L’80% delle applicazioni sviluppate in area EMEA contiene falle di sicurezza
Le applicazioni aziendali sviluppate dalle aziende nell’area EMEA tendono a contenere più falle di sicurezza rispetto a quelle create dalle loro controparti statunitensi. È un dato che emerge dal report State of Software Security 2023 di Veracode. Tra tutte le regioni analizzate, quella EMEA presenta anche la più alta percentuale di falle di “elevata gravità”, un problema critico per le aziende se venissero sfruttate.
I ricercatori hanno scoperto che oltre l’80% delle applicazioni sviluppate dalle aziende EMEA presentava almeno una falla di sicurezza rilevata nel corso degli ultimi 12 mesi, rispetto al valore di poco inferiore al 73% delle imprese statunitensi. Sempre in EMEA, la percentuale di applicazioni contenenti vulnerabilità di “elevata gravità” è stata la più alta rispetto a tutte le regioni, raggiungendo quasi il 20%.
“I nostri dati evidenziano che le aziende, in tutto il mondo, continuano a distribuire una quantità preoccupante di applicazioni con un alto numero di falle presenti nella Top 25 della CWE” ha dichiarato Chris Eng, Chief Research Officer di Veracode. “Abbiamo anche rilevato differenze geografiche, in particolare in termini di utilizzo di codice di terze parti o open-source e di modalità di introduzione delle vulnerabilità nel ciclo di vita dell’applicazione.”
Presi singolarmente, questi numeri non rendono l’idea delle potenziali conseguenze dello sfruttamento delle vulnerabilità del software da parte dei criminali informatici. Le organizzazioni EMEA utilizzano un mix sempre più complesso di software di terze parti per fornire i propri servizi, con il risultato che lo sfruttamento di una singola grave vulnerabilità potrebbe avere un impatto su migliaia di vittime contemporaneamente.
La ricerca ha inoltre individuato notevoli differenze geografiche nell’utilizzo di piattaforme software, con Java che si è rivelato il linguaggio più utilizzato dagli sviluppatori EMEA. I team che lo utilizzano hanno rimediato alle falle a un ritmo più lento rispetto a chi ha utilizzato .NET o JavaScript, facendo sì che molte vulnerabilità siano rimaste persistenti o nascoste per un periodo di tempo significativamente più lungo. Poiché oltre il 95% delle applicazioni Java è costituito da codice di terze parti o open-source, il suo forte utilizzo ha un ruolo chiave nella percentuale più elevata di vulnerabilità introdotte nelle applicazioni dell’area. Questo evidenzia l’importanza dell’analisi della composizione del software (SCA), che individua le falle nel codice open-source.
Con l’intelligenza artificiale generativa che ha guadagnato terreno nello sviluppo del software, è aumentato anche il rischio di vulnerabilità provenienti da fonti esterne. Uno studio, presentato al Black Hat nel 2022, ha evidenziato falle nel 40% del codice scritto da modelli linguistici di grandi dimensioni addestrati su vasti bacini di dati non raffinati, tra cui milioni di repository pubblici di GitHub. È quindi fondamentale che le aziende sfruttino gli strumenti SCA per rilevare e correggere queste falle, consentendo agli sviluppatori di sfruttare l’intelligenza artificiale senza compromettere la sicurezza delle applicazioni.
Le applicazioni diventano più vulnerabili nel tempo
La ricerca ha anche dimostrato che le applicazioni EMEA continuano a introdurre falle a un ritmo molto più elevato nell’intero ciclo di vita applicativo rispetto alle altre aree geografiche. Le organizzazioni in EMEA mantengono le applicazioni aggiornate, ma è diminuita l’attenzione alla qualità. Dopo cinque anni, il 50% delle applicazioni presenta nuovi difetti, rispetto a poco più del 30% nel resto del mondo. Complessivamente, la probabilità di base che venga introdotta una falla in un mese è stata del 27%.
Per questo motivo, sarebbe auspicabile prestare maggiore attenzione all’ultima parte del ciclo di vita dell’applicazione e alla scansione più regolare delle applicazioni. Sarebbe necessario anche dare priorità alla formazione sulla sicurezza per i propri sviluppatori, in quanto, come rilevato nella ricerca, il completamento di 10 laboratori di sicurezza interattivi ridurrebbe la probabilità di introduzione di una falla dal 27% a circa il 25% in un mese.
“Sebbene a livello globale si registri ancora un volume preoccupante di vulnerabilità, le cifre sono più elevate in EMEA in quasi tutti i parametri. I team di sviluppo di questa area devono cogliere l’opportunità di automatizzare la sicurezza del software per effettuare scansioni regolari e valutare attentamente l’uso di strumenti di intelligenza artificiale, per aumentare la sicurezza e responsabilizzare gli sviluppatori“, ha aggiunto Eng.
“In Italia stiamo rilevando un incremento di consapevolezza legato alla sicurezza applicativa, ma è necessario che le aziende siano maggiormente preparate a rilevare eventuali vulnerabilità e rispondervi in modo efficace e rapido al fine di evitare che queste vengano sfruttate in modo critico” sottolinea Massimo Tripodi, country manager di Veracode Italia. “Sviluppare e distribuire applicazioni intrinsecamente sicure è un passaggio fondamentale per la protezione efficace di business, utenti e dati, consentendo alle aziende di mantenere la loro competitività ed evitare rischi che potrebbero danneggiare la produttività in modo grave.”