Connect with us

Fondamenti della gestione delle vulnerabilità

Sicurezza informatica

Fondamenti della gestione delle vulnerabilità

mm
Published
Updated

La gestione delle vulnerabilità è una combinazione di processi e prodotti finalizzati al mantenimento di un inventario dell’infrastruttura digitale di un’organizzazione, alla sua analisi per individuare vulnerabilità e alla risoluzione delle debolezze identificate. Si tratta di una pratica ciclica e dell’antitesi del noto adagio IT che afferma: “Se non è rotto, non ripararlo”. Questo principio semplicemente non funziona nella sicurezza aziendale di oggi. Se gli asset digitali non vengono monitorati e rafforzati continuamente, diventano facili bersagli.

Uno scanner non è sufficiente

A differenza dei scanner di vulnerabilità, l’obiettivo principale della gestione delle vulnerabilità è quello di rafforzare la sicurezza dell’infrastruttura e fornire una risposta di emergenza a minacce super pericolose. Trovare una falla in un sistema è solo metà della battaglia, ma deve essere risolta in modo che gli attori delle minacce non possano sfruttarla come punto di ingresso. I metodi di valutazione delle vulnerabilità e di priorità degli problemi rilevati in base all’infrastruttura del cliente sono altrettanto importanti. Gli scanner non lo fanno.

La gestione delle vulnerabilità è, essenzialmente, un aggiunta al processo di scansione che valuta, priorizza e risolve le vulnerabilità rilevate. Le esigenze dei clienti stanno cambiando, mentre l’obiettivo principale era una volta ridursi al solo rilevamento di una vulnerabilità, ora è più incentrato sui modi per affrontare il problema.

Per quanto riguarda i modelli di licenza utilizzati dai sistemi di gestione delle vulnerabilità, sono solitamente basati sul numero di indirizzi IP protetti. Non importa dove si trovino o quante installazioni il cliente richieda. Il costo di uno scanner di vulnerabilità, d’altra parte, dipende dal numero di installazioni e dai parametri di scansione, come ad esempio il numero di host.

Inoltre, esistono diversi tipi di installazioni, con alcuni vendor che offrono un utilizzo illimitato dei loro sistemi. Il prezzo può anche essere influenzato dal set di funzionalità, alcune delle quali sono disponibili come extra a pagamento.

Criteri per la scelta di un sistema di gestione delle vulnerabilità

Le caratteristiche più importanti includono la dimensione dell’organizzazione, il numero dei suoi rami situati in diverse zone orarie, nonché la localizzazione del prodotto, che è la capacità di rilevare vulnerabilità specifiche di regione e settore.

Un fattore interessante riguarda quanto bene i dipartimenti InfoSec e IT dell’azienda possano negoziare le funzionalità necessarie della soluzione. Gli specialisti InfoSec di solito danno priorità al rilevamento delle vulnerabilità, mentre i team IT si concentrano principalmente sulla distribuzione dei patch. Pertanto, l’intersezione di queste due aree definirà i parametri del sistema.

È anche utile esaminare la completezza e la frequenza degli aggiornamenti, nonché i sistemi operativi supportati dallo scanner. Il sistema di gestione delle vulnerabilità ideale dovrebbe anche adattarsi al contesto del settore che l’organizzazione rappresenta e alle applicazioni che sta attualmente utilizzando.

Allo stadio della firma del contratto, il fornitore può rassicurare il cliente della sua disponibilità ad aggiungere nuovi prodotti e funzionalità in futuro. Purtroppo, alcuni fornitori non mantengono sempre tali impegni. Pertanto, è meglio concentrarsi sulla funzionalità già disponibile della soluzione.

Una funzionalità utile di qualsiasi sistema di gestione delle vulnerabilità è la capacità di arricchire il proprio database di vulnerabilità con informazioni da fonti terze. È anche utile se la soluzione può fornire un esempio di sfruttamento che si basa su una specifica vulnerabilità.

La maggior parte dei clienti si trova di fronte a un classico dilemma: utilizzare uno scanner gratuito o acquistare una soluzione commerciale fin dall’inizio. Mantenere un database di vulnerabilità aggiornato è un processo tedioso e costoso. Pertanto, nel caso di un prodotto gratuito, il team di sviluppo potrebbe dover dare priorità ad altre aree della propria attività nella ricerca di fonti di reddito alternative, il che spiega perché questi scanner hanno alcune limitazioni.

