Punti Chiave
- Secure by Design integra la sicurezza nel software dalla concezione lungo l’intero SDLC.
- Utilizza threat modeling, linguaggi sicuri per la memoria e test statici e dinamici continui invece di correzioni aggiunte a posteriori.
- Il CISA Secure by Design Pledge, sottoscritto da Ivanti, vincola i fornitori a integrare la sicurezza nell’architettura di base e a fornire prodotti sicuri per impostazione predefinita, riducendo la dipendenza dalle patch post-distribuzione e semplificando la compliance.
- I clienti ottengono una protezione più forte, minori tempi di inattività e costi di manutenzione ridotti, oltre a un prodotto più affidabile e conforme che migliora l’esperienza dei dipendenti e la reputazione aziendale.
Il concetto di Secure by Design, che significa progettare software con la sicurezza integrata fin dalle prime fasi, sta cambiando radicalmente il modo in cui il software viene sviluppato.
Spesso il software è stato progettato con quella che viene definita “sicurezza aggiunta a posteriori”, integrata dopo lo sviluppo dei prodotti. Ma questo significa che la sicurezza non è intrinseca alla soluzione. Nei punti di raccordo tra il prodotto principale e un componente aggiunto, si crea un punto di vulnerabilità per un attacco.
Ecco perché l’impegno di un fornitore di software verso i principi Secure by Design è diventato così importante, ed ecco perché Ivanti è stata la prima firmataria del Secure by Design Pledge della U.S. Cybersecurity & Infrastructure Security Agency (CISA).
I fornitori che sottoscrivono l’impegno promettono di seguire i principi stabiliti dalla CISA. Tali principi enfatizzano l’integrazione delle misure di sicurezza nel cuore stesso di una soluzione, dalla sua concezione iniziale fino alla distribuzione finale. In questo modo la soluzione diventa intrinsecamente resistente agli attacchi fin dal primo utilizzo, invece di dover correggere le vulnerabilità dopo l’adozione da parte dei clienti, quando spesso è troppo tardi per contenere i danni.
Correlato: Il Secure-by-Design Pledge: un impegno per creare un futuro digitale più sicuro
Un principio fondamentale di progettazione della sicurezza
L’ombra che ha accompagnato l’avanzamento delle tecnologie digitali quasi a ogni passo è il modo in cui gli attacchi informatici si sono evoluti per sfruttarle in modo sempre più ingegnoso. Oggi minacciano di diffondersi nelle reti ibride, ricattare o interrompere le attività delle aziende, ridurre la fiducia dei clienti e infliggere duri colpi ai risultati economici. Ma agli occhi della CISA rappresentano anche una minaccia molto concreta per la sicurezza nazionale.
Ponendo l’accento su un nuovo principio fondamentale di progettazione della sicurezza, ovvero che la sicurezza dovrebbe essere progettata nel software fin dalle prime fasi di pianificazione, Secure by Design si tradurrà in difese più solide contro gli attaccanti moderni, che possono essere motivati dal profitto, dalla politica o da entrambi.
Dal punto di vista di Ivanti in qualità di firmataria dell’impegno, è importante compiere tutti i passi necessari per allinearsi ai principi Secure by Design. I fornitori devono porsi domande come: utilizziamo un linguaggio di programmazione progettato, in un’ottica di Secure Software Development Framework (SSDF), per garantire la sicurezza della memoria? Eseguiamo regolarmente attività di threat modeling per identificare possibili vulnerabilità? Utilizziamo librerie o componenti di terze parti? Qual è la loro postura di sicurezza?
Rispondere a queste domande richiede attenzione alla sicurezza durante l’intero ciclo di vita dello sviluppo software (Software Development Lifecycle, SDLC), che comprende:
- Integrare i principi Secure by Design lungo tutto il processo, anziché attendere la scrittura del codice, in modo che la sicurezza sia al centro della pianificazione e della progettazione. Ciò significa considerare le potenziali minacce e progettare difese all’interno del software.
