Anche per la sicurezza IT vale il principio del “meglio prevenire che curare”. Gli strumenti per fermare gli attacchi fanno certamente il loro mestiere, ma oggi sempre più i danni stanno arrivando dalle mancate patch delle applicazioni, progettate, sviluppate e messe sul mercato senza tenere conto del fatto che potrebbero, anzi potranno, essere oggetto o veicolo di attacco. Per questo motivo il Security by design è destinato a rappresentare il nuovo paradigma su cui si svilupperà la sicurezza per il futuro.
«Se ne parla in quelle aziende che hanno adottato modelli di sviluppo DevOps – spiega Salvatore Marcis, Technical Director di Trend Micro Italia –, ossia che hanno portato alla fusione o integrazione tra il team di sviluppo applicativo e quello delle operation, arrivando al Security by design quando anche la sicurezza entra a far parte in maniera strutturata di questo modello di rilascio applicativo. La sicurezza esce quindi da un team separato per entrare a far parte del modello di sviluppo del software stesso e del suo test».
Un parametro raggiungibile con maggiore facilità da aziende startup, nate da poco e nel pieno dell’era dell’instant marketing del software, che hanno iniziato il proprio sviluppo applicativo già su modelli DevOps. Chi è entrato in tale ottica, oggi può godere di tempi estremamente ridotti per lo sviluppo, lavorando per microservizi: piccole parti di applicazione che vengono modificate in maniera molto veloce e da team di sviluppo più piccoli, nei quali è fondamentale che la sicurezza entri già nel progetto di ogni piccolo singolo step, con il risultato di avere meno codice da analizzare e maggiori possibilità di rimediare a eventuali errori, oltre che di portare sicurezza nella applicazione pubblicata senza dover intervenire successivamente.
Indice degli argomenti
I passi che le aziende devono intraprendere
Per arrivare ad adottare tale modello, le aziende devono innanzitutto capire se la struttura della propria organizzazione consente di intraprendere il processo di integrazione richiesto dal modello DevOps. Se lo sviluppo è delegato a terzi o se è interno. Se il team operation è pronto a lavorare anche con il team di sviluppo. E, soprattutto, se alla sicurezza è dato lo spazio per entrare nel processo di sviluppo e rilascio dell’applicazione.
«Molte aziende si stanno muovendo in tale direzione – osserva Marcis -. Lo vediamo nelle grandi enterprise, nelle Telco, nelle aziende focalizzate sui sistemi energetici, le multiutility. Oppure le prime startup nate dopo il 2000, che sono quelle che possono più beneficiare di tali processi, perché già hanno affrontato i temi dello sviluppo in ambito agile e DevOps. Aziende, tutte, che con sforzi ridotti possono ricevere grandi vantaggi dall’inserimento della sicurezza nel loro modello».
Ma a beneficiarne possono essere anche i produttori di dispositivi, come nel caso degli elettrodomestici intelligenti, magari gestibili da app via smartphone, o videocamere e dispositivi IoT in generale, pilotabili da distanza. «Fino a oggi si pensava allo sviluppo solo per il funzionamento e programmazione del dispositivo e basta, oggi invece anche chi sviluppa questi programmi può inserire la quota di security all’interno del loro processo di sviluppo» informa il direttore tecnico.
Smart Check controlla il grado di sicurezza dell’applicazione
Proprio al fine di evitare rallentamenti di rilascio dovuti al controllo dei parametri di sicurezza o, peggio, di avere brutte sorprese in vulnerabilità dopo che il software è stato messo in produzione, Trend Micro ha sviluppato Smart Check, parte della propria famiglia di soluzioni Deep Security, che consente a quelle aziende che hanno già approcciato lo sviluppo a livello di microservizi o DevOps, e che hanno a cuore l’analisi dei parametri di sicurezza della loro applicazione all’interno del ciclo di sviluppo, di analizzare in maniera automatica il software prima che venga validato. E avere notifiche di presenza di malware o vulnerabilità all’interno del codice applicativo prima che il software sia messo in produzione.
«La caratteristica principale di Smart Check è soprattutto la possibilità di essere richiamato dai tool di orchestrazione – dettaglia Marcis -, utile per quelle aziende che hanno basato lo sviluppo applicativo su task automatizzati, le quali possono richiamare la piattaforma per lanciare un’analisi del codice e identificare eventuali malware o vulnerabilità. Terminata l’analisi viene inviato un report all’orchestratore e il cliente può decidere se mandare l’applicativo in produzione o di rispedirlo agli sviluppatori con le indicazioni necessarie a sanare le vulnerabilità riscontrate in base al punteggio di rischio definito».
Un’analisi di questo tipo consente di dare visibilità immediata al team degli sviluppatori e delle operation di quelle che possono essere piccole modifiche o aggiornamenti da fare al software e poter correggere problemi di malware con grande rapidità già nella fase di sviluppo. Ciò comporta che anche gli altri strumenti più tradizionali da adottare, che comunque continueranno a essere indispensabili, come il firewall, per esempio, potranno adottare politiche di sicurezza meno stringenti e impattare in maniera più lieve sulle performance dei sistemi e degli applicativi stessi.
