Aziende e ricercatori di sicurezza collaborano per identificare le vulnerabilità software
-
- Tweet
- Pin It
- Condividi per email
-
Veracode ha rilasciato i risultati di uno studio globale sul tema della divulgazione delle vulnerabilità software, denominato “Exploring Coordinated Disclosure“, che analizza comportamenti, politiche e aspettative associate alle modalità in cui organizzazioni e ricercatori di sicurezza esterni collaborano in caso di identificazione di vulnerabilità.
Dallo studio emerge che oggi le aziende di software e i ricercatori di sicurezza sono quasi universalmente d’accordo nel pensare che rivelare le vulnerabilità per migliorare la sicurezza software rappresenti un vantaggio per tutti. Il 90% dei rispondenti, infatti, ha confermato che la divulgazione di vulnerabilità “ha universalmente lo scopo più ampio di migliorare il modo in cui il software viene sviluppato, utilizzato e corretto”. Riconoscere che le vulnerabilità non affrontate determinino l’enorme rischio di conseguenze negative per gli interessi di imprese, consumatori e persino per la stabilità economica globale, rappresenta un punto di svolta nell’industria software.
“L’allineamento che lo studio rivela è molto positivo”, ha affermato Chris Wysopal, Chief Technology Officer and co-founder di Veracode. “La sfida, tuttavia, è che le politiche di divulgazione delle vulnerabilità sono estremamente incoerenti. Se i ricercatori non sono sicuri di come procedere quando rilevano una vulnerabilità, le organizzazioni rimangono esposte a minacce della sicurezza, dando ai criminali la possibilità di sfruttare queste vulnerabilità. Sebbene oggi disponiamo di strumenti e processi per trovare e ridurre il numero di bug nel software durante il processo di sviluppo ogni giorno vengono scoperte nuove vulnerabilità. Una solida politica di divulgazione rappresenta un elemento chiave indispensabile della strategia di sicurezza di un’organizzazione e consente ai ricercatori di lavorare con l’azienda stessa per ridurne l’esposizione. Una buona politica di divulgazione delle vulnerabilità definirà le procedure per lavorare con i ricercatori di sicurezza esterni, stabilirà le aspettative su tempistiche e risultati fissi, oltre a individuare i difetti e correggere i software prima che vengano distribuiti.”
Le divulgazioni di vulnerabilità non richieste avvengono regolarmente. L’indagine ha rilevato che negli ultimi 12 mesi oltre un terzo delle aziende ha ricevuto un report di divulgazione delle vulnerabilità non richiesto. Ciò rappresenta un’opportunità per collaborare con la parte che si occupa della segnalazione per correggere le vulnerabilità e quindi divulgarle, migliorando così la sicurezza generale. Per le organizzazioni che hanno ricevuto un rapporto di vulnerabilità non richiesto, il 90% delle vulnerabilità sono state divulgate in modo coordinato tra i ricercatori di sicurezza e l’azienda. Questa è la prova di un cambiamento significativo nella mentalità a dimostrazione che lavorare in modo collaborativo è l’approccio più efficace per raggiungere la trasparenza e migliorare la sicurezza.
I ricercatori di sicurezza sono motivati dal bene comune. Lo studio mostra che i ricercatori di sicurezza sono generalmente ragionevoli e motivati dal desiderio di migliorare la sicurezza per il bene comune. Il 57% dei ricercatori si aspetta che gli venga comunicato quando una vulnerabilità è stata riparata, mentre il 47% si aspetta aggiornamenti regolari sulla correzione e il 37% si aspetta di convalidare la correzione. Solo il 18% degli intervistati si aspetta di essere pagato e il 16% si aspetta il riconoscimento della propria scoperta.
