News

FTC, gli esperti invitano le start-up a tenere bene in considerazione la sicurezza IT sin dagli inizi

Molti dei grandi produttori di software, circa una decina di anni fa, hanno sperimentato le amare conseguenze che possono produrre certi software di qualità non eccelsa, ed hanno in tal modo deciso di considerare l’aspetto della sicurezza come una precisa regola da seguire sin dalla fase iniziale dello sviluppo del prodotto. Alcuni di essi, a dir la verità, stanno ancora imparando dai propri errori. La Federal Trade Commission (FTC, Commissione Federale del Commercio) degli Stati Uniti, così come numerosi esperti di sicurezza IT, sperano vivamente che le attuali start-up specializzate nello sviluppo di software non ripercorrano il “doloroso” processo.

La FTC ha recentemente lanciato una nuova iniziativa dedicata alle start-up, denominata Start With Security, proprio con l’intento di aiutare queste ultime ad introdurre il concetto di sicurezza Internet non solo nei prodotti realizzati, ma anche a livello di effettiva cultura di sviluppo. Uno dei principali aspetti di tale progetto consiste nell’incoraggiare le imprese di piccole dimensioni a tenere ben presenti, sin dall’inizio del ciclo di sviluppo del prodotto, le esigenze legate alla sicurezza informatica; una simile strategia è stata peraltro già adottata da vendor di primaria importanza, quali Microsoft, Adobe, etc.

Si tratta di una regola la cui paternità non può essere attribuita ad una persona o ad una società in particolare. Nella maggior parte dei casi, il cambiamento di rotta di cui si sono resi protagonisti numerosi produttori di software è stato determinato dalla necessità di fornire una precisa e rapida risposta – tramite l’introduzione di apposite modifiche – sia ai ripetuti attacchi pubblici, sia al malcontento espresso dagli utenti riguardo ai prodotti via via rilasciati. In tal senso, l’esempio di Microsoft calza a pennello: una lunga serie di attacchi condotti tramite temibili worm di rete, preposti a sfruttare bug individuati nei prodotti della casa di Redmond, ha indotto il gigante del software a cambiare completamente l’approccio adottato, e ad occuparsi in maniera assidua del miglioramento dei propri prodotti a livello di sicurezza.

Nel corso di una tavola rotonda svoltasi nell’ambito di una conferenza organizzata giovedì scorso a San Francisco su iniziativa della FTC, Window Snyder – facente parte, a suo tempo, del team Microsoft che si occupa delle tematiche relative alla sicurezza dei prodotti sviluppati – ha fatto notare come tale cambiamento sia risultato incredibilmente difficoltoso per la corporation statunitense. “Le sofferenze provate ogni volta hanno rappresentato la vera motivazione del cambiamento di approccio deciso da Microsoft, – ha dichiarato l’esperta di sicurezza IT, attualmente Chief Security Officer (CSO) presso Fastly. – Non auguro a nessuno di percorrere lo stesso cammino”.

“La realizzazione di simili cambiamenti ha richiesto sforzi enormi da parte di Microsoft, – ha aggiunto Window Snyder. – Il cambiamento di rotta ha davvero rappresentato una grande sfida ed ha comportato costi elevati. Si tratta di un aspetto particolarmente importante, che non deve essere affrontato alla fine del processo di sviluppo del prodotto, bensì all’inizio dello stesso, ovvero nel momento più appropriato per risolvere le questioni di sicurezza”.

Coloro che hanno preso parte alla tavola rotonda allestita dalla FTC hanno ugualmente osservato come l’introduzione delle problematiche relative alla sicurezza IT nelle fasi iniziali dello sviluppo del software non solo semplifichi il compito del vendor dal punto di vista tecnico, ma consenta, allo stesso tempo, di realizzare notevoli risparmi in termini economici. “Quanto prima vi occupate dei temi della sicurezza, tanto minori si riveleranno in seguito le spese da sostenere; molto, molto minori, – ha affermato Devdatta Akhawe, security engineer presso Dropbox. – Potete quindi occuparvi di sicurezza sin dalle fasi iniziali, per poi essere privi di preoccupazioni, oppure condurre senza sosta, in seguito, una battaglia particolarmente costosa”.

È proprio questo il messaggio che gli esperti di sicurezza software, e molti altri ancora, cercano di trasmettere, ormai da tempo, e con vari livelli di riuscita, agli sviluppatori e ai team di progettazione. Numerose società di grandi dimensioni, non solo i produttori di software commerciali, tengono già nella dovuta considerazione la sicurezza del codice, e adottano pratiche di modellazione delle minacce Internet; oltre a ciò, si assiste al coinvolgimento sempre più frequente di tali imprese in progetti quali l’iniziativa BSIMM, un particolare modello di maturità riguardo alla sicurezza del software. Tuttavia, trasmettere l’importanza di tali tematiche alle persone non direttamente coinvolte nella sfera della sicurezza IT, si rivela compito arduo.

Secondo Frank Kim, Chief Information Security Officer (CISO) presso il SANS Institute, un aspetto di particolare importanza di un nuovo progetto deve riguardare la dimostrazione dei rischi e dei benefici connessi alla qualità del software. “Occorre argomentare bene il proprio punto di vista, – dichiara con convinzione l’esperto. – Non si può semplicemente dire: “In questa riga di codice si nasconde una vulnerabilità, sei un incapace”. Bisogna in pratica spiegare le possibili conseguenze di tale vulnerabilità in relazione ad una determinata applicazione, per conferire peso e concretezza a quanto si afferma”.

L’importanza delle problematiche inerenti alla sicurezza viene ugualmente riconosciuta dai funzionari che si collocano ai vertici della FTC, l’agenzia governativa statunitense responsabile della conduzione di indagini sull’attività delle imprese che non rispettano gli standard relativi a sicurezza e privacy, con facoltà di comminare eventuali sanzioni. “In un mondo in cui, ormai, tutto è connesso, prodotti e servizi non sicuri possono comportare gravi conseguenze, – ha dichiarato Edith Ramirez, presidentessa della Federal Trade Commission, nel suo intervento di apertura della conferenza sopra citata. – Adesso più che mai risulta evidente la necessità di garantire la sicurezza dei prodotti software che supportano la nostra vita digitale”.

Fonte: Threatpost

FTC, gli esperti invitano le start-up a tenere bene in considerazione la sicurezza IT sin dagli inizi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox