Che cos'è la gestione delle vulnerabilità?

La gestione delle vulnerabilità consente di identificare, assegnare priorità e rispondere a problemi software e configurazioni errate che potrebbero essere sfruttati dagli autori degli attacchi, portare al rilascio accidentale di dati sensibili o interrompere le operazioni aziendali.

Il moderno ecosistema informatico è tutt'altro che statico: si tratta di un'entità in continua evoluzione che si espande continuamente per includere nuove tecnologie, sistemi e individui. Purtroppo, ciò rende la sicurezza un compito difficile.

Le nuove vulnerabilità digitali vengono rilevate quasi ogni giorno, con migliaia di nuovi vettori di minaccia che possono essere sfruttati ogni anno, causando problemi significativi per le organizzazioni praticamente di ogni settore. Secondo il Ponemon Institute, il costo medio globale di una violazione dei dati negli Stati Uniti è di 8,64 milioni di dollari. Pertanto, rispondere agli attacchi solo dopo che si verificano non è una difesa efficace.

Inoltre, i sistemi e i servizi sono sempre più complessi e più integrati nella società moderna. Gli errori si verificano quando gli utenti configurano, gestiscono e aggiungono più tecnologie e dispositivi all'ambiente. Ogni errore potrebbe causare un problema.

La gestione delle vulnerabilità offre una soluzione.

Definizione della gestione delle vulnerabilità

La gestione delle vulnerabilità è un termine che descrive diversi processi, strumenti e strategie di identificazione, valutazione, trattamento e creazione di report sulle vulnerabilità e le configurazioni errate della sicurezza all'interno del software e dei sistemi di un'organizzazione. In altre parole, consente di monitorare l'ambiente digitale dell'azienda per identificare i potenziali rischi, per un quadro aggiornato dello stato di sicurezza attuale.

Vulnerabilità della sicurezza

In termini generali, una vulnerabilità è un punto debole, un difetto che può essere sfruttato. Nella scienza informatica, una vulnerabilità della sicurezza è essenzialmente la stessa cosa. Le vulnerabilità della sicurezza sono l'obiettivo degli autori delle minacce. Questi ultimi infatti tentano di individuare e sfruttare le vulnerabilità per accedere ai sistemi con restrizioni.

Rilevatore di vulnerabilità

L'identificazione delle vulnerabilità in tutti i sistemi, le reti e le applicazioni richiede strumenti specifici. Un rilevatore di vulnerabilità è un programma progettato per passare attraverso i sistemi digitali e scoprire eventuali potenziali punti deboli, rendendo possibile la gestione delle vulnerabilità.

Gestione delle vulnerabilità basata sul rischio

Un'estensione della gestione delle vulnerabilità e dei programmi di gestione delle vulnerabilità basati sul rischio è progettata per risolvere i punti deboli dei sistemi digitali, tra cui software, hardware e infrastruttura. La gestione delle vulnerabilità basata sul rischio utilizza l'apprendimento automatico per estendere la gestione delle vulnerabilità oltre gli asset dell'IT tradizionali, integrando infrastruttura cloud, dispositivi IoT, app Web e altro ancora. In questo modo le aziende possono accedere a dati rilevanti sull'intera superficie di attacco.

La gestione delle vulnerabilità basata sul rischio consente inoltre di assegnare priorità in modo più accurato e basato sul rischio. L'azienda può concentrarsi innanzitutto sull'identificazione e sulla riparazione dei punti deboli che potrebbero portare con maggiore probabilità a una violazione, procrastinando invece la risoluzione delle vulnerabilità meno critiche.

Gestione delle vulnerabilità e valutazione delle vulnerabilità

La gestione delle vulnerabilità e la valutazione delle vulnerabilità contribuiscono entrambe ad affrontare e risolvere efficacemente le vulnerabilità della sicurezza informatica. Tuttavia, gestione delle vulnerabilità e valutazione delle vulnerabilità non sono sinonimi.

La valutazione delle vulnerabilità è solo la prima fase della gestione delle vulnerabilità. La maggior parte delle aziende utilizza strumenti di scansione per esaminare i dispositivi sulla propria rete e raccogliere informazioni sulla versione del software installata e confrontarla con le vulnerabilità note annunciate dalle parti fornitrici di software. Per coprire la gamma di software in uso (applicazioni, sistemi operativi, provider di servizi cloud, ecc.) sono generalmente necessari più strumenti di scansione, con o senza agenti o credenziali. Le aziende eseguono le scansioni a intervalli programmati, solitamente mensilmente o trimestralmente, e quindi utilizzano l'elenco, spesso inviato tramite e-mail come foglio di calcolo, per assegnare attività di aggiornamento o patch. Se viene annunciata una vulnerabilità zero-day, una che viene sfruttata attivamente e una per la quale una patch potrebbe non essere ancora disponibile, un'azienda potrebbe avviare una scansione on-demand che può richiedere giorni o settimane a seconda delle dimensioni e della configurazione dell'infrastruttura.

Al contrario, la gestione delle vulnerabilità è un ciclo di vita, non solo una scansione pianificata o ad hoc. Si tratta invece di un programma in corso che passa dalla valutazione all'assegnazione di priorità e alla risoluzione. Utilizza più fonti di dati per valutare e rivalutare continuamente lo stato attuale del software e dei servizi. Aggiungendo alle informazioni sul software generate dagli strumenti di valutazione il contesto aziendale, le minacce, lo sfruttamento e il rischio, un sistema di gestione delle vulnerabilità può richiamare in modo efficiente l'attenzione sulle vulnerabilità che devono essere affrontate immediatamente e persino suggerire la soluzione o la mitigazione migliore. La valutazione, la riparazione e la creazione di report costanti sulle vulnerabilità consentono di gestire e affrontare le vulnerabilità della sicurezza quotidianamente. Ciò significa che i punti deboli possono essere individuati più rapidamente, i problemi di impatto più elevato possono essere risolti per primi e che un numero minore di vulnerabilità rischia di essere trascurato.

In poche parole, una valutazione delle vulnerabilità fornisce un'istantanea della posizione del software IT: la gestione delle vulnerabilità fornisce intelligence in tempo reale, in continua evoluzione, indicazioni per la risoluzione e creazione di report.

Man mano che sempre più informazioni vengono create e immesse nei sistemi digitali e che le organizzazioni continuano ad aumentare l'impiego di tecnologie per dispositivi mobili e dispositivi IoT, stanno emergendo nuove vulnerabilità della sicurezza. Di seguito, esaminiamo alcune delle statistiche più rilevanti relative alla gestione delle vulnerabilità:

  • Nel 2020 sono state identificate e pubblicate 17002 nuove vulnerabilità della sicurezza (Stack Watch).
  • In media, le vulnerabilità hanno avuto una valutazione di gravità pari a 7,1 su 10 (Stack Watch).
  • Il 48% delle organizzazioni segnala di avere subito una violazione dei dati negli ultimi due anni (ServiceNow).
  • Il 60% delle vittime di violazioni ha dichiarato di avere subito una violazione a causa di una vulnerabilità nota senza patch in cui la patch non è stata applicata (ServiceNow).
  • Il 62% non sapeva che la propria organizzazione era vulnerabile prima della violazione dei dati (ServiceNow).
  • Il 52% degli intervistati afferma che la propria organizzazione è in ritardo in termini di capacità di rispondere alle vulnerabilità perché utilizza processi manuali (ServiceNow).

I cinque fornitori con le vulnerabilità di sicurezza più documentate nel 2020 sono Microsoft, Google, Oracle, Apple e IBM (Stack Watch).

Di certo non mancano le vulnerabilità che gli autori delle minacce possono prendere di mira. E, dato il danno che può derivare da una violazione dei dati, non solo in termini di perdita finanziaria, ma anche per quanto riguarda le interruzioni operative, i danni alla fiducia dei clienti e alla reputazione del marchio, e anche le potenziali conseguenze legali, trovare e risolvere le vulnerabilità è assolutamente fondamentale.

Un efficace sistema di gestione delle vulnerabilità fornisce un ulteriore livello di protezione molto significativo e consente di gestire e correggere i problemi di sicurezza IT in modo continuativo.

