Uno studio rivela un ritardo nella sicurezza del software negli enti pubblici

Stando alla relazione State of Software Security Public Sector 2023 di Veracode, l’82% delle applicazioni governative presenta delle falle nella sicurezza

Il settore pubblico supera ancora la controparte privata in alcune aree

Veracode, uno dei principali provider di soluzioni intelligenti per la sicurezza del software, oggi ha pubblicato uno studio secondo il quale le applicazioni sviluppate dalle organizzazioni del settore pubblico tendono ad avere un numero superiore di falle nella sicurezza rispetto alle applicazioni create nel settore privato. Si tratta di risultati significativi perché un maggior numero di punti deboli nelle applicazioni viene correlato a livelli di rischio più elevati. Lo studio è una delle miriadi di iniziative recenti da parte del governo federale mirate a rafforzare la sicurezza informatica, compresi sforzi per ridurre le vulnerabilità nelle applicazioni che eseguono funzioni statali di importanza critica.

Esito della ricerca

I ricercatori hanno scoperto che quasi l’82% delle applicazioni sviluppate dalle organizzazioni del settore pubblico aveva almeno una falla nella sicurezza rilevata nel loro scansione più recente negli ultimi 12 mesi rispetto al 74% delle organizzazioni del settore privato. Secondo il tipo di errore identificato, le applicazioni del settore pubblico avevano una probabilità più elevata di introduzione di un errore negli ultimi 12 mesi pari al 7-12%.

“La differenza tra l’indice di manifestazione degli errori nelle applicazioni del settore pubblico e privato è significativa. È necessario che il governo continui a colmare il divario. Da difensori della sicurezza pubblica, gli enti governativi sono investiti della responsabilità di colmare questa lacuna e rafforzare la sicurezza per proteggere la nazione e i suoi cittadini”, ha dichiarato Chris Eng, Direttore della Ricerca presso Veracode.

Le analisi dei dati raccolti da più di 27 milioni di scansioni in 750.000 applicazioni hanno aiutato a produrre l’ultima relazione annuale di Veracode sullo State of Software Security. Questa nuova relazione illustra i risultati specifici per il settore pubblico provenienti da quelle scansioni e applicazioni, compresi i risultati del governo federale, statale e locale.

Le cifre da sole non esprimono le conseguenze delle azioni degli hacker quando questi sfruttano gli errori e le vulnerabilità di un software. All’inizio di maggio di quest’anno, un attacco di ransomware contro la città di Dallas ha scosso le funzionalità alla base dei servizi pubblici, compresi sistemi informatici utilizzati da agenzie per la sicurezza pubblica. Più di tre settimane dopo l’attacco, gli enti pubblici di Dallas non si erano ancora ripresi.

Vulnerabilità molto gravi: una vittoria per il settore pubblico

Lo studio di Veracode ha inoltre messo in luce i motivi per cui le organizzazioni del settore pubblico sono ottimiste sulla sicurezza delle applicazioni. La scoperta di errori “molto gravi” nelle applicazioni del settore pubblico (16,5%) in un periodo di 12 mesi era inferiore rispetto alle applicazioni nel settore non pubblico (19%). Si tratta di un dato rilevante, perché gli errori molto gravi, se sfruttati, possono avere un maggiore impatto negativo sui sistemi.

I test moderni delle applicazioni incoraggiano l’utilizzo di vari strumenti di scansione della sicurezza, come il test statico della sicurezza (SAST) e l’analisi di composizione del software (SCA), perché diversi tipi di scansione sono ottimi per scoprire diversi tipi di errori. SAST e SCA hanno rilevato errori di applicazione in una percentuale inferiore di enti nel settore pubblico rispetto alle applicazioni del settore privato.

L’identificazione di un numero inferiore di errori quando si utilizzano strumenti SCA potrebbe segnalare l’impatto iniziale del May 2021 Executive Order (EO 14028), l’ordine esecutivo del maggio 2021, che guida le agenzie federali statunitensi a intensificare gli sforzi per proteggere la catena di fornitura del software. Questo EO chiede anche un maggiore uso delle distinte del materiale del software (SBOMs), liste di elenchi delle sostanze utilizzate nel software, promuovendo così la condivisione, trasparenza e visibilità. Altrove, il Federal Risk and Authorization Management Program (FedRAMP) standardizza la valutazione della sicurezza dei prodotti e servizi del cloud. analogamenti, lo StateRAMP consente ai governi statali e locali di verificare il rispetto delle politiche di sicurezza informatica da parte dei fornitori di servizi su cloud.

Un grammo di prevenzione vale un chilo di cura

Una forte differenza tra le applicazioni del settore pubblico e privato è la rapidità con cui le scansioni scoprono nuovi errori nel software datato. Quando il software è in produzione da cinque anni, i due settori divergono nettamente: aumenta la percentuale di nuovi errori introdotti nelle applicazioni del settore privato, mentre diminuisce la percentuale nelle agenzie del settore pubblico.

Questa tendenza indica che le agenzie del settore pubblico sono più attente a mantenere le applicazioni sicure nel tempo e non solo durante i primi anni del ciclo di vita utile. Le applicazioni esterne al governo, al contrario, presentano un aumento graduale e costante nell’introduzione di nuovi errori man mano che diventano obsoleti.

La relazione State of Software Security Public Sector 2023 raccomanda quattro azioni che le agenzie dovrebbero intraprendere per migliorare il loro approccio alla cybersicurezza.

• Recuperare: eliminare l’arretrato degli errori noti
• Effettuare scansioni periodiche: le scansioni casuali rendono più difficile la riparazione di errori, aumentando ulteriormente gli arretrati
• Automatizzare: rendere i test automatici attraverso le API riduce l’introduzione di errori nelle applicazioni
• Aggiungere DAST allo stack: utilizzare la scansione dinamica per scoprire errori non rilevati ad altri tipi di scansione

“Il settore pubblico ha fatto molta strada nel rafforzare la sicurezza delle applicazioni al servizio del nostro governo, ma alle agenzie rimane ancora molto da fare per migliorare la posizione informatica e respingere le minacce in arrivo. Concentrando gli sforzi di sicurezza sulla causa base della maggior parte delle violazioni informatiche — lo strato delle applicazioni — le agenzie possono ottenere i necessari miglioramenti. La scansione periodica con una serie di tipologie di test e affrontare il debito della sicurezza — ossia le vulnerabilità nel software accumulate che minacciano la sicurezza di un sistema — apriranno la strada ad un futuro più sicuro per le agenzie governative”, ha concluso Eng.

La versione integrale dello studio sul settore pubblico dalla relazione di Veracode sullo Stato della sicurezza del software è disponibile e offre metriche comparative tra le agenzie governative.

Informazioni sulla relazione State of Software Security

Il 13o volume della relazione annuale di Veracode sullo State of Software Security esamina le tendenze storiche che creano lo scenario del software e il modo in cui le prassi di sicurezza cambiano con queste tendenze. I risultati di quest’anno si basano su tutti i dati storici forniti dai servizi e dai clienti Veracode e rappresentano una sezione trasversale di aziende grandi e piccole, fornitori di software commerciale, esternalizzatori di software e progetti open-source. La relazione contiene risultati sulle applicazioni sottoposte ad analisi statiche, analisi dinamiche, analisi di composizione del software, e/o test manuali di penetrazione attraverso la piattaforma di Veracode su base cloud. La relazione prende in considerazione dati che sono stati forniti dai clienti di Veracode e informazioni calcolate o derivate nel corso dell’analisi di Veracode.

BlogInnovazione.it