Aziende e ricercatori di sicurezza collaborano per identificare le vulnerabilità software
-
- Tweet
- Pin It
- Condividi per email
-
Veracode ha rilasciato i risultati di uno studio globale sul tema della divulgazione delle vulnerabilità software, denominato “Exploring Coordinated Disclosure“, che analizza comportamenti, politiche e aspettative associate alle modalità in cui organizzazioni e ricercatori di sicurezza esterni collaborano in caso di identificazione di vulnerabilità.
Dallo studio emerge che oggi le aziende di software e i ricercatori di sicurezza sono quasi universalmente d’accordo nel pensare che rivelare le vulnerabilità per migliorare la sicurezza software rappresenti un vantaggio per tutti. Il 90% dei rispondenti, infatti, ha confermato che la divulgazione di vulnerabilità “ha universalmente lo scopo più ampio di migliorare il modo in cui il software viene sviluppato, utilizzato e corretto”. Riconoscere che le vulnerabilità non affrontate determinino l’enorme rischio di conseguenze negative per gli interessi di imprese, consumatori e persino per la stabilità economica globale, rappresenta un punto di svolta nell’industria software.
“L’allineamento che lo studio rivela è molto positivo”, ha affermato Chris Wysopal, Chief Technology Officer and co-founder di Veracode. “La sfida, tuttavia, è che le politiche di divulgazione delle vulnerabilità sono estremamente incoerenti. Se i ricercatori non sono sicuri di come procedere quando rilevano una vulnerabilità, le organizzazioni rimangono esposte a minacce della sicurezza, dando ai criminali la possibilità di sfruttare queste vulnerabilità. Sebbene oggi disponiamo di strumenti e processi per trovare e ridurre il numero di bug nel software durante il processo di sviluppo ogni giorno vengono scoperte nuove vulnerabilità. Una solida politica di divulgazione rappresenta un elemento chiave indispensabile della strategia di sicurezza di un’organizzazione e consente ai ricercatori di lavorare con l’azienda stessa per ridurne l’esposizione. Una buona politica di divulgazione delle vulnerabilità definirà le procedure per lavorare con i ricercatori di sicurezza esterni, stabilirà le aspettative su tempistiche e risultati fissi, oltre a individuare i difetti e correggere i software prima che vengano distribuiti.”
Le divulgazioni di vulnerabilità non richieste avvengono regolarmente. L’indagine ha rilevato che negli ultimi 12 mesi oltre un terzo delle aziende ha ricevuto un report di divulgazione delle vulnerabilità non richiesto. Ciò rappresenta un’opportunità per collaborare con la parte che si occupa della segnalazione per correggere le vulnerabilità e quindi divulgarle, migliorando così la sicurezza generale. Per le organizzazioni che hanno ricevuto un rapporto di vulnerabilità non richiesto, il 90% delle vulnerabilità sono state divulgate in modo coordinato tra i ricercatori di sicurezza e l’azienda. Questa è la prova di un cambiamento significativo nella mentalità a dimostrazione che lavorare in modo collaborativo è l’approccio più efficace per raggiungere la trasparenza e migliorare la sicurezza.
I ricercatori di sicurezza sono motivati dal bene comune. Lo studio mostra che i ricercatori di sicurezza sono generalmente ragionevoli e motivati dal desiderio di migliorare la sicurezza per il bene comune. Il 57% dei ricercatori si aspetta che gli venga comunicato quando una vulnerabilità è stata riparata, mentre il 47% si aspetta aggiornamenti regolari sulla correzione e il 37% si aspetta di convalidare la correzione. Solo il 18% degli intervistati si aspetta di essere pagato e il 16% si aspetta il riconoscimento della propria scoperta.
Le aziende collaboreranno per risolvere i problemi. In modo promettente, tre aziende su quattro dichiarano di disporre di un metodo consolidato per ricevere un report da un ricercatore di sicurezza e il 71% degli sviluppatori ritiene che i ricercatori di sicurezza dovrebbero essere in grado di eseguire test non richiesti. Ciò potrebbe sembrare un controsenso poiché gli sviluppatori sarebbero maggiormente colpiti dall’interruzione del flusso di lavoro per effettuare una correzione di emergenza. Tuttavia i dati mostrano che gli sviluppatori vedono la divulgazione coordinata come parte del loro processo di sviluppo sicuro, si aspettano che il proprio lavoro venga testato al di fuori dell’organizzazione e sono pronti per rispondere ai problemi identificati.
Non sempre le aspettative dei ricercatori di sicurezza in merito ai tempi di riparazione sono realistiche. I dati mostrano che dopo aver segnalato una vulnerabilità il 65% dei ricercatori di sicurezza si aspetta una correzione in meno di 60 giorni. Questo lasso temporale potrebbe essere troppo impellente e persino irrealistico se confrontato con il report più recente Veracode State of Software Security Volume 9, che ha rilevato che oltre il 70% di tutte le falle rimane per un mese dopo la scoperta. Per tre mesi quasi il 55%. Inoltre, dallo studio emerge che le organizzazioni sono impegnate a correggere e divulgare in modo responsabile le falle e, contestualmente, devono avere un tempo ragionevole per farlo.
