Sicurezza Shift-Left: i fattori principali da considerare prima di implementarla

Gli esperti di Palo Alto Networks analizzano le criticità dell Sicurezza Shift-Left e offrono consigli su e come agire per evitare falle nei sistemi di sicurezza.

Il termine “Shift-Left” si riferisce al ciclo di vita dello sviluppo del software (SDLC) che descrive le fasi del processo seguito dagli sviluppatori per creare un’applicazione. Spesso è rappresentato come una linea temporale orizzontale, caratterizzata da momenti concettuali e di codifica che “avviano” il ciclo sul lato sinistro. Quindi, spostare un processo all’inizio significa spostarlo a sinistra. La “Shift-Left Security” è il concetto secondo cui misure di sicurezza, aree di interesse e implicazioni dovrebbero avvenire più a sinistra, o prima, rispetto a quanto si fa abitualmente.

Perché la sicurezza Shift-Left è importante nella cybersecurity?

Se da un lato le nuove architetture delle applicazioni offrono a programmatori e team di prodotto incredibile velocità di sviluppo, dall’altro hanno aumentato le sfide in termini di normativa e controllo. La sicurezza deve tenere il passo con la rapida crescita e l’agilità dei cicli di sviluppo ed essere sufficientemente flessibile da supportare un’ampia gamma di soluzioni cloud. L’unico denominatore comune di questi nuovi flussi è il codice alla base di tutto, dall’applicazione all’infrastruttura, che è aperto e riutilizzato dagli sviluppatori. Per questo motivo, portare la sicurezza “a sinistra”, nella fase di codifica, significa prevedere la sicurezza sin dall’inizio, riducendo così il rischio di exploit da parte dei cybercriminali e gli impatti su migliaia di applicazioni.

L’importanza di questa definizione

Come molte parole della cybersecurity, numerosi vendor trattano la sicurezza shift-left come “l’unico elemento necessario per essere protetti”, come se fosse una panacea per tutti i problemi. In realtà, questo concetto ostacola l’approccio Zero Trust, poiché presume fiducia implicita nei confronti dello sviluppatore e delle sue capacità di codifica. Inoltre, mancano comprensione e pratiche standard per lo sviluppo delle applicazioni in un moderno reparto DevOps, in particolare per quanto riguarda la catena di fornitura del codice (pacchetti open source e drift) o gli strumenti di integrazione (Git, CI/CD, ecc.) e questo crea dei rischi. Ad esempio, se l’archivio dati di un’azienda è liberamente accessibile su Internet, e ritiene non sia un problema perché le informazioni sono crittografate, dovrà essere consapevole del fatto che i criminali informatici potranno farne una copia e, successivamente, lavorare per decifrarle

I fattori da considerare quando si adottala sicurezza Shift-Left

Introdurre la Security Shift-Left all’interno di un programma SDLC è una priorità a cui i dirigenti dovrebbero prestare attenzione. La portata pervasiva dei team di sviluppo, che non solo creano applicazioni business-critical, ma ne gestiscono ogni fase, dalla codifica alla compilazione, ai test fino alle esigenze infrastrutturali con codice aggiuntivo, rappresenta un livello di controllo e influenza straordinari. Estendere la sicurezza a tutti i flussi di lavoro dei team di sviluppo è il concetto della sicurezza Shift-Left, ma sarebbe estremamente rischioso abbandonare o screditare le misure di protezione delle fasi successive o “lato destro”. La sicurezza deve essere presente lungo l’intero ciclo di vita, dalla creazione del codice allo staging della distribuzione circostante, fino all’applicazione e all’ambiente che la gestisce.

Ecco alcune domande da porsi per un’adozione della sicurezza Shift-Left di successo:

Come inserire tutte le fasi SDLC nel programma di sicurezza, senza creare un enorme sovraccarico di nuovi strumenti da imparare per ogni livello? Come consentire al team di sviluppo di correggere semplici errori di sicurezza senza ritardare o bloccare la loro capacità di rilasciare applicazioni e aggiornamenti critici?

