Secondo i dati emersi da un recente report di Veracode “State of Software Security 2023”, le applicazioni aziendali sviluppate in Europa, Medio Oriente e Africa tendono a contenere più falle di sicurezza rispetto a quelle create dalle loro controparti statunitensi. Tra tutte le regioni analizzate, EMEA presenta anche la più alta percentuale di falle di “elevata gravità”, un problema critico per le aziende se venissero sfruttate. Elevate vulnerabilità comportano un aumento dei livelli di rischio, aspetto da non sottovalutare in un momento in cui i cyberattacchi alla software supply chain sono sempre più comuni.
“I nostri dati evidenziano che le aziende, in tutto il mondo, continuano a distribuire una quantità preoccupante di applicazioni con un alto numero di falle presenti nella Top 25 della CWE”, ha dichiarato Chris Eng, Chief Research Officer di Veracode. “Abbiamo anche rilevato differenze geografiche, in particolare in termini di utilizzo di codice di terze parti o open-source e di modalità di introduzione delle vulnerabilità nel ciclo di vita dell’applicazione.”
I ricercatori infatti hanno scoperto che oltre l’80% delle applicazioni sviluppate dalle aziende EMEA presentava almeno una falla di sicurezza, rilevata nel corso degli ultimi 12 mesi, rispetto al valore di poco inferiore al 73% delle imprese statunitensi. Sempre in EMEA, la percentuale di applicazioni contenenti vulnerabilità di “elevata gravità” è stata la più alta rispetto a tutte le regioni, raggiungendo quasi il 20%.
L’impatto su migliaia di vittime
Basato sull’analisi di dati raccolti nel corso di oltre 27 milioni di scansioni effettuate su 750.000 applicazioni, il report State of Software Security 2023, esamina lo stato della sicurezza del software e presenta risultati dettagliati per l’area EMEA, che comprende Regno Unito, Germania, Francia, Italia, Medio Oriente e Africa.
Questi numeri, presi singolarmente, non rendono l’idea delle potenziali conseguenze dello sfruttamento delle vulnerabilità del software da parte dei criminali informatici. Le organizzazioni EMEA utilizzano un mix sempre più complesso di software di terze parti per fornire i propri servizi, con il risultato che lo sfruttamento di una singola grave vulnerabilità potrebbe avere un impatto su migliaia di vittime contemporaneamente.
Java e il codice di terze parti introducono falle di sicurezza significative
La ricerca ha individuato notevoli differenze geografiche nell’utilizzo di piattaforme software, con Java che si è rivelato il linguaggio più utilizzato dagli sviluppatori EMEA. I team che lo utilizzano hanno rimediato alle falle a un ritmo più lento rispetto a chi ha utilizzato .NET o JavaScript, facendo sì che molte siano rimaste persistenti o nascoste per un periodo di tempo significativamente più lungo. Poiché oltre il 95% delle applicazioni Java è costituito da codice di terze parti o open-source, il suo forte utilizzo ha un ruolo chiave nella percentuale più elevata di vulnerabilità introdotte nelle applicazioni dell’area. Questo evidenzia l’importanza dell’analisi della composizione del software (SCA), che individua le falle nel codice open-source.
C’è un altro fattore significativo: mentre l’intelligenza artificiale generativa guadagna sempre più terreno nello sviluppo del software, aumenta anche il rischio di vulnerabilità provenienti da fonti esterne. Uno studio, presentato al Black Hat nel 2022, ha evidenziato falle nel 40% del codice scritto da modelli linguistici di grandi dimensioni addestrati su vasti bacini di dati non raffinati, tra cui milioni di repository pubblici di GitHub. È quindi fondamentale che le aziende sfruttino gli strumenti SCA per rilevare e correggere queste falle, consentendo agli sviluppatori di sfruttare l’intelligenza artificiale senza compromettere la sicurezza delle applicazioni.
Le applicazioni diventano più vulnerabili nel tempo
E’ anche stato rilevato che le applicazioni EMEA continuano a introdurre falle a un ritmo molto più elevato nell’intero ciclo di vita applicativo rispetto alle altre aree geografiche. Le organizzazioni in EMEA mantengono le applicazioni aggiornate, ma è diminuita l’attenzione alla qualità. Dopo cinque anni, il 50% delle applicazioni presenta nuovi difetti, rispetto a poco più del 30% nel resto del mondo.
Data l’alta probabilità che venga introdotta una falla in un mese, converrebbe prestare maggiore attenzione all’ultima parte del ciclo di vita dell’applicazione e alla scansione più regolare delle applicazioni. Sarebbe necessario anche dare priorità alla formazione sulla sicurezza per i propri sviluppatori, in quanto, come rilevato nella ricerca il completamento di 10 laboratori di sicurezza interattivi ridurrebbe la probabilità di introduzione di una falla dal 27% a circa il 25% in un mese.
