La 15esima edizione del report State of Software Security di Veracode evidenzia un aspetto preoccupante: le aziende faticano sempre più a tenere il passo con gli aggiornamenti di sicurezza. Il tempo medio per correggere un bug o una vulnerabilità è superiore agli 8 mesi. L’aspetto che maggiormente colpisce è che la situazione sta peggiorando col tempo: se cinque anni fa erano necessari mediamente 171 giorni per correggere le falle, oggi siamo passati a ben 252.
Il debito di sicurezza è un problema sempre più pressante per le imprese
La ricerca di Veracode, basata su rilevazioni condotte su 1,3 milioni di applicazioni uniche e con 126,4 milioni di risultati preliminari, evidenzia come per le imprese stia diventando sempre più difficile garantire la sicurezza alle proprie infrastrutture IT.
Il problema principale è il tempo o, meglio, la sua scarsità: le aziende impiegano troppo tempo per correggere le vulnerabilità. E la situazione è drasticamente peggiorata rispetto a 5 anni fa. Oggi, mediamente, sono necessari più di otto mesi, un aumento del 327% rispetto a 15 anni fa.
Va detto che la situazione non è la stessa per tutte le realtà: come spiega Chris Wysopal, Chief Security Evangelist di Veracode, “il divario tra il 25% superiore e il 25% inferiore delle organizzazioni è particolarmente interessante”, ha affermato Chris Wysopal. “I risultati sottolineano la necessità di capire quali fattori siano alla base delle marcate differenze nel modo in cui le aziende gestiscono il debito di sicurezza e cosa possano fare i team per affrontarlo“.
Le cinque metriche chiave per valutare la postura di sicurezza
Secondo Veracode, sono cinque i parametri più importanti per valutare il livello di sicurezza aziendale. Il primo è la ricorrenza delle vulnerabilità: le realtà più sicure presentano falle nel 43% delle loro applicazioni, mentre quelle che faticano a stare al passo arrivano ad avere vulnerabilità addirittura sull’84% delle app.
Come intuibile, la capacità di correzione è fondamentale, e la seconda metrica individuata da Veracode è proprio questa capacità: se i migliori riescono a mettere a posto ogni mese il 10% dei bug riscontrati, le aziende meno efficaci arrivano all’1%.
Anche la velocità con cui si riescono a tappare le falle nelle applicazioni è uno dei parametri indicati da Veracode. Secondo l’azienda di cybersecurity, le aziende leader impiegano circa 5 settimane a correggere la metà delle vulnerabilità individuate. Al contrario, le realtà che faticano a stare al passo impiegano più di un anno.
Il quarto parametro è relativo alla diffusione del debito di sicurezza: meno del 17% delle applicazioni nelle aziende “leader” presenta un debito di sicurezza, rispetto a più del 67% di quelle “in ritardo”.
Ultima metrica è quella che viene definita debito dall’open source. I migliori hanno un debito critico open-source inferiore al 15%, mentre nelle aziende meno preparate il 100% del debito critico è di origine open-source.
Come reagire?
Secondo l’analisi di Veracode, sono due gli ambiti su cui le imprese dovrebbero concentrare la loro attenzione per migliorare la postura di sicurezza. Prima di tutto, migliorare visibilità e integrazione nell’intero ciclo di sviluppo del software. Per farlo, è necessario puntare su strumenti di automazione e cicli di feedback, così da diminuire all’origine il numero di vulnerabilità che arrivano in produzione. Secondariamente, Veracode suggerisce di dare priorità alla correlazione e alla contestualizzazione dei risultati sulla sicurezza in una visione unificata, che consenta loro di affrontare in modo efficiente il backlog della sicurezza e di ridurre i rischi più elevati con il minimo sforzo.
“La superficie di attacco è diventata sempre più articolata, in particolare negli ultimi due anni con l’esplosione dell’AI engineering. Già il report dell’anno scorso aveva rilevato come il 46% delle organizzazioni avesse debiti di sicurezza di alta gravità: se l’aumento annuale può sembrare marginale, è certo che la direzione generale intrapresa è quella sbagliata”, afferma Chris Wysopal.”“Il nostro studio fornisce solide prove del fatto che le aziende possono essere in grado di risolvere il loro debito di sicurezza, ma hanno bisogno di supporto per definire le priorità delle loro iniziative“.