È necessario integrarsi negli strumenti e nei flussi di lavoro utilizzati dal team di sviluppo per codificare, aggregare, testare e distribuire. Come raggiungere questo risultato rispondendo alle esigenze sopra elencate?

Supponendo che qualcosa venga distribuito in modo non sicuro, come inviare la richiesta di correzione nel flusso di lavoro, includendo automaticamente le modifiche alla codifica?

Esistono piattaforme in grado di gestire la sicurezza Shift-Left, di proteggere l’ambiente di runtime e di alimentare operazioni di security, governance e conformità? I flussi di lavoro degli infrastructure architect sono in grado di fornire visibilità, protezione e livelli di auditing per l’intero panorama applicativo?

Contenuti correlati

• 
  Nuova ricerca di Palo Alto Networks sugli attacchi continui agli ambienti OT

  Il nuovo report “The State of OT Security: a Comprehensive Guide to Trends, Risks, and Cyber Resilience”, di Palo Alto Networks, realizzato in collaborazione con ABI Research, evidenzia che due imprese italiane su cinque subiscono mensilmente attacchi...
• 
  Come difendersi dal phishing nell’era dello smart working?

  Di Umberto Pirovano, Senior Manager Systems Engineering di Palo Alto Networks L’aumento della presenza e della sofisticazione del phishing è una delle numerose sfide emerse dopo la pandemia, con un numero elevatissimo di lavoratori da remoto divenuti...
• 
  Benefici e rischi dei Large Language Model nel cloud

  Di Tristano Ermini, Manager, Systems Engineering di Palo Alto Networks Qual è la correlazione tra i modelli linguistici di grandi dimensioni (LLM) e la sicurezza cloud? Questi modelli avanzati possono essere pericolosi, ma possono anche essere utilizzati...
• 
  Come affrontare la cybersecurity nel 2024 secondo Palo Alto Networks

  Raphael Marichez, CSO SEUR di Palo Alto Networks, condivide il proprio punto di vista sulla cybersecurity nel 2024. Saranno numerosi i protagonisti a farsi strada nel panorama degli attacchi e della protezione. Quali strategie e approcci adottare...
• 
  Strumenti OSINT, un’arma efficace al servizio della sicurezza IT

  Di Andy Thompson, Offence Cybersecurity Research Evangelist di CyberArk Sotto il nome di Open Source Intelligence (OSINT) si cela in realtà una disciplina che risale agli albori dell’umanità ed è, in sostanza, uno sforzo per raccogliere e...
• 
  Sicurezza del software: perché formazione e aggiornamento degli sviluppatori devono cambiare

  A cura di Massimo Tripodi, Country Manager di Veracode Italia Quali metodi preferiscono utilizzare gli hacker per colpire le loro vittime dall’esterno? Il 26% colpisce la catena di fornitura del software, il 25% esegue exploit di vulnerabilità...
• 
  Collaborazione fra RS Italia e PVS S.p.A. per un ambiente di lavoro più sicuro

  RS Italia ha annunciato la sua collaborazione con PVS S.p.A. per tutelare la sicurezza e la salute delle persone. “La priorità assoluta per noi è la salute, la sicurezza e il benessere dei nostri collaboratori”, ha spiegato...
• 
  Sicurezza: un problema volutamente ignorato

  Nel momento in cui le normative e i regolamenti che disciplinano la sicurezza entrano in vigore non solo in Europa, ma in tutto il mondo, le aziende devono necessariamente aggiungere funzioni atte a garantire la sicurezza dei...
• 
  L’evoluzione del malware vista da Palo Alto Networks

  Unit 42, il threat intelligence team di Palo Alto Networks, ha pubblicato il secondo volume del suo Network Threat Trends Research Report in cui sono evidenziati i principali trend che impattano sulla cybersecurity: in primo piano l’uso...
• 
  I sistemi wireless utilizzati nelle applicazioni industriali

  Lo scopo di questo articolo è presentare un approccio alle implementazioni di sistemi wireless industriali descrivendone le implicazioni nei vari contesti industriali  Leggi l’articolo completo su EMB 88