Non si può parlare di gestione delle vulnerabilità senza discutere di exploit o, quantomeno, di che cosa sono e come prepararsi a essi.

Un exploit è un programma software dannoso (malware). È costituito da un codice specializzato che sfrutta le vulnerabilità note all'interno di un sistema. Gli autori delle minacce utilizzano gli exploit per accedere a reti e sistemi correlati in remoto. In questo modo, possono rubare o alterare i dati, assegnarsi privilegi di sistema, bloccare gli utenti autorizzati, entrare più in profondità nella rete e aprire la porta ad altri malware o tecniche di attacco.

Un fattore importante da tenere in considerazione è che gli exploit sono programmi software progettati per individuare e sfruttare le vulnerabilità note o, nel caso di un zero-day, una vulnerabilità che potrebbe non essere nota e per la quale quindi non è stata applicata alcuna patch. Implementando la gestione delle vulnerabilità all'interno dell'organizzazione, è possibile risolvere e riparare le stesse vulnerabilità prese di mira dagli exploit.

Oltre alla gestione continua delle vulnerabilità, è possibile preparare la propria organizzazione nei seguenti modi:

  • Fornire formazione sulla sicurezza IT a tutti i dipendenti
    Il tuo reparto IT non è l'unico a dovere sapere come difendersi da possibili attacchi: istruisci tutti i dipendenti sulle best practice di sicurezza IT e assicurati che le policy di sicurezza informatica della tua organizzazione siano aggiornate.
  • Implementare il filtraggio del traffico e la scansione
    Il filtraggio e la scansione del traffico offrono una maggiore visibilità sul traffico di rete e consentono di inviare i tipi di traffico giusti agli strumenti di monitoraggio della sicurezza appropriati. Ciò impedisce i colli di bottiglia del traffico, riduce la latenza e consente un'identificazione e una risposta più rapide degli agenti dannosi.
  • Tenersi al passo con le patch regolari
    Le aziende che forniscono il software forniscono regolarmente patch e aggiornamenti per proteggere i propri prodotti dalle vulnerabilità emergenti. Verificare regolarmente la presenza di patch e assicurarsi che tutti i sistemi e le applicazioni funzionino con le versioni più aggiornate contribuirà a garantire che le vulnerabilità note non vengano utilizzate contro di te.

Per ulteriori informazioni sulla protezione del tuo ecosistema IT fondamentale, consulta Implementing Agile Security Response: The Essential Checklist.

Quando le parti fornitrici e gli sviluppatori e le sviluppatrici rilasciano soluzioni software, non sempre hanno il tempo di identificare e affrontare tutte le possibili vulnerabilità prima che il prodotto venga lanciato sul mercato. Pertanto, per un certo periodo di tempo potrebbero non essere rilevati difetti e bug.

Man mano che parti fornitrici, agenzie di sicurezza, tester e utenti tradizionali scoprono nuove vulnerabilità, queste vengono solitamente segnalate e rese note attraverso i canali appropriati. Le parti fornitrici sono quindi responsabili della patch dei prodotti esposti. A seconda della gravità o criticità della vulnerabilità, le parti fornitrici si muoveranno più o meno rapidamente per rilasciare una patch. Le parti fornitrici in genere aggregano e testano le patch in una versione "Patch Tuesday", in modo che i clienti possano riscontrare meno interruzioni e meno lavoro nell'implementazione della correzione.

Sebbene le parti fornitrici utilizzino probabilmente i/le propri/e tester e persino le agenzie di test di penetrazione di terze parti per identificare le vulnerabilità, molti difetti non vengono notati finché non vengono scoperti dagli utenti o identificati dagli hacker. Tenendo presente questo aspetto, la gestione continua delle vulnerabilità diventa ancora più essenziale.

La gestione delle vulnerabilità è un processo ciclico che segue un determinato numero di fasi e quindi si ripete. Questo ciclo comprende sei fasi:

Scoprire le vulnerabilità

Quanto più a lungo una vulnerabilità rimane inosservata, tanto più è probabile che si traduca in una violazione della sicurezza. Effettua settimanalmente scansioni di rete esterne e interne per identificare le vulnerabilità esistenti e nuove. Questo processo include la scansione dei sistemi accessibili in rete, l'identificazione delle porte e dei servizi aperti su quei sistemi, la raccolta di informazioni sul sistema e il confronto delle informazioni del sistema con le vulnerabilità conosciute.

