Secondo il report “State of Software Security” la metà delle organizzazioni finanziarie presenta falle di sicurezza di elevata gravità all’interno delle proprie applicazioni
MILANO–(BUSINESS WIRE)–Veracode, leader mondiale nella gestione del rischio applicativo, ha presentato i risultati del suo report annuale State of Software Security per il settore dei servizi finanziari. Definito in questa analisi come falle di sicurezza irrisolte per più di un anno, il debito di sicurezza risulta presente nel 76% delle organizzazioni del settore dei servizi finanziari, ed è addirittura critico nel 50% di esse.
Considerando che il costo medio di una violazione in ambito finanziario è stimato in 6,08 milioni di dollari, la ricerca arriva in un momento particolarmente critico per uno dei settori più colpiti dalle minacce informatiche. Come emerso da un report del Dipartimento del Tesoro degli Stati Uniti del marzo 2024, i malintenzionati utilizzano strumenti basati sull’intelligenza artificiale per trovare e sfruttare le vulnerabilità del software a un ritmo senza precedenti. Allo stesso tempo, la crescente concorrenza del settore e le aspettative dei clienti in termini di convenienza impongono alle organizzazioni di accelerare l’innovazione.
“Se non viene affrontato rapidamente, l’elevato tasso di debito di sicurezza nel settore finanziario comporta rischi significativi per le aziende e i loro clienti. Mentre gli attacchi informatici guidati dall’AI continuano a diventare più forti e numerosi e le organizzazioni faticano a tenere il passo con l’evoluzione delle normative a causa del debito di sicurezza esistente, il panorama attuale favorisce lo sfruttamento delle vulnerabilità da parte dei criminali informatici a un ritmo allarmante e senza precedenti”, ha dichiarato Chris Wysopal, Chief Security Evangelist di Veracode. “Il nostro ultimo studio evidenzia la necessità primaria per le istituzioni finanziarie di affrontare subito le falle nel codice, sia di prima che di terza parte. Le organizzazioni che trascurano le vulnerabilità per più di un anno sono esposte a minacce prolungate e pericolose”.
La correzione tardiva delle vulnerabilità minaccia la sicurezza del settore finanziario
I ricercatori di Veracode hanno riscontrato che il 40% di tutte le applicazioni del settore finanziario presenta debiti di sicurezza, una percentuale leggermente migliore rispetto alla media intersettoriale del 42%. Inoltre, solo il 5,5% delle applicazioni è privo di falle, rispetto al 5,9% degli altri settori. Sebbene i numeri sembrino indicare una situazione leggermente migliore rispetto agli altri settori in termini di debito di sicurezza, è emerso che quello finanziarie tende ad accumularne di più.
Il report evidenzia anche la necessità per le società di servizi finanziari di affrontare il problema sia nel codice di prima che in quello di terza parte. L’84% di tutti i debiti di sicurezza riguarda il codice di prima parte, ma la maggior parte di quelli critici (78,6%) deriva da dipendenze di terze parti. Questo dato rafforza l’importanza degli sforzi della Cybersecurity and Infrastructure Security Agency per contribuire alla sicurezza dell’ecosistema open source con la sua Open Source Software Security Roadmap e il Secure by Design Pledge.
La ricerca esplora ulteriormente le tempistiche di correzione, scoprendo che le organizzazioni finanziarie risolvono la metà delle falle di prima parte entro i primi nove mesi, rispetto ai 13 mesi necessari per quelle di terze parti. Di queste, il 52% si trasforma in debito di sicurezza. Al contrario, invece, “solo” il 44% delle vulnerabilità di prima parte diventa in debito di sicurezza.
Il ruolo delle priorità nella remediation
La proliferazione degli attacchi alla supply chain che colpiscono il settore dei servizi finanziari ha portato a un numero crescente di normative sulla cybersecurity incentrate sulla sicurezza del software. Ad esempio, framework normativi come ISO 20022, Payment Card Industry Data Security Standard (PCI DSS), NIS2 e Digital Operational Resilience Act (DORA) impongono alle organizzazioni di prevenire le vulnerabilità all’interno delle applicazioni.
