Di Filippo Buletto – Cyber Security Specialist at InfoCert
Gli attacchi diretti alla sicurezza delle applicazioni sono la fonte principale delle brecce che l’industria informatica sostiene in un mondo che, ad oggi, è altamente interconnesso e dipendente dai sistemi tecnologici.[1]
Spendere tempo e denaro in anticipo sulla sicurezza delle applicazioni può ridurre significativamente i costi e i rischi a posteriori ma non sempre si rivela essere la strategia principale messa in campo dalle aziende che operano nel settore informatico.
Perché tutto ciò? Il compromesso sta nel fatto che tempo e denaro spesi per la sicurezza preventiva sono tempo e denaro che non si possono spendere per accelerare il ritmo di consegna del software. La spesa viene sovente ridotta finché la sicurezza e i rischi vengono percepiti ad un livello accettabile per i clienti, partner e management.
La chiave sta quindi nel determinare il giusto equilibrio tra controllo proattivo, agilità reattiva, tolleranza per i rischi, selezione degli strumenti e pratiche giuste per rendere le applicazioni sicure senza rallentare lo sviluppo. Vedremo quindi come la percezione del rischio e dei benefici relativi a questa buona pratica di sicurezza applicativa giochi un ruolo fondamentale per la sua applicazione.
In questo articolo conosceremo l’applicazione dei controlli e degli interventi proattivi tramite un’analogia che può aiutare anche i meno esperti del settore a capire perché trattasi di uno strumento molto importante nonché sottovalutato.
Sistema informatico come un organismo vivente
Cos’è un “organismo”? Vediamo la definizione dal vocabolario Treccani:
- In biologia, essere vivente, animale o vegetale, dotato di una propria forma specifica, di struttura cellulare, e costituito da un insieme di organi interdipendenti e in relazione funzionale tale da renderlo capace di vivere autonomamente, cioè di conservare ed eventualmente reintegrare la propria forma, e di riprodursi
- Sistema organizzato, costituito di varie parti fra loro connesse e interdipendenti
Risulta subito evidente come la definizione sia molto vicina a quella di un sistema informatico: un sistema organizzato e strutturato, parti connesse e interdipendenti, capacità di conservare la propria forma/integrità.
L’analogia non termina alla definizione, risulta infatti applicabile anche nell’ambito della sicurezza informatica, nello specifico per quanto riguarda l’attacco al sistema informatico, il quale consiste in estrema sintesi in un atto esterno “malevolo” finalizzato all’alterazione del sistema ed all’asportazione di parti di alto valore (i dati!).
Vediamo quindi come il sistema-organismo debba essere fornito di quello che potremmo definire un “incentivo” al sistema immunitario, uno scudo naturale sempre pronto ad intervenire (sia passivamente che attivamente) in caso di aggressioni esterne.
Sicurezza in tempi di pandemia
Mai come in questo periodo storico siamo stati esposti a concetti come quelli di virus, o agente malevolo, capace di arrecare un grave danno al nostro corpo, capendo quale ruolo chiave giochi il controllo e la prevenzione delle malattie nella società moderna.
L’attacco di un patogeno è spesso tanto inaspettato quanto violento e pericoloso e, quando si manifesta con queste modalità, può provocare gravi danni al punto che ogni misura atta a contenere il problema risulta spesso inefficace o, peggio, tardiva e inutile.
Ecco perché l’arma più potente che la scienza medica ha prodotto per contrastare l’azione di questi patogeni malevoli è un sistema proattivo: il vaccino[2]!
Eccoci arrivati all’analogia principale: intervenire proattivamente nella sicurezza informatica prima e durante il ciclo di sviluppo applicativo è totalmente assimilabile all’uso di un vaccino per sconfiggere l’agente malevolo esterno che vuole attaccare il nostro sistema-organismo!
Vediamo qualche parallelismo:
- Il sistema informatico in via di sviluppo è sano, non è (ancora) malato, come il vaccino viene inoculato ad organismi sani anche i controlli sono sviluppati senza un effettivo attacco in corso.
- Controlli e interventi fanno parte del sistema, non sono esterni, così come il vaccino potenzia il sistema immunitario dell’organismo proteggendolo senza l’intervento di altri medicinali.
- Controlli e interventi proattivi hanno un costo, anche la somministrazione dei vaccini è costosa (in Italia in maniera indiretta, tramite il Servizio Sanitario Nazionale).
- L’utilizzo di controlli proattivi ha un’efficacia nel lungo periodo e promuove l’uso di “Best Practices”, come i vaccini non sono limitati al miglioramento di situazioni cliniche ma sono anche in grado di promuovere la crescita economica dei Paesi che li utilizzano[3].
Nonostante siano entrambi concetti condivisi ed evidentemente utili, vi è esitazione diffusa sul loro utilizzo ed uno dei principali motivi è: la percezione del rischio e dei benefici.
La prevenzione sembra controintuitiva ma risulta efficace
Cos’è la percezione del rischio?
La percezione del rischio è un processo cognitivo coinvolto in diverse attività quotidiane e che orienta i comportamenti delle persone di fronte a decisioni che coinvolgono dei rischi potenziali. La percezione del rischio coinvolge diverse dimensioni come, per esempio, le conseguenze sia immediate sia future e le loro implicazioni tanto su un piano razionale ed oggettivo quanto su un piano emozionale e soggettivo[4].
Vediamo quindi che la predisposizione umana è quella di gestire il rischio in maniera istintiva ed emozionale, la tendenza comune è quella di percepire come negativo qualcosa che conosciamo poco (o dalla natura sconosciuta) e come positivo qualcosa che ci è familiare (ma che risulta oggettivamente peggiore).
Nonostante la percezione sia spesso di scetticismo, sia nei confronti dei vaccini[5], che dei controlli proattivi[6], l’evidenza è che si tratti di misure estremamente efficaci per mantenere i nostri sistemi-organismi sani ed al sicuro da attacchi esterni.
Ecco perché, per passare da una valutazione intuitiva e negativa ad una oggettiva e positiva, è necessario approfondire questi controlli e interventi proattivi, scoprendo come e quando implementarli e quali sono i benefici che questi apporteranno ai sistemi rendendoli “secure by design”.
Qual è quindi un metodo efficace per dotarsi di questi controlli ed assicurarsi che questi siano implementati durante tutto il ciclo di sviluppo di un software? Evolvere il proprio Ciclo di vita dello sviluppo del software (Software Development Life Cycle – SDLC) in un “Ciclo di vita dello sviluppo sicuro del software” (Secure Software Development Life Cycle – SSDLC), argomento che approfondiremo nel prossimo articolo di questa serie.
[1] Data Breach Investigations Report 2021 https://www.verizon.com/business/resources/reports/dbir/2021/masters-guide/
[2] Il valore scientifico e sociale della vaccinazione https://www.vaccinarsi.org/scienza-conoscenza/vantaggi-rischi-vaccinazioni/il-valore-scientifico-e-sociale-della-vaccinazione
[3] Bloom DE. The value of vaccination. Adv Exp Med Biol. 2011;697:1-8.
[4] Percezione del rischio https://www.dpss.unipd.it/JDMLab/aree-di-ricerca/percezione-del-rischio
[5] Centers for Disease Control and Prevention. Impact of Vaccines in the 20th & 21st Centuries. The Pink Book: Course Textbook – 13th Edition 2015. http://www.cdc.gov/vaccines/pubs/pinkbook/index.html
[6] OWASP Proactive Controls https://owasp.org/www-project-proactive-controls/
Autore: