security by design

Security by design

Immaginate di essere il dirigente di una ditta e di trovarvi alle prese con le vulnerabilità del sistema informatico.
Questo vi espone enormemente al rischio di imbattervi in un attacco informatico e purtroppo è difficile sapere come muoversi.

Purtroppo, per lavorare sulla sicurezza di una rete non sono sufficienti firewall perimetrali, antivirus di prima qualità e un sistema integrato di difesa dalle minacce del web. La gestione sistematica e puntuale delle vulnerabilità di sistema è un’azione che nessun servizio di difesa può fornirvi.

Che fare?
L’approccio sistematico e rigoroso volto all’identificazione delle vulnerabilità e alla loro gestione e risoluzione è certamente complementare a Vulnerability Assessment e Penetration Test: si chiama Security by design.

Oggi, vi spieghiamo come funziona.

Security by design, di che cosa si tratta

Una definizione di Security by design

Il termine Security by design sta ad indicare l’insieme delle pratiche che permettono al programmatore di un software di tenere conto delle esigenze di sicurezza che software dovrà soddisfare: questo standard si stabilisce a priori, prima di partire con la stesura del codice.

Seguendo questo concetto ogni programmatore o sviluppatore deve tenere sotto controllo alcuni parametri, lungo il processo di creazione del software: dalla sua progettazione sino alla fase di testing del codice.

L’obiettivo da inseguire è la prevenzione delle vulnerabilità software e questo obiettivo si può ottenere solo attraverso un attento monitoraggio una programmazione efficace e una attenzione particolare alla leggibilità.
I servizi così ottenuti avranno il più alto livello di sicurezza possibile, dal momento che sono stati progettati e realizzati appositamente per essere affidabili e sicuri.

La security by design è una metodologia che punta a prevedere attacchi e minacce sin dagli albori del progetto. Essa mira ad attuare accorgimenti strategici che permettano di evitare falle e bug che potrebbero favorire gli hacker.

Allo stesso tempo però garantendo una buona usabilità e una implementazione corretta e funzionale.

Principi fondamentali della security by design

Security by design permette di rafforzare la sicurezza informatica aziendale, automatizzando i controlli di sicurezza e contribuendo ad irrobustire la struttura IT dell’impresa. Alla base si presuppone un approccio proattivo che miri alla prevenzione piuttosto che all’intervento e al ripristino post-attacco.

Resta fondamentale che la progettazione parta tenendo conto dei singoli blocchi di codice e di ogni singola componente che giocherà un ruolo, anche marginale, nel software. Ciascuna componente deve essere adeguatamente protetta tramite l’implementazione di protocolli di sicurezza rigorosi.

Esistono tre principi cardine attorno ai quali costruire le strategie per l’ideazione e produzione di un prodotto efficace e sicuro, basato su una infrastruttura informatica solida:

  • Principio della riduzione della superficie di attacco

    Ciascun punto di ingresso (applicazioni, software, dispositivi, ecc) è potenzialmente un punto di accesso sfruttabile da un malintenzionato.
    Ognuno di essi va ad aumentare la superficie di attacco ma è possibile ridurla limitando gli accessi agli utenti, ovvero permettendo inizialmente solo l’accesso alle funzioni base.

  • Principio del privilegio minimo

    Non è necessario che tutti gli utenti siano in grado di completare tutte le attività possibili.
    Si possono realizzare delle categorizzazioni di utenti con diversi privilegi. Se si limita il traffico inutile di informazioni si rende anche più agevole il monitoraggio e la verifica.

  • Principio della Privacy by default

    E’ opportuno prevedere dei processi di sicurezza predefiniti al di sopra delle scelte dei singoli utenti.
    Ad esempio delle regole sulla lunghezza delle password.

  • Principio della difesa in profondità

    L’idea alla base di questo principio è quella di rendere la vita difficile al potenziale hacker creandogli quanti più ostacoli possibile.
    L’obiettivo è quello di ritardare il raggiungimento dei punti sensibili da parte dei criminali informatici.

Come implementare il metodo security by design

Per progettare un software davvero sicuro, sono necessari controlli sistematici e verifiche programmate.

Per prima cosa è necessaria una valutazione puntuale ed approfondita dei rischi e delle criticità a cui puoi andare incontro.
Continua ad essere fondamentale esaminare il tutto a livello di architettura e di implementazione, adattando gli asset alle potenziali minacce.

Successivamente in fase di scrittura del codice e di produzione ci si applica per immaginare tutte le possibili vulnerabilità, adottando contromisure tecniche, organizzative e procedurali.

L’ultimo step è ovviamente quello della verifica del risultato tramite i security test.
Vulnerability Assessment, Binary Code Review e ovviamente Penetration Test sono d’obbligo.
Sia in modalità white box testing che in modalità black box testing.

Ovviamente per tutto il processo è necessario affidarsi ad un servizio che soddisfi le seguenti caratteristiche:

  • Una community affidabile e disponibile di hacker etici che possano intervenire 24 ore su 24 in qualsiasi giorno della settimana per fornire il supporto necessario.
  • Una dashboard personalizzata che permetta un controllo dei risultati in tempo reale. Semplice da utilizzare per il cliente e che permetta una condivisione istantanea dello stato di avanzamento nella gestione delle vulnerabilità.
  • La possibilità di attivare e disattivare la ricerca di vulnerabilità in modo veloce e pratico.

Quali vantaggi offre la security by design

Negli ultimi anni si è assistito ad un vero e proprio boom degli attacchi informatici, primi tra tutti i ransomware.

Il rischio di subire un attacco non è mai stato tanto alto, basta guardare i dati allarmanti degli ultimi mesi.

In più anche i costi di gestione dei rischi e ripristino e, più in generale, di tutto il settore della gestione delle emergenze sono onerosi per molte aziende. In questo quadro, la security by design rappresenta una strategia di difesa preventiva efficace ed economica.
Permette infatti di risparmiare ottimizzando i costi, infatti affidandosi fin da subito ad un codice sicuro, solido e progettato per essere inattaccabile si risparmi il tempo e la fatica di dover correggere a posteriori gli errori.

Nel complesso si tratta di una scelta raccomandabile per qualunque azienda.

Security by design in vari contesti

La security by design è una metodologia versatile e facilmente adattabile a vari contesti.
Tra quelli più rilevanti nella quotidianità si trovano le applicazioni in ambito della Internet of Things, difesa della privacy e nelle industrie.

Applicazione nella sicurezza per l’Internet of Things

Quando si parla di oggetti intelligenti, interconnessi e capaci di scambiarsi informazioni, la sicurezza è un aspetto fondamentale.
Questi apparecchi infatti veicolano moltissime informazioni, tra cui dati sensibili che per i quali è auspicabile il massima protezione disponibile.

Appare evidente come, per tutti i produttori di dispositivi IoT, dovrebbe essere una priorità assicurarsi che i loro prodotti siano sicuri dall’ideazione alla vendita, affidandosi a programmatori che intendano preservare la privacy ottimizzando il codice. Puntare alla sicurezza già in fase di progettazione offre vantaggi sia alla clientela che all’azienda produttrice. Oltre ad un aumento dei guadagni permetterebbe di risparmiare sulle sugli update.

Applicazione per l’adeguamento al GDPR

Dal 2018 è in vigore il GDPR, ovvero l’insieme delle norme che tutelano la privacy degli utente del web.

Con l’introduzione di questa legge qualsiasi fornitore di servizi che detenga dei dati soggetti alla privacy, ha l’obbligo di tutelare gli utenti.
Ecco, che anche in questo caso la prevenzione diventa di primaria importanza magari attraverso un metodo di Security by design, per limitare la necessità di rimediare ad eventuali incidenti.

Applicazione nell’ambito della sicurezza nel mondo dell’industria

Al giorno d’oggi nel settore dell’industria i processi sono per lo più automatizzati e l’uso di apparecchiature IoT è diffusissimo.
Questi macchinari devono essere solidi, efficienti, una buona qualità ed essere anche sicuri sotto l’aspetto informatico.
Alcune aziende però sottovalutano i rischi correlati al web esponendo i loro clienti a danni e rischiando per loro stessi danni economici e di immagine. Seguire un approccio security by design sarebbe sicuramente una strategia vincente per rimediare.

Con i rischi informatici così alti è importate seguire un approccio di security by design e realizzare attrezzature conformi ai migliori standard di sicurezza.

Conclusioni

La security by design è una metodologia che punta a rafforzare i sistemi informatici automatizzando i controlli e partendo da prodotti con codici ottimizzati per essere il più possibile inattaccabili.

Ovviamente questo è solo un approccio che permette di ridurre le possibilità di successo dell’attacco informatico e non uno strumento di difesa vero e proprio. La certezza che non sarete vittima di un attacco non ve la darà il solo uso di questo metodo.

Di sicuro però, si tratta di una strategia che, se opportunamente integrata nei sistemi di sicurezza aziendali può portare a risultati sorprendenti, oltre che ad un risparmio consistente.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.