Ogni azienda, dalla più piccola a quella di dimensioni più grandi, è custode di un tesoro dal valore inestimabile: si pensi ai dati raccolti, gestiti e trattati nella propria attività. Spesso sono informazioni frutto di anni di ricerca e sviluppo, di investimenti, di un processo continuo di evoluzione e innovazione. Il rischio di attacchi informatici è però, purtroppo, sempre in agguato e costituisce una minaccia per i dati conservati all’interno dell’infrastruttura e sui dispositivi di manager, dipendenti e collaboratori. A questo proposito, CrowdStrike richiama l’importanza di un fenomeno chiamato Architecture Drift: vediamo cos’è e perché non deve essere mai sottovalutato.
Cos’è l’Architecture Drift e perché rappresenta una minaccia
Le tecnologie utilizzate in ambito aziendale sono sempre in evoluzione. Da un lato è vero che i decisori aziendali sono orientati a mantenere i software in uso per più tempo possibile, dall’altro – però – è fisiologico che si presenti la necessità di apportare modifiche alle configurazioni. E nelle aziende che sviluppano software o che si occupano di fornire servizi gestiti a soggetti terzi, questi interventi sono all’ordine del giorno.
Una minaccia spesso trascurata ma estremamente pericolosa è l’Architecture Drift, un fenomeno che può portare a gravi conseguenze se non adeguatamente monitorato e gestito. CrowdStrike spiega che l’Architecture Drift si verifica quando un’applicazione, un microservizio o un’infrastruttura si allontanano dalla configurazione prevista o dagli standard operativi approvati.
Questo problema è particolarmente insidioso in un contesto di integrazione continua, distribuzione continua e di Infrastructure-as-Code (IaC), dove le modifiche avvengono frequentemente e possono sfuggire al monitoraggio da parte del personale tecnico.
Gli “scostamenti” in termini di configurazione possono manifestarsi in vari ambiti, tra cui infrastruttura, network, gestione dei container, runtime dell’applicazione, logica di business e flussi di dati.
Perché è un problema in ambito DevSecOps
DevSecOps è una metodologia che integra la sicurezza informatica (Security) all’interno del processo di sviluppo del software (DevOps). Le pratiche e i principi del DevOps, che mirano a migliorare la collaborazione tra team di sviluppo (Development) e team operativi (Operations) per accelerare il rilascio del software, sono uniti con un focus particolare sulla sicurezza.
Tradizionalmente, la sicurezza informatica è stata spesso considerata un’attività separata, svolta nelle fasi successive dello sviluppo software. Un approccio del genere, tuttavia, è antiquato e fortemente sconsigliato poiché può portare alla scoperta di vulnerabilità quando il software è già in produzione, comportando costi e rischi significativi per le aziende.
Non per niente CrowdStrike fornisce suggerimenti concreti per implementare correttamente la filosofia DevSecOps e creare software affidabile.
Jacob Garrison, Technical Marketing Manager CrowdStrike, sottolinea che proprio i flussi di lavoro connessi con il DevSecOps risultano particolarmente vulnerabili al tema dell’Architecture Drift. Le continue modifiche al codice e all’architettura possono rendere difficile il monitoraggio e la gestione dei rischi emergenti. Senza un’attenta supervisione, il drift può portare a violazioni della sicurezza e interruzioni dei servizi.
Una singola modifica al codice può essere responsabile di derive importanti
Garrison sottolinea che una singola modifica al codice può introdurre nuovi servizi, API, dipendenze, librerie, chiamate di servizio di terze parti, connessioni a datastore o database, flussi di dati, altri rischi non previsti o non considerati.
Anche piccoli cambiamenti a livello software possono avere un grande impatto. Il Technical Marketing Manager di CrowdStrike cita l’esempio di un’azienda che – con una modifica sul codice apparentemente di ridotta entità – ha involontariamente esposto alcune informazioni riservate.
L’incidente si è verificato in produzione perché l’ingegnere che ha modificato il codice non era a conoscenza che la modifica avrebbe potuto impattare direttamente sui dati condivisi dalla sua azienda.
Non è ovviamente possibile eliminare tutti i rischi nelle applicazioni, ma si può iniziare ad andare oltre ciò che si conosce e pensare in modo diverso a ciò che potrebbe influenzare il proprio business. “Le applicazioni sono asset complessi da gestire, che comprendono centinaia o migliaia di componenti e dipendenze. Ogni modifica al codice introduce un potenziale rischio. La domanda è: riuscite a vedere questi rischi e conoscete il loro potenziale impatto?” Osserva ancora Garrison.
Come rilevare in modo efficace il fenomeno dell’Architecture Drift
Con l’espressione Application Security Posture Management (ASPM) si fa riferimento all’insieme di pratiche e strumenti progettati per valutare, gestire e migliorare la sicurezza delle applicazioni software in un’organizzazione. ASPM si concentra sulla valutazione e sul miglioramento della cosiddetta “postura di sicurezza” di un’applicazione ovvero il suo stato di sicurezza complessivo e la sua capacità di resistere agli attacchi informatici.
Uno strumento ASPM svolge diverse attività: valuta le vulnerabilità delle applicazioni attraverso analisi statiche e dinamiche del codice, penetration testing e altre tecniche per identificare potenziali punti deboli.
Una volta identificate, le lacune di sicurezza sono classificate in base al rischio intrinseco per l’azienda. In questa fase l’ASPM monitora la disponibilità delle patch e predispone l’applicazione delle correzioni utili ad attenuare i rischi.
Ancora, l’ASPM aiuta le organizzazioni ad assicurarsi che le loro applicazioni rispettino i requisiti normativi e le migliori linee guida sul piano della sicurezza. Il monitoraggio continuo, infine, ha come fino ultimo quello di identificare nuove vulnerabilità, minacce emergenti e cambiamenti nell’esposizione alle minacce.
Come sottolinea CrowdStrike, l’approccio proattivo – che consiste nell’usare ASPM – consente di intervenire prima che l’Architecture Drift possa provocare danni irreparabili.
L’immagine in apertura è di CrowdStrike ed è tratta da questo post.