Case Study: l’evoluzione nell’adozione dell’Application Security Testing

Le applicazioni - siano esse interne che esposte su internet - costituiscono un nodo cruciale per la sicurezza: secondo Gartner più dell’80% degli attacchi informatici che hanno successo avvengono al livello applicativo. I motivi che causano il rilascio di applicazioni non sicure sono diversi: la mancanza di budget dedicato ai test, la modalità di esecuzione degli stessi, ma soprattutto la poca cultura di sicurezza e di know-how specifico all’interno del team di sviluppo.

Il nostro cliente ha seguito un percorso di adozione dell’Application Security Testing passando da un approccio basato sul modello “Security Gate”, dove i test di sicurezza venivano effettuati al rilascio in collaudo, ad un approccio basato sull’integrazione nel ciclo di sviluppo del software. Nel modello adottato prima del nostro intervento, i test erano svolti dalla funzione Sicurezza che inviava i report generati dal tool di security testing senza interpretazioni o analisi, non conoscendo i linguaggi di programmazione usati dal team di sviluppo. D’altra parte, il team di sviluppo, non avendo know how sulle problematiche di sicurezza, non era in grado di interpretare i risultati del report ed effettuare le fix necessarie, se non con un significativo dispendio di tempo ed energie. Tipicamente questa modalità causava ritardi nel rilascio in produzione con importanti conseguenze per il business dell’azienda.

Il nostro intervento, suddiviso in fasi, ha impattato i processi, l’organizzazione e la piattaforma di testing. Per quanto riguarda quest’ultima, è stata implementata una soluzione rivolta agli sviluppatori che consente loro di effettuare la scansione del codice mentre programmano e di avere una chiara e immediata descrizione della vulnerabilità rilevata e l’indicazione della fix da applicare; la piattaforma permette anche di interagire tramite chat con degli esperti di sicurezza e di seguire un mini-corso sulla vulnerabilità.

Sono stati ottenuti benefici sia in termini di drastica diminuzione del numero di vulnerabilità riscontrate dal team di sicurezza, in termini di riduzione sia dei ritardi nei rilasci sia nel costo di implementazione delle fix. Ma, probabilmente, il risultato più importante è stata la creazione di consapevolezza e di cultura di sicurezza all’interno del team di sviluppo.