Quasi tutte le banche hanno un problema di gestione delle vulnerabilità, compresa la mia. Eravamo sommersi da vulnerabilità e abbiamo dovuto capire a quali porre rimedio per prime. Dopo aver collaborato con il team di hacker veterani di IBM X-Force Red, abbiamo raggiunto un livello di controllo significativamente migliore sulla nostra situazione di gestione delle vulnerabilità e continuiamo a usufruire di continui miglioramenti sia nelle pratiche che nei risultati.
Il nostro team era sommerso da un numero enorme di vulnerabilità, compreso un arretrato di vulnerabilità critiche che non venivano ridotte abbastanza velocemente. Tra i problemi c'era anche l'incapacità di distillare efficacemente i dati aggregati sulle tendenze in informazioni attuabili per le persone responsabili della bonifica.
Il team di X-Force Red ha fatto una vera e propria full-immersion in tutti i nostri problemi. A quattro mesi dall'inizio del programma, abbiamo registrato una riduzione del 60% delle vulnerabilità critiche e di quasi il 45% di quelle totali.
Le aziende di servizi finanziari sono vittime di attacchi alla sicurezza informatica 300 volte più frequentemente rispetto alle aziende di altri settori, motivo per cui la nostra azienda ha investito e dato priorità al nostro programma di gestione delle vulnerabilità.
Avevamo un backlog di vulnerabilità elevate e critiche. L'enorme volume rendeva davvero difficile la segnalazione, la definizione delle priorità e il monitoraggio dei problemi. In altre parole, ci mancava una soluzione su scala aziendale per la gestione delle vulnerabilità.
Utilizzavamo una soluzione inefficacecostituita da complessi fogli di calcolo che estraevano un gran numero di vulnerabilità da diversi sistemi e scanner, lasciando alla fine sia il team di Gestione delle vulnerabilità che gli altri team responsabili del patching incapaci di decostruire i report complicati e di approfondire i dati. I report mostravano un numero complessivo di vulnerabilità e un indicatore di rischio chiave basato su una formula, ma avevamo bisogno di capire come veniva calcolata questa metrica e quali vulnerabilità influivano su sistemi specifici.
Ci sentivamo paralizzati. L'output dei nostri scanner di vulnerabilità ci ha permesso di vedere quante vulnerabilità avevamo, ma non riuscivamo a correlare in modo affidabile i dati a sistemi e proprietari specifici. Senza una reportistica efficace, gli amministratori di sistema non sapevano da dove iniziare con le patch e il team di vulnerabilità non era in grado di fornire indicazioni utili.
Lo stress pesava sul nostro team. I dati erano così opachi che ci sembrava di perdere il controllo. Ogni mese riferivamo al management, sperando che il numero di vulnerabilità diminuisse, ma sapevamo di non avere il controllo del risultato. Ci sentivamo impotenti.
Inoltre, il nostro fornitore all'epoca non si è fatto carico delle crescenti preoccupazioni né ha affrontato i problemi del suo modello di reporting che ci impedivano di fare progressi. Avevamo bisogno di rivedere il nostro programma di gestione delle vulnerabilità e dovevamo cambiare fornitore.
Abbiamo cercato un servizio con l'esperienza, gli strumenti e l'intelligenza necessari per aiutarci a risolvere le vulnerabilità arretrate, in particolare quelle critiche. La scelta di X-Force Red Vulnerability Management Services nel novembre 2018 si è rapidamente rivelata vantaggiosa. Il team di hacker veterani di X-Force Red ha immediatamente analizzato le diverse aree tecnologiche e le diverse linee di business della nostra azienda. Hanno revisionato il modello dei dati, risolto problemi significativi di qualità dei dati e introdotto l'automazione (che migliorano costantemente).
Mentre in precedenza esaminavamo manualmente ciascuna vulnerabilità e cercavamo di decifrare quali tra le milioni rilevate fossero potenzialmente quelle più pericolose, la formula di classificazione automatizzata di X-Force Red ci ha aiutato a dare priorità alle vulnerabilità più critiche in modo più efficiente ed efficace.
