L'approccio di un'organizzazione alla sicurezza informatica deve evolversi costantemente man mano che le superfici di attacco si ampliano e che si hanno a disposizione ulteriori informazioni sulle potenziali minacce. Tenendo conto del fatto che le minacce possono entrare da qualsiasi punto della catena di fornitura del software, un approccio Secure by Design integra la sicurezza nelle fasi di progettazione, codifica, test e implementazione dello sviluppo software. Quale standard per le agenzie federali degli Stati Uniti e per qualsiasi organizzazione che tocchi il loro software, Secure by Design è diventato un benchmark di riferimento per integrare la sicurezza nel ciclo di sviluppo software.
Nel corso del tempo, Secure by Design si è ramificato in concetti correlati come Secure by Default e Secure by Demand, che mettono in rilievo diversi modi di avvicinarsi a Secure by Design:
- Secure by Default si concentra sul garantire che tutti i prodotti software siano sicuri fin da subito.
- Secure by Demand estende i principi Secure by Design al processo di approvvigionamento.
Ecco un'analisi più approfondita di Secure by Design e di questi approcci correlati, tra cui una [guida passo-passo](# building-a-secure-by-design-cybersecurity-strategy) su come le organizzazioni possono adattare le proprie strategie per prevenire vulnerabilità sfruttabili e attacchi alla catena di fornitura del software.
Cos'è Secure by Design?
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha introdotto la sua Secure by Design Initiative nell'aprile 2023, concentrandosi su tre principi chiave di sicurezza del software:
- Assumersi la responsabilità dei risultati di sicurezza del cliente
- Adottare un atteggiamento di trasparenza e di responsabilità radicale
- Definire una struttura organizzativa e una leadership finalizzate al raggiungimento di questi obiettivi
Secure by Design integra principi e protocolli di sicurezza in ogni fase del processo di sviluppo software. Di conseguenza, le misure di sicurezza sono integrate nelle fasi di progettazione, codifica, test e implementazione dello sviluppo software anziché essere aggiunte a valle.
L'obiettivo di Secure by Design è creare una base sicura per il software fin dall'inizio, riducendo le vulnerabilità e le potenziali superfici di attacco.
Cos'è Secure by Default?
Secure by Default è una derivazione di Secure by Design; l'obiettivo è quello di garantire la configurazione più sicura possibile per software o hardware, senza che sia necessaria la riconfigurazione da parte dell'utente. I prodotti Secure by Default abilitano automaticamente i controlli di sicurezza più importanti necessari per proteggere le aziende dall'accesso non autorizzato da parte di malintenzionati, senza che gli utenti debbano fare altro per garantire che un prodotto sia protetto dalle tecniche di sfruttamento prevalenti.
Le tattiche Secure by Default includono l'eliminazione delle password predefinite e l'obbligo dell'autenticazione a più fattori e del Single Sign-On per consentire solo agli utenti autorizzati l'accesso alle risorse. Questo approccio include anche aggiornamenti e patch automatici, nonché configurazioni sicure per tutti gli account e i dispositivi dell'utente.
Cos'è Secure by Demand?
Secure by Demand combina i principi Secure by Design con i contratti di budget e di approvvigionamento, per far sì che Secure by Design diventi un obbligo per i fornitori e gli appaltatori. La guida a Secure by Demand della CISA fornisce una serie di domande e risorse che gli acquirenti, i buyer e i procacciatori di software possono utilizzare per comprendere meglio l'approccio di un potenziale fornitore alla sicurezza informatica, tra cui domande sulle pratiche di autenticazione del fornitore, sulla sicurezza della catena di fornitura del software e sulla divulgazione e la segnalazione delle vulnerabilità.
Richiedendo ai fornitori di aderire ai principi e ai protocolli Secure by Design nei loro prodotti e servizi, le organizzazioni contribuiscono a prevenire potenziali vulnerabilità che entrano nella loro catena di fornitura del software. L'approccio Secure by Demand incentiva inoltre i fornitori a migliorare continuamente la propria posizione in materia di sicurezza informatica.
Costruire una strategia di sicurezza informatica Secure by Design
Le organizzazioni che considerano prioritario l'approccio Secure by Design devono ad esempio utilizzare pratiche DevSecOps efficaci, mantenere una distinta base software (SBOM) e incorporare l'intelligenza artificiale per difendersi dalle minacce che entrano da qualsiasi punto del ciclo di sviluppo software.
Adottare pratiche DevSecOps
Uno dei primi passi per favorire l'adozione di un atteggiamento Secure by Design è seguire un processo di sviluppo software sicuro: sviluppo, creazione, protezione e implementazione del software devono basarsi su un approccio DevSecOps completo.