- Individuare tempestivamente le vulnerabilità incorporando test di sicurezza completi durante tutto lo sviluppo. Questo evita i costi e la complessità di farlo in seguito durante l’SDLC o dopo il rilascio.
Questo rappresenta un passo oltre l’approccio “shift left”. Applicando i principi Secure by Design, gli sviluppatori ora eseguono static application security testing e dynamic application security testing all’interno del set di codice, oltre a unit testing e integration testing durante l’intero processo SDLC, invece di rimandare i test o il threat modeling alla fine. In questo contesto, si abituano a utilizzare strumenti di test quasi quotidianamente.
Correlato: 3 spunti da una tavola rotonda aziendale con leader statunitensi della cybersecurity
Oltre il software sicuro
Mettere in pratica i principi Secure by Design non significa solo scrivere e testare codice sicuro. Significa adottare un approccio olistico alla cybersecurity, in cui una difesa solida si fonda su un’organizzazione sicura. Questo include misure quali:
- Identificazione dei punti deboli: è fondamentale comprendere dove esistono vulnerabilità all’interno dell’organizzazione, non solo nel codice software. Ciò significa analizzare e ottimizzare molteplici aspetti della cybersecurity, dai programmi di formazione dei dipendenti all’applicazione delle patch del software di sicurezza, fino alla postura di sicurezza complessiva dell’azienda.
- Protezione e monitoraggio: le organizzazioni devono disporre di solidi strumenti di cybersecurity per gestire i rischi in modo attivo, persino proattivo. Tra questi rientrano sistemi di monitoraggio per rilevare attività sospette e misure di protezione come i firewall, per respingere gli attacchi informatici fin dall’inizio.
- Risposta agli incidenti: un piano chiarissimo per rispondere agli attacchi informatici è indispensabile. Dovrebbe indicare come rilevare un attacco, valutarne l’impatto e adottare misure per ripristinare e migliorare la sicurezza.
C’è un ulteriore aspetto nell’implementazione di un sistema software sicuro basato sui principi Secure by Design: quando si parla di Secure by Design, spesso ci si riferisce in realtà all’approccio “security by default”. Si tratta di concetti complementari. Mentre Secure by Design significa che le considerazioni sulla sicurezza sono state integrate nel prodotto lungo l’intero ciclo di vita dello sviluppo, security by default significa che il prodotto finale è sicuro fin dal primo utilizzo, senza che l’utente debba eseguire configurazioni estese. È già predisposto per offrire misure come logging sicuro o profili di autorizzazione software, e dà priorità a una sicurezza orientata al futuro rispetto alla compatibilità con le versioni precedenti.
Correlato: Demo pratica: proteggi tutti gli endpoint con contromisure UEM sicure
I vantaggi di Secure by Design per i clienti
Quando un fornitore di software offre soluzioni e piattaforme che seguono i principi Secure by Design, i vantaggi più importanti sono quelli percepiti dal cliente:
- Protezione migliorata: quando le funzionalità di sicurezza sono integrate nel software fin dall’inizio, il software è più robusto e meno vulnerabile, e lo stesso vale per la rete su cui opera.
- DEX migliorata: una maggiore attenzione alla sicurezza e ai test durante lo sviluppo può generare un prodotto più ottimizzato, più stabile e resistente alle interruzioni, migliorando l’esperienza dei dipendenti.
- ROI migliore: un prodotto più sicuro può ridurre al minimo i tempi di inattività e l’applicazione di patch, così gli utenti rimangono produttivi.
- Compliance semplificata: rispettare rigorosi requisiti in materia di privacy e sicurezza dei dati può essere più semplice con un software Secure by Design, riducendo il tempo e le risorse necessari per superare le verifiche di compliance ed evitando sanzioni.
- Reputazione rafforzata: le aziende che pongono la sicurezza al centro delle proprie priorità sono percepite come più affidabili, il che può aumentare la fiducia e la fidelizzazione dei clienti.