I bug bounty non sono una panacea. Secondo la ricerca sebbene i programmi di bug bounty siano al centro dell’attenzione quando si parla di divulgazione, sembra che in realtà il richiamo di un giorno di paga non stia guidando il grosso delle divulgazioni. Infatti, quasi la metà (47%) delle organizzazioni ha implementato programmi di bug bounty, ma solo il 19% delle segnalazioni di vulnerabilità proviene da questi. Sebbene possano far parte di una strategia di sicurezza globale i bug bounty si rivelano spesso inefficienti e costosi. Dato che la maggior parte dei ricercatori di sicurezza è principalmente motivata dal vedere riparata una vulnerabilità piuttosto che dal denaro, le aziende dovrebbero considerare di concentrare le proprie risorse limitate sullo sviluppo di un software sicuro che trova le vulnerabilità all’interno del ciclo di vita dello sviluppo del software.
Al fine di raccogliere dati rilevanti per questo report, 451 Research ha condotto un’indagine commissionata da Veracode – che si è svolta da dicembre 2018 a gennaio 2019 – utilizzando un campione rappresentativo di 1.000 intervistati in una vasta gamma di settori e organizzazioni di diverse dimensioni negli Stati Uniti, in Germania, Francia, Italia e Regno Unito. I rispondenti ricoprivano ruoli aziendali in ambiti diversi, tra cui lo sviluppo di applicazioni, sicurezza dell’infrastruttura e delle informazioni, nonché consulenti di sicurezza, valutatori di vulnerabilità di terze parti o tester di penetrazione e ricercatori indipendenti sulla sicurezza. Per partecipare agli intervistati era richiesto un livello di familiarità con i modelli di divulgazione delle vulnerabilità medio-alto.
Contenuti correlati
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezioneMoxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550 del padiglione 4.1 ispirandosi al tema “Forging Mobility Ahead” (definire lo sviluppo futuro della mobilità). L’azienda presenterà il primo router...
-
Giochi olimpici di Parigi 2024: il fattore sicurezzaDopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora rivolta ai Giochi Olimpici di Parigi di quest’estate, uno dei più grandi palcoscenici del mondo che proprio per questo è...
-
Faulhaber semplifica l’uso delle sue soluzioni di azionamento ai fini della semplessitàChiunque si interessi dei principali temi di attualità si sarà sicuramente imbattuto nel termine “semplessità”. Connubio dei termini “semplicità” e “complessità”, a prima vista potrebbe sembrare composto da due elementi contrapposti. Cosa è la “semplessità” Questo termine racchiude essenzialmente...
-
Security Summit sbarca a CagliariL’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi potenzialità per le piccole e medie imprese del Made in Italy; imprescindibile è, tuttavia, la consapevolezza dei rischi cyber che...
-
Siemens e MGA: una partnership virtuosa verso l’innovazione dell’industria farmaceuticaMasco Group Automation (MGA), società parte di Masco Group, è un’azienda specializzata nello sviluppo e nella produzione di soluzioni per l’automazione e la digitalizzazione nel settore Pharma. Fondata con l’obiettivo di fornire tecnologie all’avanguardia per ottimizzare i...
-
Formazione multi-brand con Sacchi in automazione industrialeSacchi Elettroforniture, azienda di riferimento nella distribuzione di materiale elettrico e rinnovabili del Nord Italia, prosegue nel suo programma di formazione dedicato a tutti i professionisti del settore elettrico, con l’obiettivo di formare i prossimi esperti e...
-
Produttività personale e rispetto dell’ambienteQuest’anno ho partecipato a due eventi dei quali intendo parlare qui: un incontro dedicato agli utenti di un’azienda di software e la fiera Automate 2024, focalizzata su robot, visione e controllo del movimento. Software… Aras realizza prodotti...
-
Treni protetti dalle minacce informaticheCodeMeter protegge il sistema di avviso di collisione ferroviaria TrainCAS di Intelligence on Wheels per viaggi in treno sicuri e protetti Intelligence on Wheels (IoW), azienda fondata dai pionieri aerospaziali tedeschi di DLR, ha integrato la tecnologia...
-
Quali sono i rischi informatici nell’industria manifatturiera?Il rapporto Clusit del primo semestre del 2023 ha evidenziato in Italia un aumento del 40% degli attacchi informatici e preoccupa il fatto che il settore manifatturiero sia quello maggiormente colpito L’industria manifatturiera è uno degli obiettivi...
-
La salvezza che viene dagli standardIl ‘Main Event 2024’ di Consorzio PI Italia ha costituito un momento di confronto su due tematiche molto sentite dall’industria, robotica e cybersecurity, nonché un’occasione per ‘fare il punto’ sulla diffusione ed evoluzione delle tecnologie di comunicazione...
Scopri le novità scelte per te
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezione
Moxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550...
-
Giochi olimpici di Parigi 2024: il fattore sicurezza
Dopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora...
Notizie Tutti ▶
-
Economia circolare, Siemens e Osai GreenTech al recupero dei metalli preziosi dai RAEENell’economia lineare l’estrazione, la lavorazione e lo smaltimento dei metalli preziosi comportano un consumo...
-
1° ottobre, appuntamento con la II edizione dell’IO-Link DaySulla scia del successo della prima edizione, torna l’evento di Consorzio PI Italia dedicato...
-
Hewlett Packard e Danfoss insieme per ridurre il consumo energetico nei data centerHewlett Packard Enterprise e Danfoss collaborano per la fornitura di HPE IT Sustainability Services...
Prodotti Tutti ▶
-
Switch Ethernet di Red Lion per operazioni mission-critical in ambienti difficiliRed Lion, produttore di tecnologie innovative che consentono alle organizzazioni industriali di accedere, connettersi...
-
Sensori di corrente a rilevamento magnetico di Allegro per industria, automotive ed energie rinnovabiliAllegro MicroSystems ha sviluppato i sensori di corrente ad alta potenza ACS37220 e ACS37041,...
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezioneMoxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024...
