La sicurezza delle applicazioni è stato l'argomento portante di una indagine commissionata da Barracuda Networks che ha coinvolto 750 responsabili dello sviluppo e della sicurezza delle applicazioni nella propria azienda. L'obiettivo era conoscere la loro opinione sulle violazioni dei dati, sulle le principali vulnerabilità di sicurezza delle applicazioni e sulle funzionalità necessarie per difendersi dagli attacchi multivettore alle applicazioni. 

I principali risultati non sono incoraggianti. In media, le aziende intervistate hanno subito due violazioni negli ultimi 12 mesi come conseguenza diretta della vulnerabilità di un'applicazione. Il 44% degli intervistati riferisce di aver subito almeno una violazione della sicurezza negli ultimi 12 mesi dovuta all'attacco di un bot che ha sfruttato una vulnerabilità delle applicazioni aziendali. Secondo gli intervistati, le principali problematiche di sicurezza delle applicazioni sono costituite da bad bot (43%), attacchi alla supply chain del software (39%), rilevamento delle vulnerabilità (38%) e sicurezza delle API (37%). 

L'argomento è di scottante attualità dopo l'attacco a Solar Winds, che ha puntato i riflettori su un argomento non nuovo, ma spesso troppo trascurato: la DevSecOps. Come denunciammo a suo tempo, lo sviluppo di codice dà la precedenza alla velocità più che alla sicurezza perché le aziende chiedono nuovi software e nuovi aggiornamenti a ritmo incalzante, senza lasciare agli sviluppatori il tempo per garantirne davvero la sicurezza.

Un modello di business che con Solar Winds ha dimostrato di essere controproducente, pericoloso e controindicato. Dopo l'attacco che abbiamo definito uno spartiacque qualcosa si è mosso, almeno nelle intenzioni. Si parla molto di più di DevSecOps e di modelli di sviluppo più attenti alla security. Tuttavia quello che emerge dal lavoro di Barracura Networks non conforta sui risultati fattivi e conferma che c'è ancora molto lavoro da fare.
Nel report The state of application security in 2021 si legge infatti che la sicurezza delle applicazioni è tuttora compromessa da nuove minacce come gli attacchi tramite bot, API e supply chain. Sono alla base delle violazioni che hanno più filo da torcere alle aziende: nell'ultimo anno il 72% degli intervistati ha subito almeno una violazione, il 32% ne ha subite due, il 14% addirittura tre, sempre da ricondurre alle vulnerabilità applicative.

Tim Jefferson, SVP Engineering for Data, Networks and Application Security di Barracuda, sottolinea come “negli ultimi anni, le applicazioni sono diventate uno dei principali vettori di attacco e la transizione rapida al lavoro remoto nel 2020 ha solo peggiorato la situazione. Le aziende faticano a tenere il passo con questi attacchi, soprattutto per quanto riguarda le nuove minacce, come quelle che sfruttano bot, API e supply chain, e devono trovare il modo colmare efficacemente queste lacune".