Assegnare priorità agli asset

Quando sai che cosa è in uso, puoi assegnare a ogni asset un valore basato sul suo uso o ruolo nella tua azienda. Si tratta di un'applicazione o di un server Web utilizzato per supportare i tuoi migliori clienti o dipendenti mission-critical o solo di una stampante? Si tratta di un computer portatile per dirigenti o di un terminale dell'help desk della clientela? Aggiungendo questo contesto al tuo elenco di sistemi, saprai quanto è importante risolvere una certa vulnerabilità.

Valutare le vulnerabilità

La valutazione è il punto in cui si esegue la scansione per comprendere lo stato delle applicazioni e dei sistemi nell'ambiente.

Assegnare priorità alle vulnerabilità

Man mano che le scansioni rivelano vulnerabilità, sarà necessario assegnare loro priorità in base al potenziale rischio che costituiscono per l'azienda, la forza lavoro e i clienti. Le piattaforme di gestione delle vulnerabilità forniscono in genere metriche diverse incorporate per la valutazione e la classificazione delle vulnerabilità. Tuttavia, è necessario arricchire il processo con informazioni di contesto aziendale, sulle minacce e sul rischio che potrebbe provenire da fonti interne o esterne. L'obiettivo è identificare le vulnerabilità più rilevanti, con maggiore impatto e più probabili nel proprio caso. Considerando l'espansione di software, servizi e dispositivi nella tua azienda, potresti non essere sempre in grado di applicare patch a tutte le tue vulnerabilità: identificare gli obiettivi più importanti e probabili di un attacco rappresenta un modo pratico per gestire questa realtà.

Risolvere le vulnerabilità

Una volta identificate le vulnerabilità, assegnata loro una priorità e una catalogazione, il passaggio successivo ovvio è quello di risolverle e/o mitigarle. Vale la pena notare che spesso coloro che all'interno di un'azienda sono responsabili della comprensione del rischio associato alle vulnerabilità spesso non coincidono con coloro che hanno l'autorità di implementare soluzioni. Tenendo presente questo aspetto, la tua organizzazione dovrebbe lavorare per ottenere un linguaggio comune, criteri decisionali e processi tra le operazioni di sicurezza, le operazioni IT e i team di amministrazione dei sistemi.

Verificare la soluzione

La fase finale, spesso trascurata, di questo processo consiste nel verificare che la vulnerabilità sia stata risolta. Segui le suddette fasi con un'altra scansione per garantire che i rischi con la massima priorità siano stati risolti o mitigati in modo efficace. Questa fase finale consente di chiudere l'incidente nel sistema di tracciamento e facilita le metriche chiave delle prestazioni, come il time to remediation medio (MTTR) o il numero di vulnerabilità critiche aperte.

Creare report sullo stato

In particolare quando si verifica un evento degno di nota, come un grave difetto software o una vulnerabilità zero-day sfruttata, responsabili, dirigenti e persino il consiglio di amministrazione potrebbero chiederti qual è stato il tuo grado di efficienza nel valutare e risolvere le vulnerabilità dei tuoi asset. I report sulle tendenze di vulnerabilità, rischi e gestione delle vulnerabilità aiutano a giustificare il personale o gli strumenti. Le principali piattaforme di gestione delle vulnerabilità includono opzioni per la generazione automatica di report visivi e dashboard interattive per supportare diversi utenti, stakeholder e obiettivi.

2-What-is-Vulnerability-Mngmt-A

Le sei fasi sopra descritte mostrano un approccio strutturato e sequenziale alla gestione delle vulnerabilità. Quando si definisce il processo di gestione delle vulnerabilità, è altrettanto fondamentale avere la giusta struttura. I passaggi da prendere in considerazione sono i seguenti:

Definire i propri obiettivi

Ovviamente, l'obiettivo principale di qualsiasi soluzione di gestione delle vulnerabilità deve essere quello di identificare e risolvere o mitigare le vulnerabilità all'interno del sistema, prima che tali vulnerabilità possano essere sfruttate. Tuttavia, è necessario identificare anche eventuali obiettivi secondari che la propria organizzazione potrebbe avere in relazione al processo di gestione delle vulnerabilità.

