su scala. Il team di sicurezza dovrebbe collaborare con i developer per comprendere le risorse e i componenti che utilizzano. Il loro contributo attivo, nel DevSecOps, è quello di indicare loro strumenti e processi che da adottare per operare in sicurezza.
3. La sicurezza delle API
Il crescente utilizzo delle API comporta delle variazioni alla superficie di sicurezza. Inevitabile tenerne conto, se si vuole agire in modo efficace in tutta l’organizzazione. L’Enterprise Strategy Group ha scoperto, con una ricerca, che quasi la metà degli intervistati (45%) ha indicato le API come l’elemento dell’applicazione cloud-native più soggetto ad attacchi criminali. Questo genere di evento è risultato, in generale, piuttosto frequente negli ultimi 12 mesi. Lo dimostra il fatto che il 38% delle organizzazioni che ha subito perdite di dati a causa di incidenti, lo lega ad un uso non sicuro delle API.
Dato che le API meno protette, attirano i pirati informatici, OWASP ha avviato un progetto dedicato, con aggiornamenti sulla API Security Top 10, l’elenco sempre aggiornato dei 10 rischi più critici per la sicurezza delle API. Nel report “Trends in Modern Application Protection” dell’Enterprise Strategy Group, nel 2022, è emerso che più di un terzo delle organizzazioni (37%) registra problemi con l’inventario delle API e un altro 32% ha problemi nello scoprire e correggere le configurazioni errate. Spesso vengono utilizzati più prodotti per la gestione e la sicurezza, ma è necessaria una vera e propria strategia completa per le API. Deve coprire da ogni rischio, dall’inventario alla visibilità, dalle configurazioni errate al monitoraggio dei problemi di sicurezza.
4. Protezione dei diritti di accesso al cloud
Attraverso le piattaforme cloud, gli sviluppatori possono creare e distribuire applicazioni, senza dover acquistare o mantenere infrastrutture fisiche, come server o data center. Possono gestire la propria infrastruttura cloud, quindi, configurando i diritti per dare accesso alle varie risorse dell’infrastruttura utili a eseguire le applicazioni: virtual machine, container, funzioni serverless, database e storage, per esempio. Decidono chi o cosa può avere accesso, di volta in volta, nei diversi ambienti o dispositivi.
Con un intenso uso del cloud, e una produttività sempre crescente, il numero di diritti sta proliferando. Generalmente, inoltre, l’accesso viene gestito “per eccesso” e i punti di ingresso, per gli aggressori, aumentano. Il CIEM (Cloud Infrastructure Entitlement Management) può aiutare a gestire questo rischio, fornendo alla sicurezza una visione dei diritti e delle attività delle varie applicazioni. In questo modo, gli esperti possono applicare il PoLP, il principio del minimo privilegio, e ridurre la superficie di attacco.
I provider di servizi cloud e di sicurezza, come quelli che forniscono servizi di gestione delle identità e degli accessi, possono tutti offrire funzionalità CIEM. L’ideale, però, sarebbe trovare la soluzione che consenta di rimuovere efficacemente gli accessi in eccesso, con facilità. È un passaggio importante per ridurre i rischi e soddisfare le normative di compliance.
5. Piu prodotti per il contesto, per aumentare l’efficienza
A volte si verificano attacchi informatici nonostante la presenza di più prodotti di sicurezza. Ciò accade perché non si riesce a rimediare ai problemi in tempo per fermarli. Nel 2022, è emersa la necessità di una maggiore conoscenza del contesto, per stabilire le priorità delle azioni necessarie.
Pur non essendo la soluzione per tutto, anche in questo caso un approccio basato su piattaforma ha senso, per aumentare l’efficienza. Ciò che fa, è estrarre dati da più fonti e analizzarli, per fornire uno sguardo più ampio sul contesto, a chi si trova a dover rimediare ad un attacco.
In questo difficile clima economico, nel 2023 ci si aspetta un maggiore consolidamento dei fornitori, attraverso acquisizioni o partnership. La chiave sarà l‘integrazione: oggi la maggior parte degli strumenti sono costruiti in modo diverso e non sempre riescono a funzionare correttamente insieme. Le organizzazioni devono cercare tool fruibili, soluzioni che riducono il lavoro manuale, prodotti che assicurino analisi e cicli di feedback più rapidi per la correzione. Allo stesso tempo, dovrebbero pretendere visibilità e contesto, per ottenere un quadro più chiaro della propria posizione di sicurezza e individuare meglio le azioni per essere più protetti e compliant.
