MILANO: Veracode, leader mondiale nella gestione del rischio applicativo, ha annunciato nuove funzionalità per aiutare le organizzazioni ad affrontare le minacce emergenti, offrendo ai professionisti della sicurezza una migliore visibilità e controllo all’interno di un unico luogo. Il lancio include nuove funzionalità AI del prodotto Dynamic Application Security Testing (DAST) e una funzione di External Attack Surface Management (EASM). Grazie a queste innovazioni, i team di sicurezza possono ora identificare l'intera superficie di attacco e concentrarsi sui rischi più urgenti, semplificando e velocizzando le scansioni di sicurezza.

“I team di sicurezza devono poter vedere e proteggere tutto, non solo ciò che si trova all’interno del proprio perimetro”, ha dichiarato Derek Maki, Head of Product di Veracode. “Con le nostre ultime funzionalità DAST e i miglioramenti della piattaforma di Application Risk Management, stiamo aiutando le organizzazioni a passare dalla scansione delle vulnerabilità alla gestione olistica del rischio, per identificare meglio i pericoli presenti negli asset esterni non identificati”.

Fronteggiare il rischio in una superficie di attacco in aumento

I moderni cicli di sviluppo e l’adozione del cloud costringono le aziende a confrontarsi con una superficie di attacco in rapida espansione. Secondo il Verizon Data Breach Investigations Report 2024, le applicazioni web rimangono un obiettivo primario per i cyberattacchi, rappresentando quasi la metà di tutti gli incidenti. Inoltre, l’ultima ricerca di Veracode sulla sicurezza del software ha rilevato un allarmante aumento del tempo medio di correzione delle falle una volta individuate, con un tempo superiore di tre mesi (o del 47%) rispetto a cinque anni fa.

Le ultime innovazioni di Veracode rispondono a queste criticità offrendo un’integrazione fluida per una gestione completa del rischio, una remediation più rapida e scansioni intuitive con risultati in tempo reale. Le organizzazioni possono così bilanciare in modo più efficace la velocità dello sviluppo moderno con la sicurezza del software.

Rilevamento automatico, prioritizzazione basata sul rischio e reportistica in tempo reale

Le funzionalità EASM di Veracode automatizzano l’individuazione della superficie di attacco esterna, identificando e monitorando continuamente i potenziali punti di ingresso degli aggressori. Il prodotto rileva automaticamente i sistemi e i servizi esposti su Internet, tra cui API, applicazioni web, applicazioni mobile e risorse basate su cloud, molte delle quali sono spesso sconosciute o non gestite. Grazie all'individuazione automatizzata, EASM rivela i punti ciechi e offre:

Visibilità completa : identificazione e monitoraggio coerenti di tutti gli asset esterni per ridurre le lacune di visibilità.

: identificazione e monitoraggio coerenti di tutti gli asset esterni per ridurre le lacune di visibilità. Priorità basata sul rischio : focalizzazione razionale sulle minacce più critiche per ridurre al minimo i punti di accesso per un aggressore.

: focalizzazione razionale sulle minacce più critiche per ridurre al minimo i punti di accesso per un aggressore. Perfetta integrazione della sicurezza: il collegamento con Veracode Risk Manager (VRM), previsto per la fine di quest’anno, consente di assegnare priorità ai risultati delle analisi statiche (SAST), di composizione del software (SCA) e dinamiche e di contestualizzarli in un unico luogo, fornendo una visione olistica del rischio e del controllo. Le funzionalità di Veracode EASM automatizzano la rivelazione della superficie di attacco esterna, identificando e monitorando continuamente i potenziali punti di ingresso sfruttabili dai malintenzionati.

“Nel panorama odierno delle minacce, le organizzazioni devono fare i conti con un numero di potenziali punti di accesso senza precedenti”, ha spiegato Maki. “Veracode EASM offre ai team di sicurezza la prospettiva dell’attaccante e la capacità di identificare, analizzare e mitigare continuamente i rischi prima che possano essere sfruttati”.

La nuova funzionalità Enterprise Mode di Veracode per DAST Essentials rappresenta un progresso significativo nei test dinamici di sicurezza delle applicazioni. Sfruttando questa modalità, i team di sicurezza possono assegnare più facilmente le priorità e correggere le vulnerabilità critiche nelle applicazioni web e nelle API.

Le funzionalità principali sono progettate per gestire un portfolio di applicazioni complesso e su larga scala:

Crawling e auditing avanzati per una scansione profonda, altamente personalizzabile e accurata.

avanzati per una scansione profonda, altamente personalizzabile e accurata. Auto-login assistito dall’AI per ridurre i fallimenti di autenticazione e implementare facilmente il programma DAST in tutta l’organizzazione.

per ridurre i fallimenti di autenticazione e implementare facilmente il programma DAST in tutta l’organizzazione. Internal Scan Management (ISM) per la scansione all’interno dei firewall aziendali.

per la scansione all’interno dei firewall aziendali. Un’interfaccia semplificata e intuitiva per una configurazione e un’impostazione più rapida e semplice.

per una configurazione e un’impostazione più rapida e semplice. Reporting delle falle in tempo reale e una visione globale del rischio su tutti i progetti.

“DAST Enterprise Mode consente ai team di sicurezza di lavorare in modo più rapido, intelligente e sicuro”, ha osservato Maki. “Con l’analisi in tempo reale all’interno di una piattaforma unificata, si elimina la sfida rappresentata da strumenti frammentati e si consente una gestione del rischio matura e resiliente con visibilità e controllo centralizzati”.

