OSSERVABILITÀ E SICUREZZA DEVONO CONVERGERE MENTRE IL SETTORE DEI SERVIZI FINANZIARI DIVENTA CLOUD-FIRST

di Emanuele Cagnola, Italy director di Dynatrace

Dynatrace ha da poco rilasciato i nuovi dati della sua indagine globale sui Chief Information Security Officer (CISO), rivelando lo stato della gestione delle vulnerabilità nel settore dei servizi finanziari.

“The 2022 CISO Research Report: Financial Services” si basa sulle risposte di 325 professionisti IT di banche, assicurazioni e fornitori di servizi finanziari. Il rapporto rivela che la maggior parte delle organizzazioni ha adottato ambienti multicloud, architetture cloud-native e librerie di codice open source per sostenere gli sforzi di fornire nuove soluzioni digitali ai clienti.

I dati indicano, tuttavia, che l’adozione di questi approcci da parte delle organizzazioni ha creato una sfida significativa per le organizzazioni di servizi finanziari nella gestione e nella riduzione del rischio aziendale durante l’innovazione.

In totale, il 75% dei CISO delle organizzazioni di servizi finanziari afferma che la gestione delle vulnerabilità è diventata più difficile a causa della crescente necessità di accelerare la trasformazione digitale.

Le strategie di sicurezza dei servizi finanziari su più livelli non sono sufficienti

L’ascesa dei moderni ambienti cloud ha creato una sfida per i team IT, di sviluppo e di sicurezza del settore dei servizi finanziari. Se da un lato microservizi, Kubernetes e serverless computing offrono vantaggi significativi per l’innovazione del digital banking, dall’altro queste architetture rendono più complessa la sicurezza delle applicazioni.

Per ovviare a questo problema, il 58% delle organizzazioni di servizi finanziari ha scelto una strategia di cybersecurity stratificata, supportata da cinque o più tipi diversi di soluzioni di sicurezza.

Tuttavia, anche con questo approccio robusto e stratificato alla cybersecurity, i dati Dynatrace rivelano che oltre il 75% dei CISO del settore dei servizi finanziari ritiene che il loro attuale approccio alla sicurezza non sia abbastanza forte da impedire alle vulnerabilità di entrare in produzione.

Il settore dei servizi finanziari sta vivendo un cambiamento significativo, guidato dall’evoluzione delle richieste dei clienti e dall’intensa concorrenza dei fornitori digital-first. Tuttavia, questa crescente pressione a innovare più velocemente sta creando un maggiore rischio di vulnerabilità che sfuggono alla produzione.

È ormai chiaro che gli attuali approcci alla sicurezza a più livelli non sono sufficienti, poiché i team non possono accedere a tutto il contesto di cui hanno bisogno per evitare che ogni vulnerabilità sfugga. Di conseguenza, è sempre più difficile per loro gestire la sicurezza delle applicazioni, il che potrebbe mettere a rischio dati finanziari sensibili e transazioni critiche.

Oltre alle sfide create dagli ambienti cloud-native, il 49% dei CISO ha dichiarato che la velocità di distribuzione del software facilita il rientro in produzione delle vulnerabilità. Secondo la ricerca, solo il 6% delle organizzazioni di servizi finanziari ha visibilità in tempo reale sulle vulnerabilità a runtime.

L’impatto del codice open source sulla sicurezza delle applicazioni a runtime

Molte organizzazioni di servizi finanziari stanno già utilizzando altri metodi, come il codice open source, per accelerare o supportare gli sforzi di trasformazione. Questi approcci, tuttavia, possono anche creare problemi di sicurezza, in quanto emergono regolarmente vulnerabilità nelle librerie software di terze parti.

Secondo i dati di Dynatrace, solo il 31% dei team di sicurezza è in grado di accedere in tempo reale a un report completamente accurato e continuamente aggiornato di ogni applicazione e libreria di codice in esecuzione in produzione. Inoltre, il 29% dei CISO ha dichiarato di non sapere sempre quali librerie di codice di terze parti sono in produzione in un determinato momento.

Le recenti scoperte delle vulnerabilità Log4Shell e Spring4Shell hanno evidenziato l’impatto del codice sensibile di terze parti. Lo studio di Dynatrace evidenzia che il 96% delle organizzazioni di servizi finanziari ha affrontato l’esposizione al rischio di Log4Shell, e oltre un terzo ha dichiarato che il rischio era “elevato” o “grave”.

In molti casi, le soluzioni di sicurezza che rilevano le vulnerabilità non dispongono del contesto di runtime necessario per consentire ai team dei servizi finanziari di distinguere un difetto minore da un rischio grave.

Di conseguenza, molti degli allarmi che ricevono sono a basso rischio e il loro volume rende difficile per i team di sicurezza distinguere i problemi seri da quelli relativamente innocui. I dati indicano che i team ricevono in media più di 2.200 avvisi di potenziali vulnerabilità ogni mese, rendendo quasi impossibile capire come stanno le cose.

La frustrazione dei CISO è evidente: il 75% degli intervistati ha confermato che la maggior parte degli allarmi di sicurezza e delle vulnerabilità sono falsi positivi che non richiedono un’azione perché non sono vere esposizioni.

Promuovere la cultura DevSecOps e l’automazione IT

In quest’epoca di rapida trasformazione digitale, le organizzazioni di servizi finanziari devono trattare la sicurezza come un problema condiviso in tutta l’azienda, il che richiede una convergenza con l’osservabilità.

L’istituzione di una cultura di sviluppo, sicurezza e operations unificate (DevSecOps) è un passo importante per raggiungere questo obiettivo. Secondo i dati di Dynatrace, solo il 37% delle organizzazioni di servizi finanziari ha una cultura DevSecOps matura, in cui la maggior parte dei team ha integrato le pratiche di sicurezza nel ciclo di vita dello sviluppo del software (SDLC).

L’implementazione di una pratica DevSecOps è fondamentale per far convergere l’osservabilità. Fornisce ai team di sviluppo, operations e sicurezza il contesto necessario per capire come le applicazioni siano connesse e dove siano le vulnerabilità.

Secondo i dati di Dynatrace, l’82% dei CISO del settore dei servizi finanziari concorda sul fatto che la sicurezza debba essere una responsabilità condivisa in tutto il ciclo di vita del software, dallo sviluppo alla produzione.

Se la sicurezza diventa una responsabilità condivisa e le organizzazioni fanno convergere osservabilità e sicurezza, possono accelerare la gestione del rischio e la risposta agli incidenti fornendo ai team il contesto necessario per prendere decisioni più efficaci.

Per essere veramente efficaci, le organizzazioni di servizi finanziari dovrebbero cercare soluzioni che abbiano al centro l’intelligenza artificiale e le capacità di automazione. Queste soluzioni consentono ai team di banche e assicurazioni di identificare rapidamente e dare priorità alle vulnerabilità in fase di esecuzione, bloccare gli attacchi in tempo reale e rimediare alle falle del software prima che possano essere utilizzate per sfruttare dati e transazioni finanziarie sensibili.