Veracode, cresce il debito di sicurezza nel settore finanziario

Il nuovo report “State of Software Security” rivela che la metà delle organizzazioni finanziarie presenta falle di sicurezza di elevata gravità all’interno delle proprie applicazioni.

Veracode ha presentato i risultati del suo report annuale State of Software Security per il settore dei servizi finanziari. Definito in questa analisi come falle di sicurezza irrisolte per più di un anno, il debito di sicurezza risulta presente nel 76% delle organizzazioni del settore dei servizi finanziari ed è addirittura critico nel 50% di esse.

Considerando che il costo medio di una violazione in ambito finanziario è stimato in 6,08 milioni di dollari, la ricerca arriva in un momento particolarmente critico per uno dei settori più colpiti dalle minacce informatiche. Come emerso da un report del Dipartimento del Tesoro degli Stati Uniti del marzo 2024, i malintenzionati utilizzano strumenti basati sull’intelligenza artificiale per trovare e sfruttare le vulnerabilità del software a un ritmo senza precedenti. Allo stesso tempo, la crescente concorrenza del settore e le aspettative dei clienti in termini di convenienza impongono alle organizzazioni di accelerare l’innovazione.

“Se non viene affrontato rapidamente, l’elevato tasso di debito di sicurezza nel settore finanziario comporta rischi significativi per le aziende e i loro clienti. Mentre gli attacchi informatici guidati dall’AI continuano a diventare più forti e numerosi e le organizzazioni faticano a tenere il passo con l’evoluzione delle normative a causa del debito di sicurezza esistente, il panorama attuale favorisce lo sfruttamento delle vulnerabilità da parte dei criminali informatici a un ritmo allarmante e senza precedenti”, ha dichiarato Chris Wysopal, chief security evangelist di Veracode. “Il nostro ultimo studio evidenzia la necessità primaria per le istituzioni finanziarie di affrontare subito le falle nel codice, sia di prima che di terza parte. Le organizzazioni che trascurano le vulnerabilità per più di un anno sono esposte a minacce prolungate e pericolose”.

Le minacce alla sicurezza del settore finanziario

I ricercatori di Veracode hanno riscontrato che il 40% di tutte le applicazioni del settore finanziario presenta debiti di sicurezza, una percentuale leggermente migliore rispetto alla media intersettoriale del 42%. Inoltre, solo il 5,5% delle applicazioni è privo di falle, rispetto al 5,9% degli altri settori. Sebbene i numeri sembrino indicare una situazione leggermente migliore rispetto agli altri settori in termini di debito di sicurezza, è emerso che quello finanziarie tende ad accumularne di più.

Il report evidenzia anche la necessità per le società di servizi finanziari di affrontare il problema sia nel codice di prima che in quello di terza parte. L’84% di tutti i debiti di sicurezza riguarda il codice di prima parte, ma la maggior parte di quelli critici (78,6%) deriva da dipendenze di terze parti. Questo dato rafforza l’importanza degli sforzi della Cybersecurity and Infrastructure Security Agency per contribuire alla sicurezza dell’ecosistema open source con la sua Open Source Software Security Roadmap e il Secure by Design Pledge.

La ricerca esplora ulteriormente le tempistiche di correzione, scoprendo che le organizzazioni finanziarie risolvono la metà delle falle di prima parte entro i primi nove mesi, rispetto ai 13 mesi necessari per quelle di terze parti. Di queste, il 52% si trasforma in debito di sicurezza. Al contrario, invece, “solo” il 44% delle vulnerabilità di prima parte diventa in debito di sicurezza.

Le priorità nella remediation

La proliferazione degli attacchi alla supply chain che colpiscono il settore dei servizi finanziari ha portato a un numero crescente di normative sulla cybersecurity incentrate sulla sicurezza del software. Ad esempio, framework normativi come ISO 20022, Payment Card Industry Data Security Standard (PCI DSS), NIS2 e Digital Operational Resilience Act (DORA) impongono alle organizzazioni di prevenire le vulnerabilità all’interno delle applicazioni.

Queste normative espongono le aziende al rischio di non conformità a causa del debito di sicurezza esistente e di strategie di remediation obsolete. La ricerca di Veracode rivela che le organizzazioni possono affrontare questo rischio attribuendo una priorità massima solo al 3,3% delle falle che costituiscono un debito di sicurezza critico. Correggere prima le vulnerabilità più gravi consente alle istituzioni finanziarie di affrontare altre falle critiche o debiti non critici in base alla loro tolleranza al rischio e alle loro capacità.

L’Application Security Posture Management

La maggiore necessità di definire le priorità di rischio genera un ingente richiesta di Application Security Posture Management (ASPM) per tracciarlo continuamente attraverso la raccolta, la visibilità e l’analisi dei problemi di sicurezza lungo tutto il ciclo di sviluppo del software. La Application Risk Management Platform di Veracode offre una visione completa e unificata del rischio all’interno di codice e applicazioni, permettendo agli sviluppatori e ai team di sicurezza di ovviare rapidamente alle falle. Grazie a una soluzione alimentata dall’AI, Veracode Fix, i team possono prevenire proattivamente nuove vulnerabilità e ridurre efficacemente gli accumuli di debito di sicurezza esistenti. La piattaforma di analisi individua le cause principali, guidando gli sviluppatori ad adottare le misure ottimali che massimizzano la riduzione del rischio senza alcuno sforzo.

“Restare al passo con l’evoluzione delle minacce non è mai stato così rilevante per il settore dei servizi finanziari, in particolare in presenza di attacchi sempre più sofisticati guidati dall’intelligenza artificiale che minacciano la sicurezza dei loro asset. La raccomandazione che mi sento di rivolgere alle istituzioni finanziarie è quella di dare priorità alla riduzione tempestiva del debito di sicurezza adottando strumenti di bonifica e ASPM basati sull’AI, in grado di rilevare, assegnare le priorità e risolvere le vulnerabilità in pochi secondi”, ha concluso Wysopal.

 


A cura della redazione

Office Automation è da 38 anni il mensile di riferimento e canale di comunicazione specializzato nell'ICT e nelle soluzioni per il digitale, promotore di convegni e seminari che si rivolge a CIO e IT Manager e ai protagonisti della catena del val...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 198

Officelayout

Progettare arredare gestire lo spazio ufficio
Luglio-Settembre
N. 198

Abbonati
Innovazione.PA n. 57

innovazione.PA

La Pubblica Amministrazione digitale
Settembre-Ottobre
N. 57

Abbonati
Executive.IT n.5 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Settembre-Ottobre
N. 5

Abbonati