Risk-based Vulnerability Management: l’importanza del contesto nella prioritizzazione delle Vulnerabilità

Con la crescente tendenza alla digitalizzazione e all’informatizzazione dei processi e delle informazioni, sempre più dispositivi sono connessi alla rete.

Più dispositivi connessi alla rete significa più opportunità per chi vuole attaccarci o, in gergo tecnico, una maggiore superficie di attacco. E se, come ci confermano tutti principali report sulla Cybersecurity, chi attacca sta diventando sempre più bravo, specializzato e determinato, chi deve difendersi non può e non deve essere da meno.

Fortunatamente, sono sempre di più le organizzazioni che stanno acquisendo consapevolezza del fatto che il rischio Cyber stia aumentando, e che sia ormai imprescindibile dotarsi di squadre di esperti in grado di gestire la sicurezza informatica della propria realtà. Parallelamente, anche le tecnologie in questo ambito continuano a crescere, divenendo sempre più affidabili e in grado di contrastare le minacce in maniera efficace.

In questo scenario, la gestione delle vulnerabilità continua però a costituire un “tallone d’Achille” per i gruppi di sicurezza: come riportato da Tenable nel whitepaper “Overcoming Challenges Created by Disparate Vulnerability Management Tools, quasi il 60% delle organizzazioni che hanno subito un breach ne hanno attribuito la causa a una vulnerabilità nota cui non è stata applicata una patch di sicurezza già disponibile.

Se si considera che ad oggi il National Vulnerability Database del NIST conta circa 176,000 vulnerabilità, e che 22,000 si sono aggiunte solo nell’ultimo anno, è facile comprendere come sia impensabile tenere il passo e rimediarle tutte, specialmente se si tenta di farlo attraverso Vulnerability Assessment periodici.

Vulnerability Assessment VS Vulnerability Management

Il Vulnerability Assessment è un’analisi puntuale, automatizzata o manuale, volta a individuare e classificare le vulnerabilità note; sebbene sia uno strumento utile per individuare e risolvere alcune vulnerabilità, ciò che offre è una “fotografia” che, per quanto fedele, ritrae un momento “finito” nel tempo, non sufficiente a far fronte ad una situazione che invece tende a mutare molto rapidamente.

I processi di Vulnerability Management sono, d’altro canto, processi ciclici e continui, spesso in parte o totalmente automatizzati, che effettuano una scansione della rete individuando le vulnerabilità all’interno della stessa. Oltre a dare una visualizzazione delle vulnerabilità attualmente presenti nell’infrastruttura dando un riscontro all’operatore di sicurezza attraverso un report che identifica quante, quali e quanto sono gravi queste vulnerabilità, si occupa della gestione a tutto tondo della vulnerabilità, seguendo il suo ciclo di vita fino alla gestione delle remediation.

In un mondo ideale, applicare questi processi a tutte le vulnerabilità eliminerebbe ogni “breccia” dal perimetro aziendale, proteggendo completamente reti, infrastrutture e applicazioni dai tentativi di attacco. Abbiamo però visto come la mole di vulnerabilità da affrontare renda impossibile prefissarsi l’obiettivo di sanarle tutte. Per questo motivo l’efficacia di un programma di Vulnerability Management è legata a doppio filo alla sua abilità di individuare correttamente quali vulnerabilità necessitano realmente di essere risolte e quali, invece, presentano un livello di rischio trascurabile o nullo. In altre parole…

Prioritizzare le vulnerabilità basandosi sul Rischio

È importante prendere consapevolezza che non tutte le vulnerabilità sono uguali, non tutte hanno lo stesso peso, se è importantissimo essere al passo con i tempi ed essere aggiornati sugli ultimi CVE (Common Vulnerabilities and Exposures) è altrettanto critico capire quali sono i punti chiave della nostra infrastruttura e tenerli in considerazione nella prioritizzazione delle attività di remediation.

Secondo un sondaggio di IBM X-Force Red, il 57% delle aziende rispondenti non sa quali vulnerabilità rappresentano il rischio più alto nella loro infrastruttura.

