Il terzo blog della serie del Mese della Sensibilizzazione sulla Sicurezza Informatica del National Institute of Standards and Technology (NIST) è dedicato al tema dell’aggiornamento del software, concentrandosi sull’importanza di questa pratica fondamentale per la sicurezza informatica. Michael Ogata e Paul Watrobski, entrambi esperti del NIST, condividono le loro opinioni e il lavoro in corso nell’ambito della cybersecurity.
Collegamento tra il lavoro al NIST e l’aggiornamento del software: La divisione Applied Cybersecurity del NIST lavora per esplorare, misurare e valutare le linee guida sulla sicurezza informatica del NIST e le migliori pratiche del settore. Questo include progetti come l’implementazione del NIST 800-218 Secure Software Development Framework (SSDF). Oggi, con l’uso diffuso delle pratiche di integrazione continua e distribuzione continua, l’aggiornamento del software è una parte fondamentale dell’evoluzione del software. Garantire che l’intero processo di sviluppo e la catena di fornitura sia sicuro è cruciale per fornire nuove funzionalità e importanti aggiornamenti di sicurezza.
Il nostro lavoro presso il National Cybersecurity Center of Excellence (NCCoE) creerà un’implementazione di riferimento di molteplici pipeline di sviluppo software sicure. Il risultato principale di pipeline come queste sarà un software più sicuro. Le risorse che scaturiscono da questo progetto NCCoE forniranno a individui e team di sviluppatori gli strumenti e le indicazioni di cui hanno bisogno per produrre e mantenere software più sicuro. Ciò consentirà loro di rilasciare software in modo più rapido ed efficace affinché i loro utenti possano aggiornarli, proteggendo meglio se stessi e le loro organizzazioni.
Importanza dell’aggiornamento del software: L’aggiornamento del software è cruciale per la sicurezza informatica perché il software cambia costantemente e i sistemi devono essere mantenuti al passo per proteggere sia gli utenti personali che le aziende. Il moderno panorama della catena di fornitura del software è complesso, con team di sviluppo distribuiti e una crescente dipendenza da codice esterno. Mantenere il software aggiornato è essenziale per prevenire vulnerabilità e attacchi, specialmente in un ambiente di lavoro remoto.
Negli ultimi 40 anni, il software ha subito una trasformazione significativa passando da prodotto statico e discreto a una realtà fluida e dinamica. Ora, con l’ubiquità di Internet, il software può cambiare su base quasi costante. Che si tratti delle app che l’utente medio di smartphone ha in tasca o dei microservizi che alimentano l’infrastruttura interna di un’azienda, il software cambia e si aggiorna molto rapidamente. Ciò richiede la fornitura costante di aggiornamenti software per aggiornamenti di funzionalità, correzioni di bug e patch di sicurezza.
La catena di fornitura del software è diventata molto complessa, coinvolgendo team di sviluppo e una crescente dipendenza da codice esterno. Questo rende più difficile il controllo di ciò che viene utilizzato nei sistemi. Con i team di sviluppo distribuiti all’interno e attorno ai tradizionali confini della rete aziendale e la crescente dipendenza dal codice che ha origine dall’esterno dell’organizzazione la codifica e l’attestazione di pratiche di sviluppo sicure sono essenziali. È solo attraverso queste azioni che le persone e le aziende possono applicare tempestivamente ed efficacemente gli aggiornamenti ai propri sistemi software.
La crescente adozione del lavoro remoto e l’uso di dispositivi personali attraverso programmi BYOD (bring-your-own-device) aumentano la superficie di attacco. Gli utenti possono lavorare da luoghi non sicuri e su dispositivi che potrebbero non essere completamente controllati dall’azienda. Questo rende ancora più cruciale l’aggiornamento del software per garantire la sicurezza dei dati e dei sistemi.
Ora più che mai, gli aggressori stanno sfruttando le vulnerabilità scoperte di recente per penetrare in dispositivi e sistemi. Pertanto, una delle azioni più semplici che puoi intraprendere per migliorare la protezione delle tue finanze, dei tuoi dati, della tua sicurezza, ecc. è installare gli aggiornamenti software non appena sono disponibili. Se non lo fai, metti a rischio te stesso e la tua azienda.
Iniziative del NIST: Il NIST sta attualmente lavorando su vari progetti legati alla sicurezza informatica, tra cui il progetto Software Supply Chain e DevOps Security Practices, che mira a creare implementazioni di riferimento per pipeline di sviluppo software sicure. Inoltre, il NIST sta sviluppando linee guida per i produttori di dispositivi IoT di consumo, con un focus sull’aggiornamento del software. Il progetto si concentrerà su due casi d’uso per lo sviluppo di software: lo sviluppo di software libero e open source (FOSS) e lo sviluppo di software closed source. Come per la maggior parte dei progetti NCCoE, il risultato di questo progetto sarà una guida di riferimento che descriverà in dettaglio come il NIST ha costruito ciascuno i suoi ambienti e come le scelte di progettazione fatte raggiungono i risultati descritti nel Secure Software Development Framework (SSDF). Questi sforzi mirano a promuovere la sicurezza informatica e a fornire risorse per garantire un ambiente online più sicuro.
Importanza della sicurezza informatica personalmente: Entrambi gli esperti del NIST sottolineano l’importanza della sicurezza informatica sia a livello personale che per la società nel suo insieme. Vedono la sicurezza informatica come un aspetto cruciale per proteggere dati personali, identità e risorse finanziarie. Inoltre, riconoscono la responsabilità di promuovere la sicurezza informatica e diffondere la consapevolezza su questa importante tematica.
Lavoro al NIST: Michael e Paolo condividono il loro apprezzamento per il lavoro al NIST, che offre loro l’opportunità di contribuire al bene comune e collaborare con altri esperti nel campo della cybersecurity. La natura collaborativa del NIST è evidenziata come un aspetto positivo del loro lavoro, poiché consente loro di sviluppare soluzioni all’avanguardia per la sicurezza informatica.
In generale, il NIST è fortemente impegnato nella promozione della sicurezza informatica e sta lavorando su iniziative chiave per migliorare la sicurezza del software e dei dispositivi IoT. Questo blog evidenzia l’importanza dell’aggiornamento del software come parte integrante della sicurezza informatica e l’impegno del NIST per affrontare questa sfida in modo proattivo.