Intervista del direttore Corrado Aaron Visaggio a Matteo Meucci, chief OWASP Italy.

Director: Che cosa è Owasp e quali sono gli obiettivi che si propone?

Chief: Buongiorno Aaron, grazie per l'intervista. The Open Web Application Security Project (OWASP) è un'organizzazione no-profit che si occupa di rilasciare linee guida e strumenti per lo sviluppo sicuro e per la verifica di sicurezza delle applicazioni web. Nato nel 2001 negli Stati Uniti, raccoglie migliaia di professionisti e ricercatori che forniscono il proprio contributo nella realizzazione di centinaia di progetti. Ad oggi le linee guida per lo sviluppo sicuro, le metodologie per il code review e per il web application penetration testing rappresentano gli standard a livello internazionale che OWASP propone alle aziende per realizzare software sempre più sicuro.

Director: Le aziende italiane percepiscono la sicurezza applicativa come una necessità? Se si, in quale misura? Ci sono tipologie di imprese che ti sembrano più sensibili al problema?

Chief: Si il problema è ad oggi abbastanza sentito soprattutto per aziende quali banche e telco. Anche qui però la percezione sulla necessità di application security dipende dal livello di cultura sulla application security da parte del management. Ad oggi vediamo aziende che non hanno pianificato programmi di sicurezza applicativa sebbene gestiscano applicazioni che trattano dati da proteggere in maniera opportuna ed aziende che nonostante non gestiscano informazioni critiche, hanno in piedi ottimi processi di verifica. Ogni applicazione da sviluppare dovrebbe essere pensata seguendo le linee guida di security in quanto ognuna può essere acceduta da possibili attaccanti che potrebbero sfruttare vulnerabilità per compiere attacchi sui clienti o sui dati gestiti dall’applicazione stessa o da altre con cui questa interagisce.

Director: Quali competenze sono richieste ad un esperto di sicurezza applicativa oggi? 

Chief: Lavorare nel campo dell’application security richiede un alto grado di specializzazione nello sviluppo di software sicuro, dedizione nella ricerca e molti anni di esperienza sul campo. Le competenze si acquisiscono giorno per giorno sul campo. Le aziende che sviluppano software necessitano sempre più di esperti che riescano a trainare i team di sviluppo verso un miglioramento continuo del processo di sviluppo sicuro.

Director: Qual è la tua percezione degli attacchi informatici? Sono destinati a crescere? Ci sono dei soggetti più esposti di altri a questi rischi? 

Chief: I numeri ci dicono chiaramente di si, in questo momento la maggior parte delle aziende sono on-line con servizi talvolta critici e putroppo non tutti stanno implementando un ciclo di vita del software che include processi di verifica della sicurezza. Al tempo stesso risulta sempre più facile e con tempi sempre più rapidi compromettere la sicurezza delle applicazioni web da parte di possibili attaccanti. Tutto ciò porta ad attacchi sempre più frequenti. In generale le applicazioni che gestiscono denaro sono i target più esposti ma non bisogna trascurare qualsiasi applicazione che viene messa online, perchè può essere fonte di nuove vulnerabilità sfruttando le quali si può in alcuni casi compiere attacchi su applicazioni critiche utilizzandole come ponte.

Director: La dotazione di strumenti informatici reperibili sul mercato o nelle comunità open source, ritieni siano sufficienti a far fronte ai pericoli effettivi di sicurezza? Che tipo di tool ci servirebbe e non c’è?

Chief: Assolutamente no. Mai come nel campo dell’Application Security abbiamo bisogno di formare personale e creare processi di security per lo sviluppo sicuro e la verifica di sicurezza del software nelle aziende. Esistono ad oggi molti tool che forniscono un ausilio alla metodologia di sviluppo e testing. Il problema rimane la complessità e la dinamicità della ricerca nel campo dell’application security; servono tool specializzati per testare particolari tipi di vulnerabilità ed è importante capire i limiti intrinseci degli strumenti che al momento non sono in grado di contestualizzare le funzionalità applicative se non istruiti da un esperto. Penso che ad oggi siamo molto lontani dal pensare che possa esistere un tool che possa sostuire una metodologia di verifica di sicurezza e sicuramente riuscire ad automatizzare una piccola parte è un’ottima sfida da cogliere.