Accade infatti spesso che da una prima stima effettuata con scansioni per vulnerability assessment ci si affretti a concentrarsi sulle vulnerabilità che presentano uno score CVSS più alto. Il Common Vulnerability Scoring System è un punteggio utilizzato per misurare la severity (il grado di pericolosità) di ciascuna Vulnerabilità, che va da 0 (pericolosità nulla), a 10 (pericolosità massima). 

Tale approccio, di per sé, non è sbagliato: lo scoring CVSS è facile da comprendere, indicato dai più comuni strumenti per la scansione delle vulnerabilità e immediatamente fruibile per una prima classificazione delle vulnerabilità più pericolose. Tuttavia, se utilizzato come unico sistema di prioritizzazione, ha due grandi limiti: il primo è che si tratta di un punteggio tendenzialmente statico, attribuito al primo assessment della potenzialità che quella vulnerabilità sia sfruttata e raramente aggiornato, anche qualora il profilo di rischio della vulnerabilità cambi nel tempo. Il secondo, e più importante, è che è un valore assoluto, che non tiene conto del contesto in cui la vulnerabilità si inserisce.

Da un lato, occorre considerare il contesto di business: se è vero che le vulnerabilità con un CVSS più alto devono essere attenzionate, è altrettanto vero che una vulnerabilità, magari con uno score più basso, ma rilevata su un asset più critico e magari esposto su Internet dovrebbe essere risolta con maggiore priorità. 

Dall’altro, bisogna tenere contro del contesto globale: se determinate vulnerabilità sono maggiormente “prese di mira” dagli attaccanti in un dato momento, è più probabile che vengano sfruttate; potrebbero quindi risultare prioritarie rispetto a vulnerabilità più pericolose a livello di CVSS ma raramente sfruttate.

È necessario, quindi, effettuare non solo un assessment sulla severity delle Vulnerabilità, ma anche una loro gestione basata sul rischio che, nel complesso queste pongono all’organizzazione, calando l’analisi dell’assessment effettuato nel contesto della propria azienda, delle caratteristiche dei propri asset e del mercato su cui si opera.

Governare il processo di Vulnerability Management

Sono molti i dati, gli attori e le azioni che entrano in gioco quando si implementa un programma di Risk-Based Vulnerabilty Management: è quindi indispensabile automatizzare e gestire efficacemente i processi in tutte le loro fasi, dalla scansione, alla prioritizzazione al management delle remediation, cercando di diminuire quanto più possibile l’errore umano e ottimizzare al massimo l’effort delle squadre di sicurezza.

Alfa Group ha una profonda conoscenza delle peculiarità, le sfide e le opportunità che caratterizzano i processi di Vulnerability Management, al punto di sviluppare una soluzione ad hoc per la loro gestione.

RHD VM è un prodotto di Alfa Group nato proprio per aiutare a gestire il management delle vulnerabilità, andando ad aiutare l’operatore seguendo il ciclo di vita delle vulnerabilità lungo tutto il loro percorso, dal momento in cui viene scoperta, fino alla risoluzione. Raccogliendo e correlando informazioni da diverse fonti interne ed esterne all’azienda, è in grado di arricchire i dati derivanti dalle scansioni di assessment con Business Contextualization e dati provenienti da fonti di Threat Intelligence. Il risultato è una Gestione efficace delle vulnerabilità basata sul rischio, nonché una risposta più puntuale e tempestiva da parte gruppi di sicurezza.

Alfa offre, altresì, una squadra di consulenti esperti aiutando le aziende a riqualificare e gestire i propri processi di vulnerability assessment e management, aumentando la consapevolezza e l’informazione di quest’ultime verso il panorama della Cyber Security.

 

Con le ultime leggi sul GDPR la salvaguardia dei dati è diventato anche un problema di carattere giuridico. 

“Una delle grandi sfide che abbiamo come professionisti della sicurezza è cercare di rimanere al passo con la gestione delle vulnerabilità” Josh Zelonis, analista di Forrester Research 

Secondo il sondaggio di IBM X-Force Red, il 57% delle aziende che hanno partecipato non sanno quali vulnerabilità rappresentano il rischio più alto nella loro infrastruttura.

Iscriviti alla nostra newsletter!