Veracode ha pubblicato una nuova ricerca che svela i fattori chiave che influenzano l’introduzione e l’accumulo di falle nel settore dei servizi finanziari. Le prestazioni di sicurezza delle applicazioni finanziarie sono generalmente superiori a quelle di altri settori, con automazione, formazione mirata sulla sicurezza e scansione tramite Application Programming Interface (API) che contribuiscono a ridurre di anno in anno la percentuale di applicazioni contenenti falle.
In un contesto caratterizzato da importanti normative che hanno impatto sul settore dei servizi finanziari, tra cui le regole di divulgazione della cybersecurity della U.S. Securities and Exchange Commission e il Digital Operational Resilience Act (DORA) dell’Unione Europea, lo studio di Veracode fornisce raccomandazioni per ridurre il rischio di vulnerabilità del software. Sebbene quasi il 72% delle applicazioni dei servizi finanziari contenga falle di sicurezza, è il settore che registra la percentuale più bassa, in miglioramento rispetto allo scorso anno.
“Nell’analisi di quest’anno, i servizi finanziari hanno ottenuto un ottimo risultato su tutta la linea,” spiega Giuseppe Trovato, Principal Security Researcher di Veracode. “L’aumento della concorrenza e delle aspettative dei clienti, unito a normative più rigide in tutto il settore, ha messo sotto pressione sviluppatori e team di sicurezza per trovare e correggere le falle su larga scala. Inoltre, l’esplosione dell’IA e del Machine Learning ha spinto il ritmo dello sviluppo del software a un nuovo livello, portando a un’iperproliferazione delle falle. Il settore ha fatto bene a migliorare le proprie prestazioni, ma c’è ancora molto da fare e le organizzazioni finanziarie trarrebbero beneficio da una maggiore automazione e da tecniche di codifica sicure che le aiutino a prevenire, rilevare e rispondere alle vulnerabilità più velocemente che mai.”
Scansione tramite API e formazione riducono la possibilità di introduzione di falle
La ricerca di Veracode ha rilevato che le organizzazioni di servizi finanziari osservano maggiori effetti dagli elementi positivi della scansione tramite API e della formazione sulla sicurezza, rispetto alla media degli altri settori. La scansione tramite API è una misura della maturità di un programma di sicurezza del software e le aziende che integrano l’uso delle API hanno probabilmente automazione e controllo maggiori sulla pipeline di sviluppo. Infatti, quelle che sfruttano la scansione tramite API ottengono risultati migliori dell’11% rispetto alla probabilità di base delle aziende non finanziarie per quanto riguarda l’introduzione di falle al mese. L’aggiunta di una formazione interattiva sulla sicurezza abbassano ulteriormente questo risultato e i due fattori, combinati, riducono la probabilità di introduzione di falle del 19% al mese.
L’impatto della scansione tramite API e della formazione sulla sicurezza sul numero di falle introdotte è ancora più pronunciato. Dopo aver completato 10 moduli interattivi di formazione sulla sicurezza, i team dei servizi finanziari hanno introdotto il 26% di falle in meno, facendo sì che le performance del settore fossero ben al di sopra della media dell’intero settore. Allo stesso modo, il lancio di scansioni tramite API ha avuto un’influenza maggiore sulla quantità di falle introdotte nelle applicazioni dei servizi finanziari rispetto ad altri settori.
Giuseppe Trovato aggiunge: “I dati indicano che le organizzazioni di servizi finanziari traggono notevoli vantaggi dall’automazione attraverso l’uso delle API. Raggiungere l’automazione è un’aspirazione per molti, ma vediamo che l’avvio di scansioni tramite API è correlato a una minore probabilità di introduzione di falle e a una riduzione del loro numero quantità e non sorprende che anche la formazione abbia una correlazione diretta.”
Il ruolo di AI e Machine Learning
Il report State of Software Security ha anche analizzato le preferenze di linguaggio in base ai settori verticali e ha rilevato che, con il 51%, Java è quasi uno standard de facto in quello dei servizi finanziari. Veracode Fix, strumento di correzione basato sull’intelligenza artificiale, lanciato all’inizio di quest’anno, sfrutta il machine learning per generare correzioni per il 74% dei risultati statici di Java. Una riduzione così drastica di tempi e sforzi consente alle aziende di migliorare la sicurezza e abbassare ulteriormente il livello di rischio, liberando capacità di innovazione e creazione. Inoltre, poiché le applicazioni Java sono costituite per la maggior parte (>95%) da codice di terze parti, i dati di Veracode dimostrano i vantaggi della Software Composition Analysis per rafforzare la sicurezza e l’integrità dell’inclusione di codice open-source.
