Un approccio automatizzato al Threat Modeling = An automated approach to Threat Modeling

Il cloud computing ha rivoluzionato il panorama dell'industria IT, ridefinendo le modalità di progettazione, implementazione e gestione delle infrastrutture. La promessa di scalabilità e flessibilità ha spinto le organizzazioni verso il cloud, creando architetture complesse e distribuite. Questa trasformazione, sebbene vantaggiosa, ha portato nuove sfide, soprattutto in termini di sicurezza, poichè ha reso la protezione dei dati e la gestione delle minacce più complesse. Il threat modeling è una risposta a questa sfida. Esso è emerso come approccio fondamentale per valutare e mitigare i rischi legati alla sicurezza nelle architetture cloud. Questo processo permette di identificare, valutare e gestire le potenziali minacce che potrebbero mettere a repentaglio l'integrità, la disponibilità e la riservatezza dei dati. Tuttavia, il threat modeling tradizionalmente richiede un'analisi dettagliata di ogni componente dell'architettura, un processo laborioso, intensivo in termini di tempo e potenzialmente soggetto a errori umani. La sua automazione si presenta come una soluzione efficace per semplificarlo e migliorarlo. Ad esempio, una schedulazione del processo di threat modeling permetterebbe di effettuare analisi più frequenti e di ottenere i risultati in maniera tempestiva rispetto ai metodi tradizionali. In questo modo, le organizzazioni possono valutare rapidamente le minacce o vulnerabilità emerse. Una delle soluzioni per automatizzare il threat modeling è l'utilizzo di Jenkins, una piattaforma ampiamente adottata nel campo dello sviluppo software e dell'implementazione continua (CI/CD). La tesi offre un esempio concreto di come sia possibile utilizzare un approccio automatizzato al threat modeling, utilizzando una pipeline Jenkins. Il lavoro si articola in diverse fasi. La prima riguarda la progettazione di un'architettura di riferimento, basata su infrastruttura cloud, microservizi containerizzati, orchestrazione dei container e distribuzione automatizzata tramite Jenkins. La seconda fase si concentra sull'analisi delle minacce, il cui obiettivo è individuarne le potenziali per ciascun componente dell'ambiente di riferimento. La terza fase si occupa dell'automazione vera e propria, andando ad identificare i controlli automatizzabili e configurando una pipeline per l’esecuzione regolare del flusso di analisi. Quest'ultima è composta da vari stage, ognuno dei quali corrisponde a un controllo specifico che è stato automatizzato, impiegando strumenti d’analisi esistenti o script creati ad hoc. I risultati di ciascun controllo vengono raccolti in un report dettagliato che evidenzia le vulnerabilità o le potenziali minacce. Infine, l'ultima parte del lavoro di tesi si concentra sull'esecuzione della pipeline d’automazione e sulla validazione dei risultati. La validazione dei risultati va a verificare che quanto emerso dal report della pipeline sia coerente con i risultati ottenuti dall'analisi manuale. In conclusione, questo lavoro rappresenta un primo passo verso l'automazione del threat modeling nelle architetture cloud, evidenziando l'utilizzo di Jenkins come strumento chiave in questo processo. È importante sottolineare che ciò non costituisce una soluzione definitiva, bensì un punto di partenza per migliorare il processo di sicurezza in un ambiente cloud.