Come influisce il progresso esponenziale della tecnologia sul panorama della sicurezza? Di certo rende gradualmente più complessa la gestione del software, alla base di ogni evoluzione. Dall’intelligenza artificiale che accelera lo sviluppo di codice vulnerabile, all’infrastruttura cloud che estende la potenziale superficie di attacco, lo scenario della gestione del rischio applicativo è in rapida trasformazione e necessita di un’immediata considerazione.

Ecco alcune indicazioni sui trend che vedremo nel 2025, nell’ottica di poter sfruttare questa trasformazione affinché la sicurezza diventi un fattore di progresso e non un ostacolo.

• Con rischi sempre più complessi, il contesto diventerà determinante

Dalla mia nomina a CEO lo scorso aprile, mi sono costantemente confrontato con i clienti sulle preoccupazioni relative all’estensione della superficie di attacco dovuta alla crescente adozione del cloud. Per misurare e gestire questi rischi, è necessario definire un contesto che permetta di rispondere a domande fondamentali, tra cui:

• Quali sono i rischi?
• Qual è la probabilità che una determinata minaccia si verifichi?
• Quali sono le conseguenze nel caso in cui ciò accada?

Data la loro portata, come può un insieme disomogeneo di soluzioni puntuali rispondere a queste domande? E senza una risposta, come determinare quali azioni siano efficaci per risolvere i problemi più critici?

Responsabili della sicurezza e consiglio di amministrazione dovranno parlare la stessa lingua per interpretare il rischio in modo coerente. Per questo, non serve avere una grande quantità di dati disgiunti che non rispondono alle domande indicate, ma è fondamentale concentrare le energie sulla creazione di un contesto attraverso una soluzione ASPM ottimizzata, che permetta di ridurre la maggior parte dei rischi con il minimo sforzo.

2. “Garbage In, Garbage Out”: i modelli AI più grandi saranno meno sicuri

L’utilizzo dell’intelligenza artificiale – con il livello di rischio che comporta – ci accompagnerà ancora a lungo. Dalla fine del 2022, con ChatGPT è iniziata una rivoluzione nello sviluppo del software. Nonostante l’indiscussa capacità dell’AI di automatizzare complesse attività di codifica, permettendo così agli sviluppatori di concentrarsi su progetti più strategici, questo cambiamento porta con sé preoccupazioni di sicurezza.

Tra le principali, il concetto di “garbage in, garbage out”: se i dati utilizzati per addestrare i modelli di AI sono errati o distorti, anche le decisioni e le azioni risultanti saranno inesatte e potenzialmente dannose. Con la crescita dei modelli di intelligenza in dimensioni e complessità, aumenta anche il rischio di ripercussioni indesiderate e vulnerabilità.

Con ogni probabilità, nel corso dell’anno vedremo i modelli più grandi diventare sempre meno sicuri. Nella quinta rivoluzione industriale che stiamo vivendo, l’AI determinerà più rischi per il software rispetto a quanto ci si aspetti.

3. La reportistica in tempo reale sarà fondamentale per rispettare i KPI

Tutto ciò che è sicuro oggi potrebbe non esserlo domani, per l’emergere continuo di nuove vulnerabilità e minacce. È un problema che colpisce in particolare il cloud e il software open source, per cui diventa fondamentale che le aziende abbiano visibilità in tempo reale sullo stato di ciò che stanno utilizzando. È necessario avere sempre il polso della situazione, come abbiamo imparato con il caso Log4j, anche se non è facile riuscirci.

All’inizio di quest’anno, il ritmo delle segnalazioni è rallentato quando il National Institute of Standards and Technology (NIST) degli Stati Uniti ha smesso quasi completamente di analizzare le nuove vulnerabilità (CVE) elencate nel suo National Vulnerability Database (NVD). Per questo motivo, le soluzioni per la verifica della sicurezza applicativa che si basano esclusivamente sul NVD non dispongono più di un quadro completo della situazione, rendendo ancor più lungimirante la scelta di rivolgersi a player specializzati che garantiscano un costante aggiornamento delle falle.

4. Normative e requisiti di conformità diventeranno più severi e specifici

Il prossimo 17 gennaio entrerà in vigore il Digital Operational Resilience Act dell’Unione Europea. Si tratta di un regolamento e non di una direttiva, ovvero diventerà effettiva senza fare altro per “tradurlo” in legge. All’interno di questo contesto, le best practice di sicurezza del software avranno un ruolo fondamentale per la conformità e il rispetto dei suoi aspetti.

Inoltre, la nuova legge sulla responsabilità civile dell’UE include il software nella definizione di prodotti “potenzialmente difettosi”. Ciò significa che i loro produttori possono essere ritenuti responsabili dei danni causati dalle loro vulnerabilità e dell’eventuale danno provocato

Nel 2025, continueremo a osservare normative e requisiti di conformità diventare più severi e specifici legati alla gestione del rischio a livello applicativo, e anche una maggiore regolamentazione specifica dell’AI, per il suo esponenziale utilizzo.

5. Gli sviluppatori acquisiscono ulteriore responsabilità in materia di sicurezza

Gli sviluppatori non saranno più solo creatori di codice, ma dovranno assumere il ruolo di responsabili e orchestratori di tecnologie, a garanzia dell’integrità della sicurezza delle loro applicazioni. Fornire ai programmatori il supporto dell’intelligenza artificiale per correggere immediatamente le vulnerabilità, prima ancora che il codice entri in produzione, rivoluzionerà il ruolo degli sviluppatori nella protezione dei loro prodotti e della loro operatività quotidiana.

Non deve essere considerato uno scenario scoraggiante, poiché scansioni e test diventeranno sempre più vitali, richiedendo già un certo livello di automazione. Se l’AI aiuta a correggere le vulnerabilità, si potrà alleviare la pressione sugli sviluppatori, lasciando loro spazio per risolvere i problemi in modo più efficace.

Sviluppare software con una sicurezza automatizzata a monte può avere infatti un impatto profondo sulla crescita dei ricavi, riduzione del rischio di violazione e molto altro ancora.

Il futuro del software passa per un approccio Secure-by-Design

Ora che il 2025 è ormai in arrivo, queste previsioni evidenziano la necessità per ogni azienda di rimanere vigile e proattiva nelle proprie iniziative di sicurezza. Solo accogliendo questi progressi e preparandosi alle sfide future, si potrà essere all’avanguardia nel campo della sicurezza applicativa.