Il design insicuro e le carenze architettoniche rappresentano una nuova categoria di rischi per il 2021, ed è fondamentale andare oltre il concetto di “shift-left” nell’ambito della programmazione, per includere attività pre-codifica essenziali per i principi del Secure by Design. Tra le Comuni Enumerazioni di Debolezze (CWE) notevoli figurano la CWE-209, CWE-256, CWE-501 e CWE-522.
Il design insicuro si riferisce a “controlli di design mancanti o inefficaci” ed è diverso dall’implementazione insicura. Un design sicuro è una cultura e una metodologia che valuta le minacce e assicura che il codice sia progettato e testato robustamente per prevenire i metodi di attacco conosciuti. Per lo sviluppo di software sicuro sono necessari un ciclo di vita dello sviluppo sicuro, modelli di design sicuro, una metodologia paved road, una libreria di componenti sicuri, strumentazione e modellazione delle minacce.
La mancanza di profilazione del rischio aziendale intrinseca nel software o nel sistema in fase di sviluppo è uno dei fattori che contribuiscono al design insicuro. Per prevenire un design insicuro, i professionisti della sicurezza delle applicazioni (AppSec) dovrebbero essere utilizzati per valutare e progettare controlli relativi alla sicurezza e alla privacy, e dovrebbe essere stabilita una libreria di modelli di design sicuro.
La modellazione delle minacce dovrebbe essere utilizzata per l’autenticazione critica, il controllo degli accessi, la logica di business e i flussi chiave. Il linguaggio di sicurezza e i controlli dovrebbero essere integrati nelle storie degli utenti, e i controlli di plausibilità dovrebbero essere integrati in ogni livello dell’applicazione. Infine, il consumo di risorse da parte dell’utente o del servizio dovrebbe essere limitato, e i livelli di stratificazione sul sistema e sulla rete dovrebbero essere segregati a seconda delle necessità di esposizione e protezione.
Per migliorare ulteriormente la sicurezza della vostra applicazione e proteggerla da design insicuri, suggeriamo di sfruttare servizi come INFRA www.infrascan.net e check.website.