Queste normative espongono le aziende al rischio di non conformità a causa del debito di sicurezza esistente e di strategie di remediation obsolete. La ricerca di Veracode rivela che le organizzazioni possono affrontare questo rischio attribuendo una priorità massima solo al 3,3% delle falle che costituiscono un debito di sicurezza critico. Correggere prima le vulnerabilità più gravi consente alle istituzioni finanziarie di affrontare altre falle critiche o debiti non critici in base alla loro tolleranza al rischio e alle loro capacità.
Il ruolo dell’Application Security Posture Management
La maggiore necessità di definire le priorità di rischio genera un ingente richiesta di Application Security Posture Management (ASPM) per tracciarlo continuamente attraverso la raccolta, la visibilità e l’analisi dei problemi di sicurezza lungo tutto il ciclo di sviluppo del software. La Application Risk Management Platform di Veracode offre una visione completa e unificata del rischio all’interno di codice e applicazioni, permettendo agli sviluppatori e ai team di sicurezza di ovviare rapidamente alle falle. Grazie a una soluzione alimentata dall’AI, Veracode Fix, i team possono prevenire proattivamente nuove vulnerabilità e ridurre efficacemente gli accumuli di debito di sicurezza esistenti. La piattaforma di analisi individua le cause principali, guidando gli sviluppatori ad adottare le misure ottimali che massimizzano la riduzione del rischio senza alcuno sforzo.
“Restare al passo con l’evoluzione delle minacce non è mai stato così rilevante per il settore dei servizi finanziari, in particolare in presenza di attacchi sempre più sofisticati guidati dall’intelligenza artificiale che minacciano la sicurezza dei loro asset. La raccomandazione che mi sento di rivolgere alle istituzioni finanziarie è quella di dare priorità alla riduzione tempestiva del debito di sicurezza adottando strumenti di bonifica e ASPM basati sull’AI, in grado di rilevare, assegnare le priorità e risolvere le vulnerabilità in pochi secondi”, ha concluso Wysopal.
Il rapporto “State of Software Security Financial Services 2024” di Veracode è disponibile sul sito web.
Veracode
Veracode è leader mondiale nella gestione del rischio applicativo nell’era dell’intelligenza artificiale. Alimentata da trilioni di linee di scansioni di codice e da un motore di remediation proprietario assistito da intelligenza artificiale, la piattaforma Veracode ha la fiducia di aziende di tutto il mondo per costruire e mantenere il software sicuro, dalla creazione del codice alla distribuzione nel cloud. Migliaia di team di sviluppo e sicurezza leader a livello mondiale utilizzano Veracode ogni secondo, ogni giorno, per ottenere visibilità accurata e fattibile del rischio di exploit, correzione delle vulnerabilità in tempo reale e per ridurre il debito di sicurezza su scala. Veracode è un’azienda pluripremiata che offre funzionalità per la sicurezza dell’intero ciclo di vita dello sviluppo del software, tra cui Veracode Fix, analisi statica, analisi dinamica, analisi della composizione del software, sicurezza dei container, gestione della postura di sicurezza delle applicazioni e penetration test.
Per saperne di più, visitate il sito www.veracode.com, il blog di Veracode, LinkedIn e Twitter.
Copyright © 2024 Veracode, Inc. Tutti i diritti riservati. Veracode è un marchio registrato di Veracode, Inc. negli Stati Uniti e può essere registrato in alcune altre giurisdizioni. Tutti gli altri nomi di prodotti, marchi o loghi appartengono ai rispettivi proprietari. Tutti gli altri marchi citati nel presente documento appartengono ai rispettivi proprietari.
Contacts
Contatti Stampa
Axicom
Sandro Buti, Angela Spiaggi, Lorenzo Borghi
veracode_italy@axicom.com