DevOps non è ancora DevSecOps con intelligenza artificiale

I responsabili della cybersicurezza aziendale sono sommersi dagli alert e faticano a barcamenarsi nella gestione delle vulnerabilità. Non è una scoperta, perché da anni leggiamo report su questo tema, dai quali puntualmente emerge la difficoltà dei chief security information officer (o di figure analoghe ai Ciso) nel riuscire a visualizzare e filtrare la valanga di alert su vulnerabilità e potenziali attacchi, distinguendo quelli irrilevanti da quelli significativi.

La vera notizia, forse, è proprio il fatto che negli anni le tecnologie si evolvono ma questo problema persiste, sostenuto probabilmente dalla continua crescita dei dati, delle reti, delle applicazioni e dei dispositivi usati nelle aziende. Lo scenario prevalente nelle aziende è fatto di ambienti informatici multicloud (cioè basati su infrastrutture, piattaforme e servizi di diversi provider).

L’ultima conferma giunge da un report di Dynatrace, basato su 1.300 interviste condotte ad aprile 2022 da Coleman Parkes su altrettanti Ciso di grandi aziende (da oltre mille dipendenti) dislocate in 13 Paesi, Italia inclusa. In media, le aziende del campione ricevono ogni mese 2.027 avvisi di potenziali vulnerabilità della sicurezza delle applicazioni, ma meno di un terzo degli alert richiede effettivamente un intervento (il 32%, dato in calo rispetto al 42% emerso da un analogo report dell’anno scorso). I team addetti alla sicurezza informatica sprecano mediamente il 28% del loro tempo in attività di gestione delle vulnerabilità che potrebbero essere automatizzate.

La ricerca ha evidenziato in particolare i problemi di cybersicurezza legati allo sviluppo software, che spesso in azienda si basa su una molteplicità di linguaggi di programmazione e su librerie open source. La mancanza di osservabilità peggiora la situazione, perché spesso le vulnerabilità delle applicazioni in produzione restano nascoste agli occhi dei Ciso.

In tre aziende su quattro, nonostante l’esistenza di una strategia di sicurezza a più livelli, permangono delle lacune nella osservabilità, da cui deriva la presenza di molte vulnerabilità nelle applicazioni in produzione. Per il 69% dei Ciso, la necessità di accelerare la trasformazione digitale ha reso ancor più difficile la gestione delle vulnerabilità. Secondo Dynatrace, tutto questo suggerisce il bisogno di far convergere osservabilità e sicurezza all’interno di pratiche AISecDevOps, cioè di sviluppo e operations delle applicazioni con sicurezza integrata e supportata dall’intelligenza artificiale.

Procedure di questo tipo piacerebbero a molti, ma sono una realtà ancora di nicchia. Il 79% dei Ciso crede che la gestione automatica e continua delle vulnerabilità durante il runtime sia fondamentale per colmare le lacune delle soluzioni di sicurezza esistenti. Oggi, però, appena il 4% delle organizzazioni ha visibilità in tempo reale sulle vulnerabilità a runtime negli ambienti di produzione containerizzati. Solo il 25% dei team di sicurezza può accedere a report accurati e aggiornati in real time su ogni applicazione e libreria di codice in produzione

“Le organizzazioni si rendono conto che, per gestire efficacemente le vulnerabilità nell’era cloud-native, la sicurezza deve diventare una responsabilità condivisa”, ha dichiarato Bernd Greifeneder, chief technology officer di Dynatrace. “La convergenza di osservabilità e sicurezza è fondamentale per fornire ai team di sviluppo, operations e sicurezza il contesto necessario per comprendere come sono collegate le loro applicazioni, dove si trovano le vulnerabilità e quali devono essere prioritarie. Questo accelera la gestione del rischio e la risposta alle problematiche”.

“Per essere veramente efficaci”, ha proseguito il Cto, “le organizzazioni dovrebbero cercare soluzioni che abbiano funzionalità di automazione e intelligenza artificiale al centro, abilitando l’AISecDevOps. Queste soluzioni consentono ai team di identificare rapidamente e dare priorità alle vulnerabilità in fase di esecuzione, bloccare gli attacchi in tempo reale e correggere i difetti del software prima che possano essere utilizzati. Ciò significa che i team possono smettere di perdere tempo nelle war room o inseguire falsi positivi e potenziali vulnerabilità che non entreranno mai in produzione. Al contrario, possono fornire con fiducia software migliore e più sicuro in tempi più rapidi”.