Gli ultimi anni hanno visto un costante incremento dei crimini informatici che ha riguardato tutti i settori aggravandone i problemi di sicurezza, senza eccezioni. Tra questi, il settore dei servizi finanziari risulta essere uno dei più colpiti. Nonostante ciò, il recente report State of Software Security (SoSS) di Veracode ha evidenziato come il settore abbia ridotto la presenza di falle di sicurezza nelle applicazioni e velocizzato i tassi di correzione rispetto agli altri settori osservati. Infatti, secondo i dati del report, “solo” il 72% delle applicazioni analizzate nell’ultimo anno nel settore dei servizi finanziari conteneva delle falle, una percentuale ancora preoccupante, ma inferiore rispetto ad altri mercati.
Con settore dei servizi finanziari intendiamo banche, online banking, gestioni patrimoniali, compagnie di carte di credito e compagnie assicurative, e tante altre tipologie di aziende. Visto l’elevato numero di utenti e clienti, il rischio portato dalla presenza di falle potrebbe essere catastrofico. Si pensi, ad esempio, a un codice vulnerabile che apre la porta a un attaccante per violare e/o compromettere un conto online personale. E non si tratta di scenari puramente teorici, sono infatti numerose le attività pericolose rivolte a istituti bancari, che siano attacchi DDoS per bloccare i sistemi, ransomware per crittografare i dati e richiedere un riscatto o email di phishing al database dei clienti per ottenerne le credenziali. Se i criminali informatici riuscissero a infiltrarsi all’interno dei server di una azienda finanziaria ed entrare in possesso di informazioni sensibili di migliaia di clienti e dipendenti, le perdite, di denaro, produttività e reputazione, potrebbe essere davvero disastrose.
Con una simile posta in gioco, diventa imperativo comprendere i rischi legati alla vulnerabilità del codice e come proteggere le applicazioni in questo settore specifico.
Aumentare l’impegno verso una maggiore difesa
Nell’ultimo anno, le prestazioni di sicurezza delle applicazioni nel settore dei servizi finanziari sono passate da un livello “intermedio” a “generalmente superiore”, rispetto a quelle degli altri settori nelle quattro tipologie di falle monitorate e analizzate.
Figura 1. Percentuale di applicazioni che hanno riscontrato una falla nell’ultima scansione degli ultimi 12 mesi, per categoria.
Le percentuali più basse raffigurano prestazioni migliori.
Poco meno del 72% delle applicazioni ha riscontrato almeno una falla di sicurezza nella più recente scansione degli ultimi 12 mesi, rispetto al 76% medio degli altri settori. Si tratta di un miglioramento dell’1% rispetto al 73% dell’anno scorso, con una tendenza moderatamente positiva. Sia nella OWASP Top10 che CWE Top25, rispettivamente con il 67,1% e 51,7% delle applicazioni che hanno introdotto almeno una falla nell’ultima scansione degli ultimi 12 mesi, il settore dei servizi finanziari ha avuto le migliori prestazioni.
L’importanza di proseguire con i percorsi di formazione e le scansioni tramite API
I team IT che integrano la scansione tramite API ottengono maggiore automazione e controllo sulla pipeline di sviluppo, riducendo del 2,9% mensile la possibilità di introdurre falle. Si tratta di un miglioramento di quasi un punto percentuale rispetto agli altri settori analizzati nel report e, considerando che la probabilità di base è del 27%, si tratta di una riduzione significativa. Il passo successivo è la formazione. Anche in questo caso si sono evidenziati dei miglioramenti di quasi un intero punto percentuale. Mentre gli altri elementi seguono la tendenza di tutti gli altri settori, questi due (scansione API e formazione) si distinguono e, combinati, diminuiscono sensibilmente la probabilità di introdurre delle falle a meno del 22%.
Figura 2. Fattori che influenzano la probabilità di una falla
Infine, nel report è emerso che i fattori indicati si rivelano utili in più modi, soprattutto per il settore dei servizi finanziari. È una sorta di double-dipping e, come analizzato negli anni precedenti, la formazione degli sviluppatori ha un quadruplo effetto positivo sulla velocità di correzione e sul numero di difetti risolti. Non è solo questione di analizzare la probabilità di introdurre difetti, ma anche di analizzare come gli stessi fattori appena citati influenzino il numero di difetti introdotti quando si diffondono. Il dato che emerge è che i team IT che hanno completato 10 corsi di formazione hanno introdotto il 26% di falle in meno, un quarto in meno rispetto alla media generale degli altri settori.
Figura 3. Fattori che influenzano la quantità di falle introdotte.
L’analisi approfondita delle vulnerabilità del codice inclusa nel report permette di tracciare un quadro il più possibile completo di uno dei principali fattori di rischio per ogni azienda, che diventa ancor più critico per il settore di servizi finanziari. Una falla nel codice potrebbe compromettere applicazioni rilevanti per il business, danneggiandone di fatto la continuità operativa o mettendo a rischio transazioni sensibili. Un’efficace strategia di protezione non può prescindere da una visibilità quanto più possibile estesa del codice sottostante, sotto molti aspetti la base fondante di ogni applicazione aziendale.
A cura di Massimo Tripodi, Country Manager di Veracode Italia