Oggi, molti sviluppatori utilizzano set di strumenti complessi per creare nuovi programmi. Un recente sondaggio di GitLab ha rilevato che il 62% degli intervistati utilizza 6 o più strumenti per lo sviluppo, mentre il 20% ne utilizza 11 o più: si tratta un'inefficienza che incrementa il rischio introducendo potenziali vulnerabilità della sicurezza.
Gli sviluppatori dovrebbero essere in grado di accedere a tutti gli strumenti necessari per i flussi di lavoro DevSecOps in un'unica interfaccia facile da usare. Con una soluzione end-to-end, come una piattaforma DevSecOps, le organizzazioni possono implementare un approccio Secure by Design senza aumentare l'onere per gli sviluppatori.
Creare e mantenere SBOM
Adottare la trasparenza è un altro passaggio significativo verso il Secure by Design. Le organizzazioni devono capire cosa c'è nel loro software, soprattutto quando può includere componenti provenienti da più fonti.
Le SBOM sono strumenti essenziali per raggiungere questa trasparenza. Offrono inventari dettagliati dei componenti software, inclusi i dettagli di versione, licenza e dipendenza, che consentono una maggiore consapevolezza delle potenziali vulnerabilità o del codice dannoso.
Il mantenimento di questo inventario consente alle organizzazioni di comprendere appieno le possibili vulnerabilità e i potenziali rischi che potrebbero sorgere quando gli elementi vengono rimossi da repository open-source e componenti di terze parti concessi in licenza. Una piattaforma DevSecOps può aiutare a generare e aggiornare automaticamente le SBOM, integrarle nei flussi di lavoro esistenti e collegarle alle vulnerabilità associate.
Molte organizzazioni utilizzano già le SBOM, che però devono essere dinamiche, collegate a strumenti di analisi della sicurezza e continuamente aggiornate per essere pienamente efficaci. Quando integrate con strumenti di scansione e dashboard, le SBOM possono fornire un modo per individuare i rischi associati a un'applicazione. Anche quando non richiesto, le SBOM possono supportare la conformità alle normative convalidando la sicurezza del codice.
Utilizzo dell'IA nello sviluppo software
Mentre le organizzazioni scoprono come poter utilizzare l'IA, i flussi di lavoro di sviluppo del software forniscono un prezioso punto di ingresso alla tecnologia, che ha il potenziale per accelerare i processi di sviluppo e migliorare la sicurezza.
Le organizzazioni di tutti i settori stanno già iniziando a esplorare queste applicazioni: il 39% degli intervistati nel sondaggio di GitLab ha dichiarato di utilizzare già l'intelligenza artificiale nel ciclo di sviluppo software.
L'uso dell'intelligenza artificiale durante tutto il ciclo di sviluppo software può aiutare le organizzazioni a evitare silos e backlog relativi all'IA all'interno dei flussi di lavoro di sviluppo. L'IA può svolgere funzioni chiave come:
- Spiegazione del codice e refactoring del codice legacy in linguaggi sicuri per la memoria
- Analisi delle cause principali per le pipeline di DevSecOps, che accelerano la soluzione di problemi complessi durante i test
- Risoluzione delle vulnerabilità per contribuire a riconciliare le vulnerabilità note, supportando una correzione più approfondita
Mentre i leader integrano l'IA nei loro flussi di lavoro, è fondamentale dare priorità alla privacy e alla sicurezza dei dati. Un aspetto essenziale dell'adozione di un approccio Secure by Design è lo sviluppo di una strategia di intelligenza artificiale che salvaguardi i dati sensibili e protegga i diritti di proprietà intellettuale.
Cosa succederà
Secure by Design potrebbe presto diventare l'approccio predefinito per creare un ecosistema software più affidabile. Il governo degli Stati Uniti sta attualmente lavorando con gli sviluppatori di software alla creazione di framework che incentivino legalmente il settore privato a produrre e rilasciare software Secure by Design, spingendo le aziende a investire di più in tecnologie e pratiche sicure.
Grazie alla sicurezza integrata fin dall'inizio nello sviluppo software, alla trasparenza offerta da SBOM efficaci e all'uso dell'intelligenza artificiale per migliorare il processo di sviluppo, chiunque contribuisca al ciclo di sviluppo software può contare su ottime premesse per il successo.
Guida alle SBOM dinamiche: un elemento integrante dello sviluppo software moderno
Scopri come avere visibilità sui rischi organizzativi precedentemente non identificati con una distinta base software (SBOM).
Leggi la guida