Indice dell'articolo

La buona notizia è che, in recessione o meno, la cyber security rimane una spesa in qualche modo non tagliabile per i CIO, almeno secondo i nuovi dati di Morgan Stanley Research. La cattiva notizia è che la sicurezza non funzionerà se quegli stessi CIO non provvedono ad aggiornare il loro software. Il vicepresidente di AWS Matt Wilson ha assolutamente ragione quando afferma: “È responsabilità del consumatore di software distribuito in sistemi critici per la sicurezza o l’affidabilità quella di applicare le patch di aggiornamento in modo sicuro”.

Dopotutto il software senza patch, open source o altro, rimane il più grande vettore di attacco per gli hacker. Questo è forse un problema più grande per l’open source, non perché non sia intrinsecamente sicuro (il contrario è più vicino alla verità), ma perché è ampiamente utilizzato. Pertanto, possiamo continuare a investire nella sicurezza open source, ma se le aziende non si preoccupano di applicare patch al software da cui dipendono, quanto sarà di aiuto la sicurezza?

Più soldi, meno problemi?

Innanzitutto, la buona notizia: i CIO, una volta reattivi nel dare priorità alla spesa per la sicurezza, ora stanno diventando proattivi. Secondo le ultime stime di Gartner, le aziende hanno speso più di 150 miliardi di dollari in prodotti di sicurezza nel 2021. Sono un sacco di soldi e non sembra che diminuiranno nel 2022 o oltre. Alla domanda “quali progetti IT sarebbero più o meno propensi a finanziare se l’economia cadesse in recessione”, i CIO hanno messo la sicurezza in cima alla lista. Questo segna un vero progresso, dato che la cyber security era qualcosa di cui le aziende affermavano di preoccuparsi solo dopo essere state colpite da una violazione.

Ma esattamente dove spendono le aziende? Secondo alcuni report, i fondi vengono incanalati soprattutto nella gestione di identità e accessi, sicurezza della messaggistica, sicurezza della rete, servizi di sicurezza gestiti, test automatici delle applicazioni e altro ancora. Qui entra in gioco anche l’automazione, che può aiutare a ridurre la probabilità che sviluppatori o addetti alle operazioni non applichino le patch per un determinato software.

Questo aspetto diventa ancora più critico poiché le aziende utilizzano livelli crescenti di software open source senza necessariamente creare processi per l’applicazione di patch e la manutenzione. Il software open source offre probabilmente un processo superiore per la protezione del software, ma senza patch può essere pessimo come qualsiasi software proprietario senza patch. Non è l’uso dell’open source che crea rischi per la sicurezza: il problema è il suo uso irresponsabile.

sicurezza

Le persone fanno parte del processo di sicurezza

Come afferma Chris Goettl di Ivanti, “gli attori delle minacce si muoveranno sempre più velocemente nella creazione di exploit di sicurezza rispetto alla maggior parte delle aziende che prendono di mira”. Quanto più velocemente? Secondo una ricerca di RAND, sebbene occorrano solo 22 giorni prima che un attore di una minaccia possa trarre vantaggio da una minaccia nota, quella minaccia può rimanere senza patch per circa sette anni. Ciò può essere dovuto al codice non mantenuto ancora in uso (cosa abbastanza comune), o semplicemente perché l’azienda non riesce a correggere una vulnerabilità.

Con tutto questo ritrovato interesse nel finanziamento di software di sicurezza, mi chiedo se non dovremmo investire più soldi nello sviluppo di una mentalità di sicurezza. La posizione di sicurezza di un’azienda è valida quanto lo sono le persone che la amministrano. La Open Software Security Foundation ha ragione a mettere l’educazione alla sicurezza al primo posto nell’elenco delle aree che devono essere affrontate per migliorare la sicurezza per l’open source, sebbene gli stessi principi si applichino in gran parte a qualsiasi software.

Di recente, alcune grandi aziende hanno fatto importanti scommesse sulla sicurezza open source, impegnando 150 milioni di dollari per aiutare a proteggere l’infrastruttura open source chiave. È una iniziativa lodevole e significativa, ma credo che non andrà abbastanza lontano. La sicurezza riguarda sempre le persone e i processi che possono essere entrambi assistiti con l’automazione, ma a meno che le persone incaricate di proteggere il proprio software aziendale non siano addestrate su come pensare alla sicurezza, nessuna somma di denaro ci farà dormire sonni tranquilli.

In effetti, come scrive Alissa Irei, ci vogliono formazione e accordo in tutta l’azienda su quali sistemi dovrebbero avere la priorità per il mantenimento della sicurezza. Nell’articolo della Irei, Doug Cahill, analista senior di Enterprise Strategy Group, sottolinea che “c’è una marea di patch. Più grande ed eterogenea è l’organizzazione, meno pratico è che tutti i sistemi siano sempre aggiornati”. Con questo “diluvio” di sistemi che necessitano di patch, le aziende intelligenti faranno un passo indietro, valuteranno e daranno priorità al software che supporta le applicazioni più critiche.

Può anche accadere che una patch possa creare più problemi di quanti ne risolva, interrompendo la compatibilità e portando offline le applicazioni rivolte ai clienti. Ma in questi casi, come sempre, la chiave è formare le persone e costruire processi. Ecco perché, prima di iniziare a vantarsi di spendere molto per la sicurezza, bisogna spendere nelle aree giuste.