Le aziende collaboreranno per risolvere i problemi. In modo promettente, tre aziende su quattro dichiarano di disporre di un metodo consolidato per ricevere un report da un ricercatore di sicurezza e il 71% degli sviluppatori ritiene che i ricercatori di sicurezza dovrebbero essere in grado di eseguire test non richiesti. Ciò potrebbe sembrare un controsenso poiché gli sviluppatori sarebbero maggiormente colpiti dall’interruzione del flusso di lavoro per effettuare una correzione di emergenza. Tuttavia i dati mostrano che gli sviluppatori vedono la divulgazione coordinata come parte del loro processo di sviluppo sicuro, si aspettano che il proprio lavoro venga testato al di fuori dell’organizzazione e sono pronti per rispondere ai problemi identificati.
Non sempre le aspettative dei ricercatori di sicurezza in merito ai tempi di riparazione sono realistiche. I dati mostrano che dopo aver segnalato una vulnerabilità il 65% dei ricercatori di sicurezza si aspetta una correzione in meno di 60 giorni. Questo lasso temporale potrebbe essere troppo impellente e persino irrealistico se confrontato con il report più recente Veracode State of Software Security Volume 9, che ha rilevato che oltre il 70% di tutte le falle rimane per un mese dopo la scoperta. Per tre mesi quasi il 55%. Inoltre, dallo studio emerge che le organizzazioni sono impegnate a correggere e divulgare in modo responsabile le falle e, contestualmente, devono avere un tempo ragionevole per farlo.
I bug bounty non sono una panacea. Secondo la ricerca sebbene i programmi di bug bounty siano al centro dell’attenzione quando si parla di divulgazione, sembra che in realtà il richiamo di un giorno di paga non stia guidando il grosso delle divulgazioni. Infatti, quasi la metà (47%) delle organizzazioni ha implementato programmi di bug bounty, ma solo il 19% delle segnalazioni di vulnerabilità proviene da questi. Sebbene possano far parte di una strategia di sicurezza globale i bug bounty si rivelano spesso inefficienti e costosi. Dato che la maggior parte dei ricercatori di sicurezza è principalmente motivata dal vedere riparata una vulnerabilità piuttosto che dal denaro, le aziende dovrebbero considerare di concentrare le proprie risorse limitate sullo sviluppo di un software sicuro che trova le vulnerabilità all’interno del ciclo di vita dello sviluppo del software.
Al fine di raccogliere dati rilevanti per questo report, 451 Research ha condotto un’indagine commissionata da Veracode – che si è svolta da dicembre 2018 a gennaio 2019 – utilizzando un campione rappresentativo di 1.000 intervistati in una vasta gamma di settori e organizzazioni di diverse dimensioni negli Stati Uniti, in Germania, Francia, Italia e Regno Unito. I rispondenti ricoprivano ruoli aziendali in ambiti diversi, tra cui lo sviluppo di applicazioni, sicurezza dell’infrastruttura e delle informazioni, nonché consulenti di sicurezza, valutatori di vulnerabilità di terze parti o tester di penetrazione e ricercatori indipendenti sulla sicurezza. Per partecipare agli intervistati era richiesto un livello di familiarità con i modelli di divulgazione delle vulnerabilità medio-alto.
Contenuti correlati
-
Le previsioni di Unit 42: Il 2025 sarà l’anno della disruptionSam Rubin di Unit 42 di Palo Alto Networks analizza e condivide le tendenze di cybersecurity del 2025: “Anno delle interruzioni delle attività”, è questo il termine che contraddistinguerà il 2025, che si presenta come un periodo...
-
Investimenti digitali in Italia, +1,5% nel 2025 secondo gli Osservatori del PoliMiNonostante l’incertezza economica, le aziende italiane confermano gli investimenti nel digitale, ritenuto essenziale per mantenere competitività. Secondo i dati della ricerca degli Osservatori Startup Thinking e Digital Transformation Academy del Politecnico di Milano, per il 2025 si...
-
Windchill di PTC al centro della trasformazione digitale del Gruppo CarraroPTC è stato selezionato quale fornitore strategico dal Gruppo Carraro, che ha scelto Windchill quale piattaforma PLM (Product Lifecycle Management) di ultima generazione per gestire il ciclo di vita dei suoi prodotti in un’ottica di integrazione della...
