La proliferazione di Shadow Code – script di terze parti e librerie open source utilizzate nelle applicazioni web – può aiutare le organizzazioni ad accelerare le loro trasformazioni digitali, ma le espone anche a un rischio maggiore di attacchi informatici.
I team di sicurezza stanno scoprendo che lo Shadow Code , il codice equivalente a canaglia o Shadow IT, rimane un punto cieco per le loro organizzazioni, con appena l'8% degli intervistati in un rapporto di PerimeterX / Osterman Research che afferma di avere una visibilità completa sul codice nascosto in esecuzione su i loro siti web. Si tratta di un calo dal 10 percento nel 2019.
"Data la natura altamente dinamica di questi script, ciò che l'analista vede potrebbe differire in modo significativo da ciò che viene effettivamente eseguito sul browser di un cliente", ha dichiarato a SC Media Ameet Naik, evangelista della sicurezza di PerimeterX. "Questo è il motivo per cui solo l'8% degli intervistati dichiara di avere una visione completa degli script di terze parti in esecuzione sul proprio sito web".
Più del 30% degli intervistati in questo secondo sondaggio annuale ha affermato che le offerte di terze parti costituiscono tra il 40% e il 60% degli script del proprio sito Web e, sebbene inferiori allo standard del settore di circa il 70%, gli script rappresentano un formidabile ostacolo alla sicurezza e erodere la fiducia.
La visibilità è diminuita in un momento in cui i team di sicurezza devono affrontare un numero crescente di attacchi e sono più preoccupati per la salvaguardia delle proprie risorse. Più di un terzo – il 38% – ha affermato che i propri siti Web aziendali erano stati violati, mentre il 40% sospettava che lo fossero, afferma il sondaggio. E la maggior parte non pensa che i propri siti Web siano sicuri: il 30% ha affermato che i siti Web rivolti all'esterno sono protetti da Magecart e altre minacce. Si tratta di un calo rispetto al 40% registrato nel 2019.
Molti professionisti della sicurezza si sentono legati quando si tratta di gestire lo Shadow Code . Solo il 20% ha affermato che gli intervistati hanno affermato che i loro team hanno la piena autorità per chiudere gli script sospetti in esecuzione sui propri siti web, rispetto al 32% che ha segnalato la stessa cosa l'anno scorso.
Ma la risposta non è sbarazzarsene. "Lo Shadow Code è una parte inevitabile delle moderne applicazioni web", ha affermato Naik. "Gli script di terze parti forniscono funzioni a valore aggiunto essenziali e molto necessarie come analisi, chatbot e servizi di pagamento."
Invece, "le organizzazioni possono utilizzare strumenti nativi del browser per eseguire un triage di primo passaggio di script di terze parti in esecuzione sul loro sito Web", ha affermato. Raccomanda ai team di sicurezza di "adottare un approccio affidabile ma di verifica", monitorando continuamente l'attività degli script e rilevando e mitigando le minacce attraverso l'analisi comportamentale e l'apprendimento automatico.
La pandemia COVID-19 ha rallentato la risposta per mitigare il codice ombra. Solo il 34% degli intervistati ha affermato di aver implementato soluzioni per affrontare il rischio, ma i risultati del sondaggio mostrano che quel numero sarebbe probabilmente stato di circa il 47% se la pandemia non avesse causato blocchi e rallentamenti. Ciò significa che il 28% non è stato in grado di proteggere le applicazioni web a causa di COVID-19, afferma il rapporto.
Il post Shadow Code nel punto cieco della sicurezza, l'aumento del rischio di attacco è apparso per la prima volta su SC Media .