Studio SANS: le applicazioni non vengono testate a sufficienza
Lo sviluppo del software è sempre più affidato a team piccoli e agili, in grado di fornire applicazioni e aggiornamenti eseguibili in tempi brevi. Quasi la metà (43%) delle aziende rilascia nuove applicazioni, aggiornamenti o funzionalità su base settimanale o giornaliera. Ciò comporta sfide corrispondenti per la sicurezza informatica, come dimostra lo studio SANS.
Il 61% dei partecipanti allo studio State of Application Security 2017 della Istituti SANS ha indicato che le violazioni della sicurezza coinvolgono o sono causate da applicazioni web pubbliche. Il problema della sicurezza delle applicazioni nasce dal fatto che i test di sicurezza non sono ancora parte integrante dei cicli di sviluppo e aggiornamento rapidi: spesso non c'è abbastanza tempo per i test. Tuttavia, soprattutto i test di sicurezza di buona qualità hanno bisogno di tempo sufficiente per produrre risultati affidabili. "Il ritmo di sviluppo del software sta aumentando e le tecnologie che le aziende utilizzano per supportare le loro attività stanno diventando sempre più diverse", afferma Jim Bird, analista SANS e autore dello studio. "L'insieme di queste variabili sta cambiando il modo di pensare e di lavorare dei team di sviluppo, nonché la loro sicurezza e la loro capacità di gestire le risorse umane. Gestione del rischio-squadre in modo radicale".
I test di sicurezza continui sono rari
La sicurezza delle applicazioni utilizzate nelle aziende viene troppo spesso trascurata. Solo il 12% degli intervistati dichiara che la propria azienda esegue test di sicurezza su base continua. Questo dato contrasta con più di un terzo degli intervistati le cui aziende testano le applicazioni al massimo una volta all'anno (24%) o non effettuano alcun test regolare (10%). Le aziende che testano regolarmente le proprie applicazioni per verificare la presenza di vulnerabilità lo fanno spesso utilizzando revisioni del codice automatizzate o test di sicurezza statici (54%), che possono essere facilmente integrati in cicli di sviluppo rapidi. I più diffusi, tuttavia, sono i test di penetrazione interni, che vengono eseguiti nel 71% delle aziende intervistate. Il 58% utilizza anche fornitori esterni per i test di penetrazione.
I test di sicurezza richiedono maggiore scambio e nuove conoscenze
La mancanza di tempo e di integrazione dei test di sicurezza è un grosso problema per la sicurezza delle applicazioni. Ci sono alcuni ostacoli alla soluzione. Un buon terzo degli intervistati (34%) ha dichiarato che sarebbe necessario creare un ponte tra lo sviluppo del software, la sicurezza e la protezione. Conformità per stabilire.
Il 31% considera una sfida la forte separazione tra i dipartimenti. Gli intervistati affermano che i dipartimenti di sicurezza e sviluppo non scambiano abbastanza informazioni e non hanno contatti con gli altri dipartimenti. Quasi un quarto degli intervistati (24%) ha dichiarato che la sicurezza delle applicazioni non è adeguatamente finanziata e che il management non si impegna a sufficienza. La stessa percentuale di intervistati ha dichiarato che mancano le competenze, i metodi e gli strumenti giusti per i test di sicurezza.
Il management deve riconoscere la necessità di recuperare il ritardo
Come dimostra lo studio SANS, ci sono problemi sistematici nel Sicurezza delle applicazioniNei cicli di sviluppo mancano test programmati con precisione. Tuttavia, per stabilirli, i reparti di sviluppo, sicurezza e altri reparti aziendali devono collaborare maggiormente. È preoccupante che un quarto degli intervistati dichiari che mancano le basi, come le competenze, i metodi e gli strumenti attuali. In questo caso, la direzione deve assicurarsi che vengano forniti i metodi e gli strumenti giusti e che le competenze del personale addetto alla sicurezza informatica siano aggiornate.
È possibile trovare lo studio completo qui
