Secondo il CISO report 2023 di Dynatrace, la complessità in aumento degli ecosistemi cloud, nell’era di multicloud e cloud ibrido, avrà un forte impatto sulla cyber security.
In particolare, secondo il report, è sempre più difficile risolvere tutte le vulnerabilità.
“Nei servizi in multicloud, la presenza di tanti soggetti, su cui si ha un controllo limitato”, commenta Claudio Telmon, Senior Partner – Information & Cyber Security at P4I – Partners4Innovation, “soprattutto nei servizi realizzati attraverso l’integrazione di versi soggetti, e sui relativi componenti d’integrazione, a volte scarseggia il controllo. Per i CISO c’è poca possibilità di avere contezza di come stanno andando le cose, perché ogni fornitore di servizi in cloud ha le sue misure di sicurezza, ce le racconta, ma non si va oltre quello che ci rende disponibile”. Il problema è l’opacità, insomma.
Intelligenza artificiale e automazione sono, però, la risposta per rendere più efficace DevSecOps e ridurre il livello di rischio, perché la sfida da vincere riguarda il tempo fra la scoperta di una vulnerabilità zero-day e l’installazione della patch.
Ecco come proteggersi.
Indice degli argomenti
CISO report 2023: l’aumento della complessità nell’era cloud
Secondo l’80% dei CISO italiani (rispetto al 68% a livello globale), gestire le vulnerabilità è sempre più difficile. Soprattutto man mano che aumenta la complessità della filiera del software e dell’ecosistema cloud.
“Le complessità ci sono”, conferma Telmon, “anche perché oltretutto, spesso, la realizzazione delle attività multicloud prevede fornitori terzi con competenze verticali, rendendo tutto molto difficile da gestire”. Soltanto il 34% dei CISO italiani (contro una media globale de 50%) è certo che i team di sviluppo abbiano completamente testato il software che forniscono per scoprire le falle, prima della messa in produzione.
“Tutto, però, dipende dai fornitori dei servizi in cloud”, spiega Claudio Telmon, “ma, poiché i clienti hanno poca capacità di intervento e spesso pensano che basti appoggiarsi ai servizi in cloud per risolvere ogni problema di cybersecurity, ciò fa sì che il fornitore non sia troppo stimolato a gestire il fronte sicurezza, rispetto a fronteggiare il tema delle funzionalità, competitività sui costi”.
Serve più trasparenza
Il 75% dei CISO italiani (77% a livello globale) definisce una sfida determinare le priorità delle vulnerabilità. Il motivo è che non conoscono il livello di rischio che le falle costituiscono per il proprio ambiente.
“L’architettura interna di un servizio fornito in modalità cloud“, conferma Telmon, “è veramente opaca. Il cliente non sa cosa c’è dietro e sotto: sa solo ciò che gli racconta il fornitore. La vera esposizione al rischio è un’incognita. Anche il vulnerability assessment si svolge in una situazione gestita dal fornitore e le configurazioni sono tali da non renderlo efficace. Si vedono solo le vulnerabilità attive in quel momento, ma non si scopre cosa c’è dietro”. Manca trasparenza nel contesto multicloud.
Vulnerability assessment
Dal report, inoltre, emerge che il 54% degli alert di vulnerabilità (58% a livello globale) segnalati come aggiornamenti critici dagli scanner di sicurezza non sembrano incidere in produzione. La ricerca di falsi positivi, dunque, farebbe sprecare tempo. Ma le falle in realtà sono da risolvere tutte.
“Questo è un tema di vulnerability assessment“, sottolinea Telmon, “quello che esso fornisce è un’informazione molto grezza sulla criticità delle vulnerabilità non contestualizzata. Ma la contestualizzazione in un contesto noto e trasparente, può aiutare a dare priorità alle falle; in un’architettura con scarsa visibilità, è tutto più difficile: la criticità delle vulnerabilità dipende da quanto sia sfruttabile o da quanto sia critico il servizio, va insomma contestualizzata”.
In Italia, in media, ciascun membro dei team di sviluppo e sicurezza delle applicazioni trascorre un quarto del proprio tempo (25%), pari a 10 ore alla settimana, per vulnerabilità la cui gestione potrebbe essere affidata all’automazione. “Le vulnerabilità sono tutte da correggere, al di là di priorità e costi“, spiega Telmon: “L’automazione è la strada giusta, per superare la complessità, anche se bisogna essere sicuri che la correzione delle patch non sollevi altri problemi”.
Come mitigare i rischi
La complessità degli ambienti ibridi e multicloud rende più difficile garantire la sicurezza del proprio software. Per il 73% dei CISO italiani, i processi manuali facilitano la penetrazione di vulnerabilità negli ambienti di produzione.
Occorre rendere più efficace il funzionamento di DevSecOps. Lo scopo è impedire un crescente numero di exploit di vulnerabilità (67%). Ma oggi appena il 14% delle aziende italiane (contro la media globale del 12%) ha una cultura DevSecOps matura.
“Le organizzazioni hanno difficoltà a bilanciare l’esigenza di un’innovazione più rapida con la governance e i controlli di sicurezza stabiliti per mantenere al sicuro i propri servizi e dati”, afferma Bernd Greifeneder, Chief Technology Officer di Dynatrace.
La soluzione sono l’IA e l’automazione, essenziali per il successo di DevSecOps. E per affrontare le sfide associate alle risorse (89% dei CISO italiani contro l’86% a livello globale). Infine, per il 65% dei CISO italiani (contro la media globale del 76%) segnala che la vera sfida per minimizzare il rischio sia il tempo. Quello intercorso fra la scoperta di attacchi zero-day e la capacità di applicare patch a ogni istanza.
“Bisogna valutare servizio per servizio e fornitore per fornitore, conclude Claudio Telmon, “ma dove si osserva competenza e attenzione alla cyber sicurezza da parte del fornitore, il livello di sicurezza è mediamente maggiore rispetto all’in-house“.