In uno scenario globale caratterizzato dalla proliferazione degli attacchi cyber, l’adozione di una corretta postura di sicurezza è la sfida che vede oggi impegnati tutti i Cio e i responsabili IT. Mantenere aggiornate le applicazioni e le soluzioni tecnologiche rappresenta il primo passo delle strategie, poiché l’uso di versioni obsolete del software e la mancata applicazione delle patch permette ai criminali informatici di sfruttare più facilmente le vulnerabilità per sferrare gli attacchi.
Nel mercato si evidenzia in particolare come la maggior parte delle organizzazioni (71%) soffra di un “debito di sicurezza”, ovvero vulnerabilità irrisolte da oltre un anno, e nel 46% dei casi si tratti di falle persistenti e di elevata gravità che rendono questo debito di sicurezza “critico”. Il dato emerge dal report State of Software Security 2024 (SoSS) realizzato da Veracode, fornitore di soluzioni di intelligent software security che nel gestire il proprio business monitora costantemente le minacce. Ce ne parla Massimo Tripodi, country manager di Veracode Italia entrando nel dettaglio dei trend che coinvolgono anche le aziende del mercato italiano e condividendo alcune linee guida.
Stato di sicurezza del software
Oggi il 63% delle applicazioni presenta vulnerabilità nel codice proprietario e il 70% contiene falle nel codice di terze parti, importato tramite librerie esterne, evidenzia lo studio SoSS. La velocità di remediation – sottolinea Tripodi – rappresenta in questo contesto un aspetto strategico. Le aziende che risolvono più velocemente le vulnerabilità possono infatti ridurre il loro debito di sicurezza critico del 75% e hanno una probabilità quattro volte inferiore di creare un debito di sicurezza critico all’interno delle loro applicazioni. I tempi di remediation variano in base alle vulnerabilità: la correzione delle falle di terze parti richiede il 50% di tempo in più, con la metà delle vulnerabilità note risolte in 11 mesi, rispetto ai 7 mesi per quelle presenti nei codici proprietari.
Un quadro nel quale l’artificial intelligence entra nei processi, come un’arma a doppio taglio, utilizzata dalle imprese per supportare lo sviluppo del software e per elevare il livello di sicurezza ma anche dalle organizzazioni criminali per generare attacchi sempre più insidiosi. Il report evidenzia a questo proposito che il 36% del codice generato dall’AI di GitHub Copilot contiene falle di sicurezza. Una proliferazione di codice non sicuro su scala che rappresenta un forte rischio per le aziende e per l’intera software supply chain, portata ad accumulare debito di sicurezza.
Nel nostro Paese il percorso verso la sicurezza delle imprese è ancora lungo, sottolinea Tripodi: “Rispetto agli Stati Uniti e ai Paesi anglosassoni dove ci sono una cultura e un’attenzione molto più alta sul tema, in Italia il concetto di cybersecurity rimane ancora un elemento di frontiera, basato sulla costruzione di muri e legato al rispetto della compliance, mancano risorse e funzioni dedicate all’interno delle aziende. Serve pertanto un’attività di evangelizzazione, seppure alcune iniziative comincino ad andare nella giusta direzione”, come Dora, la normativa vincolante per il mondo del finance legata al principio di resilienza all’interno dell’Unione Europea per la messa in sicurezza del digitale”.
Veracode, intelligent software security
In questo contesto, l’artificial intelligence apre la strada alla nuova frontiera della software security e può consentire alle imprese di scalare le proprie azioni di remediation e di affrontare con più facilità i debiti di sicurezza arretrati e le falle emergenti. E’ questo il modello implementato da Veracode, piattaforma di software security che attraverso l’AI rileva le vulnerabilità in tutte le fasi di sviluppo del software.
“Ci caratterizza il fatto di avere digitalizzato il processo di remediation utilizzando l’AI generativa – spiega Tripodi -. Nel nostro laboratorio di macchine virtuali abbiamo addestrato un algoritmo Gpt open source attraverso i nostri esperti di sicurezza che monitorano i clienti a livello globale e siamo così in grado di recepire le vulnerabilità, definire il contesto del cliente e produrre automaticamente la fix”. Si tratta di un progetto partito due anni e mezzo fa con una fase di adoption da parte di alcuni clienti selezionati che ha visto poi la generale abilitazione del servizio lo scorso luglio. “Un modello legato all’altro elemento determinante del fattore umano perché per implementare un processo di sviluppo software sicuro e resiliente bisogna fare formazione e adottare un sistema che consenta alle persone di capire le problematiche affrontate per risolvere le vulnerabilità. Nel nostro caso, uno strumento completamente integrato con la piattaforma Veracode, con i dati che guidano i percorsi di apprendimento degli sviluppatori“.
Veracode crede in un modello di delivery dei servizi basato sul cloud, prosegue il manager: “Siamo nativamente SaaS, dal 2006, anno della fondazione dell’azienda in America, e questo ci consente da un lato di costruire nel tempo una conoscenza sulle varie casistiche che i nostri clienti incontrano e che mettiamo a fattor comune e dall’altro di essere efficaci nel prevedere e nell’individuare le vulnerabilità”.
Un modello tecnologico e di business che sta funzionando, dichiara Tripodi; sono circa 3.000 i clienti a livello globale dell’azienda e anche in Italia, dove Veracode è nata nell’agosto 2022, il business sta crescendo: oggi si contano circa 30 clienti distribuiti sui vari vertical di mercato, dalla grande banca fino alla software house, dai servizi e alle utility fino al manufacturing. A gestirli, un team di 6 persone che operano dalla sede di Milano, con l’obiettivo di incrementarne il numero, così come si punta a rafforzare la rete di partner raddoppiandone il numero – 5 gli attuali partner – entro l’anno fiscale facendo leva sul Velocity Partner Program, in un modello di vendita per il 60% tramite canale e il 40% diretto.
© RIPRODUZIONE RISERVATA