Le app dovrebbero fornire esperienze positive ai clienti. Per differenziarsi dalla concorrenza, i rivenditori ora si affidano anche alle app. Tuttavia, queste soluzioni software sono raramente integrate nel concetto di sicurezza informatica delle aziende.
Secondo uno studio di NTT, più della metà dei cyberattacchi rilevati in tutto il mondo avvengono ora nell'area delle applicazioni. Eppure solo il sei per cento dei budget di sicurezza delle aziende è destinato alla loro sicurezza. NTT spiega come le aziende possono migliorare la sicurezza delle app.
"Un programma olistico di test della sicurezza delle applicazioni è un'importante tecnica preventiva e proattiva che può aiutare a ridurre il profilo complessivo delle minacce di un'organizzazione", ritiene Craig Hinkley, CEO della divisione Application Security di NTT.
Rischi ABC
In primo luogo, NTT ha identificato tre categorie di rischio che possono essere ricordate dall'acronimo "ABC":
- Assemblare: I componenti che formano la base delle applicazioni, come i pacchetti del sistema operativo, i framework e le librerie, sono combinati.
- Build: Le funzioni sono implementate senza sicurezza per progettazione o controlli di sicurezza appropriati.
Configure: Le applicazioni sono distribuite per abilitare nuove funzionalità senza mettere in sicurezza i default ed evolvere le configurazioni di sviluppo precedenti.
Craig Hinkley, NTT
DAST, SAST, SCA
Anche tre metodi possono essere usati per migliorare la sicurezza delle app nelle categorie di rischio. Il Dynamic Application Security Testing (DAST) simula un attacco hacker. Uno strumento comune è uno scanner di vulnerabilità. Questo esamina l'interfaccia utente inviando attacchi manipolati al server per determinare il funzionamento del server backend e scoprire le vulnerabilità. Secondo gli esperti della NTT, il DAST diventa più efficace quando combina i test automatici con quelli manuali.
Il codice sorgente di un'applicazione può essere esaminato tramite lo Static Application Security Testing (SAST). L'analisi automatica rileva gli errori di implementazione e può essere divisa in tre tipi. I cosiddetti "scanner di codice" - pattern matching, analisi semantica e simulazione runtime - offrono diversi servizi.
Software Composition Analysis (SCA) controlla lo stack tecnologico. Questo è per rilevare le vulnerabilità e i rischi di licenza pubblicamente noti e per correggerli tramite una patch o un percorso di aggiornamento.