-
Flessibilità e digitalizzazione con l’automazione modulare di Copa-DataI nuovi paradigmi di produzione nelle scienze della vita pongono sfide sempre più complesse agli ingegneri impegnati nell’automazione e digitalizzazione dei processi. Settori come il biotech, la chimica a flusso continuo e le terapie cellulari devono affrontare...
-
Digitalizzazione, IoT e cybersecurity: il nuovo volto del mobile hydraulicsGrazie alle tecnologie IoT, il comparto mobile hydraulics si dirige verso una continua integrazione tra automazione, connettività e gestione intelligente dei dati. Il settore mobile hydraulics sta attraversando una trasformazione senza precedenti. L’integrazione delle tecnologie IoT e...
-
Scopri tutto il potenziale di pylon vTools di BaslerIn campo della visione artificiale, pylon vTools di Basler offre funzioni avanzate di elaborazione e analisi delle immagini, basate su algoritmi classici e di intelligenza artificiale. Grazie a un’interfaccia intuitiva, è possibile creare pipeline robuste per applicazioni...
-
Processi logistici ottimizzati per il Gruppo Renault con Reflex WMSReflex (business unit del Gruppo Hardis), fornitore di software per la supply chain, ha sviluppato il sistema di gestione del magazzino Reflex WMS presso il Gruppo Renault. Nel 2018 il Gruppo Renault ha scelto infatti di implementare...
-
Scopri il potenziale del software VisualApplets di BaslerIl software VisualApplets di Basler semplifica lo sviluppo di applicazioni avanzate di visione artificiale grazie alla programmazione grafica su FPGA. I settori di utilizzo Perfetto per settori come il packaging, l’automotive, l’elettronica e il medicale, il software...
-
Scuole e cybersecurity, ecco il patentino di cittadinanza digitale per gli studenti“Noi cittadini digitali” è la nuova iniziativa di education di Trend Micro indirizzata agli studenti delle scuole italiane in collaborazione con Junior Achievement Italia, parte di Junior Achievement Worldwide, la più vasta organizzazione non profit al mondo...
-
Ingegneria in cloud e assistenti AI nella suite di progettazione B&RAlla fiera SPS di quest’anno a Norimberga, in Germania, B&R ha annunciato un importante aggiornamento della sua suite completa di software di progettazione e runtime. Con Automation Studio Code, B&R introduce un’esperienza di progettazione completamente nuova. La...
Scopri le novità scelte per te
-
Le previsioni di Unit 42: Il 2025 sarà l’anno della disruption
Sam Rubin di Unit 42 di Palo Alto Networks analizza e condivide le tendenze di cybersecurity del...
-
Investimenti digitali in Italia, +1,5% nel 2025 secondo gli Osservatori del PoliMi
Nonostante l’incertezza economica, le aziende italiane confermano gli investimenti nel digitale, ritenuto essenziale per mantenere competitività. Secondo...
Notizie Tutti ▶
-
Clusit, Anna Vaccarelli eletta presidenteÈ Anna Vaccarelli la nuova presidente di Clusit, Associazione Italiana per la Sicurezza Informatica. I...
-
Inclusione e parità: il percorso di RS Italia verso un futuro più equoPer RS Italia, il 2024 è stato un anno molto importante per rafforzare la...
-
AI generativa per le presse Mecolpress per lo stampaggio a caldoMecolpress, punto di riferimento nel settore della produzione di presse per lo stampaggio a...
Prodotti Tutti ▶
-
Gestione dell’energia nell’armadio di comando con EcoStruxure Panel Server di Schneider ElectricSchneider Electric presenta il suo gateway IoT della prossima generazione: “L’unità Panel Server PAS...
-
Protezione contro le sovratensioni per router in fibra otticaA fronte di un’inarrestabile espansione delle reti in fibra ottica, per le connessioni Internet...
-
Con un ‘clic’ per un cablaggio più sicuroVeloce come schioccare le dita: la nuova tecnologia di connessione Snap IN di Weidmüller...