Gli obiettivi secondari consentono di migliorare l'efficacia complessiva della gestione delle vulnerabilità e il modo in cui la tua organizzazione sta implementando i dati risultanti. Questi obiettivi secondari possono includere l'aumento della regolarità della scansione delle vulnerabilità o l'accelerazione del tempo di risoluzione per affrontare le vulnerabilità identificate.

Definire i ruoli all'interno dell'organizzazione

Affinché la soluzione di gestione delle vulnerabilità sia efficace, tutti/e gli/le stakeholder devono impegnarsi a raggiungere il successo e a definire i loro ruoli e le loro responsabilità nel processo chiaramente. Sebbene strutture e capacità organizzative diverse possano richiedere una diversa separazione delle responsabilità, la maggior parte delle aziende può trarre vantaggio dall'assegnazione di singole persone ai ruoli di monitoraggio, risoluzione e concessione di autorizzazioni.

  • Ruolo di monitoraggio
    Questo ruolo valuta le vulnerabilità per quanto riguarda la gravità e il rischio, ne documenta i risultati, quindi avvisa chi è responsabile della risoluzione dei problemi.
  • Ruolo di risoluzione
    Questo ruolo è responsabile dell'individuazione delle patch a problemi noti e della creazione di soluzioni di mitigazione quando le patch non sono disponibili o non sarebbe pratico applicarle.
  • Ruolo di concessione di autorizzazioni
    Questo ruolo offre una visione d'insieme delle vulnerabilità del sistema ed è responsabile di apportare modifiche alla strategia e alla procedura quando necessario per mitigare gli effetti presenti e futuri delle vulnerabilità.

Valutare l'efficacia del programma di gestione delle vulnerabilità

Processi continui di gestione delle vulnerabilità consentono alla tua azienda di avere una visione più chiara e aggiornata dello stato generale della sicurezza. Come ulteriore vantaggio, la natura continua di questi processi ti aiuterà a sviluppare una valutazione accurata degli aspetti del tuo approccio di gestione delle vulnerabilità che funzionano e di quelli da modificare.

Ricorda: sebbene le fasi di base della gestione delle vulnerabilità siano relativamente coerenti, può essere utile apportare lievi modifiche all'approccio in base all'organizzazione in questione. Non avere paura di apportare modifiche ai tuoi processi per migliorarne l'accuratezza, la chiarezza e la risoluzione.

Per creare un processo di gestione delle vulnerabilità efficace e continuo, le soluzioni principali dovrebbero includere quanto segue:

Scansione

Ciò include la scansione della rete e la registrazione del firewall, nonché i test di penetrazione e gli strumenti automatizzati. Esistono molte fonti diverse di dati di scansione, quindi non è necessario limitare le opzioni a un'unica azienda o a un solo strumento.

Ricerca

Ciò comporta l'analisi dei risultati delle scansioni per identificare le vulnerabilità e le possibili prove di violazioni passate o in corso.

Verifica

Ciò include una valutazione delle vulnerabilità stesse per determinare in che modo possono essere utilizzate dagli autori delle minacce e quali rischi comportano.

Assegnazione delle priorità in base alla mitigazione dei rischi e dell'impatto

Ciò può includere la gestione delle vulnerabilità basata sul rischio per determinare quali bug sono più rischiosi. In base al rischio deve essere assegnata loro la priorità di risoluzione o mitigazione.

Applicazione di patch

Ciò comporta l'applicazione di patch per le vulnerabilità identificate, eliminandole in modo efficace come potenziali vettori di minaccia.

Misurazione

Ciò comporta la valutazione dell'efficacia della soluzione di gestione delle vulnerabilità e l'esecuzione di modifiche al processo, ove necessario.

Inizia a utilizzare SecOps

Identifica, definisci le priorità e rispondi alle minacce più velocemente.