Strumenti sotto l’ombrello della gestione delle vulnerabilità

L’insieme di soluzioni necessarie per organizzare il processo di gestione delle vulnerabilità all’interno di un’azienda può includere:

  •       Diversi strumenti per la raccolta di informazioni sulle vulnerabilità, come ad esempio scanner, strumenti per l’elaborazione dei dati da fonti terze e repository di informazioni ottenute in modo indipendente dagli specialisti InfoSec.
  •       Strumenti di priorità per le vulnerabilità che definiscono i punteggi CVSS e valutano il valore dell’asset potenzialmente interessato dalla falla.
  •       Strumenti per l’interazione con database esterni.
  •       Sistemi che gestiscono una vulnerabilità nel contesto dell’organizzazione, della sua infrastruttura e della superficie di attacco globale.

Gestione degli asset e patch automatiche

Il processo di gestione degli asset dovrebbe avere un grado massimo di automazione, coprire l’intera infrastruttura dell’organizzazione e avvenire con regolarità. Non è possibile dare priorità alle vulnerabilità a meno che queste condizioni non siano soddisfatte. Inoltre, non è possibile controllare l’infrastruttura IT di un’azienda senza sapere esattamente di cosa è composta. Pertanto, la gestione degli asset è una parte fondamentale della gestione delle vulnerabilità.

Il principale presupposto per l’automazione del processo di gestione dei patch è assegnare un identificatore specifico a ogni firma di vulnerabilità e assicurarsi che l’aggiornamento successivo la affronti. Si tratta di un flusso di lavoro complesso con molti trabocchetti. Le conseguenze dell’omissione di un singolo aggiornamento possono essere disastrose, quindi la distribuzione dei patch deve essere orchestrata nel miglior modo possibile.

È anche importante adattare i patch automatici a un’applicazione specifica. Per le workstation, è accettabile limitare gli aggiornamenti al sistema operativo e al software di base come browser e applicazioni di office. Nel caso dei server, le cose sono più complicate perché c’è molto in gioco e un aggiornamento difettoso può influire sulla disponibilità delle risorse IT critiche per l’azienda.

Quando si tratta di monitorare l’infrastruttura aziendale, la maggior parte delle aziende preferisce la scansione all’installazione di agenti sugli endpoint, poiché questi ultimi spesso diventano punti di ingresso per il malware. Tuttavia, se l’host non può essere raggiunto in alcun altro modo, è necessario utilizzare applicazioni di raccolta dati.

Come menzionato in precedenza, l’interazione senza soluzione di continuità tra i dipartimenti InfoSec e IT fa la differenza. I due team devono concordare sulle politiche che specificano chi è responsabile dell’installazione degli aggiornamenti per determinate risorse e con quale frequenza ciò avverrà. Essenzialmente, il processo di gestione delle vulnerabilità dovrebbe ridursi al monitoraggio della conformità con tali accordi e all’installazione di patch urgenti.

Cosa riserva il futuro per i sistemi di gestione delle vulnerabilità?

A questo punto, c’è una tendenza distinta verso l’aumento dell’automazione del monitoraggio degli asset e della distribuzione dei patch. Mentre le infrastrutture aziendali continuano a migrare verso il cloud, è possibile che il processo di scansione delle vulnerabilità si riduca al controllo delle impostazioni di sicurezza del cloud. Un’altra direzione evolutiva si riduce al miglioramento dei sistemi di valutazione delle vulnerabilità. Gli strumenti di priorità per le vulnerabilità includeranno più dati, soprattutto riguardo alle vulnerabilità più “sfruttabili”.

C’è anche una buona probabilità che questi sistemi passino a una logica tutto-in-uno nei prossimi anni, dove una singola soluzione fornirà l’intero spettro di strumenti di gestione InfoSec. L’emergere di una piattaforma onnicomprensiva che include gestione delle vulnerabilità, gestione degli asset e capacità di gestione del rischio, insieme ad altre funzionalità di protezione, è piuttosto probabile. Forse, ci sarà una console di gestione delle vulnerabilità tout court per tutti gli elementi dell’infrastruttura digitale – dal server o dalla stampante al contenitore su un host dedicato.

Related Topics:
mm

David Balaban è un ricercatore di sicurezza informatica con oltre 17 anni di esperienza nell'analisi di malware e nella valutazione di software antivirus. David gestisce MacSecurity.net e Privacy-PC.com progetti che presentano opinioni esperte su questioni di sicurezza informatica contemporanee, tra cui ingegneria sociale, malware, test di penetrazione, intelligence sulle minacce, privacy online e hacking con cappello bianco. David ha una solida esperienza nella risoluzione dei problemi di malware, con un recente focus sulle contromisure contro il ransomware.