Il team di X-Force Red ha reso trasparente la formula, in modo che sapessimo esattamente come funzionava l'algoritmo. Applicando la sua mentalità da hacker, X-Force Red ha dato priorità alle vulnerabilità in base al fatto che i criminali le stessero sfruttando a loro favore nonché al valore dell'asset esposto. La definizione automatica delle priorità ha richiesto solo pochi minuti rispetto ai giorni necessari per i metodi manuali precedenti. Questa rapidità ci ha aiutato a correggere immediatamente le vulnerabilità per prevenire gli attacchi e ha permesso ai membri del mio team di concentrarsi su altre attività.
Con l'aiuto di X-Force Red, il mio team è stato in grado di attribuire le vulnerabilità ai responsabili delle soluzioni correttive, ma anche di misurare più facilmente le prestazioni di tali proprietari nel tempo. La nostra ritrovata capacità di supportare i proprietari dei sistemi e di responsabilizzarli ha portato a grandi progressi. X-Force Red Vulnerability Management Services consente di apportare rapidamente modifiche e aggiustamenti al nostro processo di reporting. Ora comprendiamo dati che prima non riuscivamo a decifrare per anni e possiamo chiedere di vederli in un formato specifico o come una sezione, tutto grazie a X-Force Red’s Vulnerability Management Services.
I numeri non mentono. Dopo soli quattro mesi di collaborazione con X-Force Red, abbiamo registrato una riduzione del 60% delle vulnerabilità più critiche e del 44% delle vulnerabilità totali.
Ora stiamo implementando la componente di facilitazione della correzione dei servizi di gestione delle vulnerabilità di X-Force Red per trasmettere i nostri problemi più importanti, in batch gestibili, ai team di amministrazione dei sistemi responsabili della loro risoluzione.
Oltre agli aspetti di reporting e monitoraggio della pratica di gestione delle vulnerabilità, il team di X-Force Red si è anche assunto la responsabilità di apportare miglioramenti alla nostra infrastruttura di scansione. Grazie alle riconfigurazioni, siamo in grado di eseguire la scansione dell'ambiente quasi due volte più rapidamente per eliminare le scansioni ridondanti e risolvere i problemi di configurazione dello scanner.
Il nostro team è ottimista sulla prosecuzione della collaborazione con X-Force Red e sull'impatto significativo che i suoi servizi di gestione delle vulnerabilità hanno sulla nostra sicurezza futura. Sono particolarmente felice: non capita spesso che un partner superi le aspettative, ma in questo caso X-Force Red lo ha fatto.
© Copyright IBM Corporation 2019. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America, settembre 2019.
IBM, il logo IBM, ibm.com e X-Force sono marchi di International Business Machines Corp., registrati in diverse giurisdizioni del mondo. Altri nomi di prodotti e servizi potrebbero essere marchi registrati di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile sul web in “Copyright and trademark information" all'indirizzo https://ibm.com/legal/copyright-trademark.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Gli esempi citati relativi a dati di prestazione e clienti sono presentati unicamente a scopo illustrativo. Gli attuali risultati in termini di performance possono variare a seconda delle specifiche configurazioni e delle condizioni operative. LE INFORMAZIONI RIPORTATE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ A UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
Dichiarazione di buone pratiche di sicurezza: la sicurezza dei sistemi IT comporta la protezione dei sistemi e delle informazioni tramite la prevenzione, il rilevamento e la risposta ad accessi impropri all'interno e all'esterno dell'azienda. Gli accessi impropri possono causare alterazione, distruzione, appropriazione indebita o abuso dei dati e danni o abuso dei sistemi, anche per essere utilizzati per attacchi verso terzi. Nessun sistema o prodotto IT va considerato totalmente sicuro e nessun singolo prodotto, servizio o misura di sicurezza è da considerarsi completamente efficace nella prevenzione dell’uso o dell’accesso improprio. I sistemi, i prodotti e i servizi IBM sono progettati per far parte di un approccio legittimo e completo alla sicurezza, il quale implica necessariamente procedure operative supplementari, e potrebbe richiedere altri sistemi, prodotti o servizi per fornire la massima efficacia. IBM NON GARANTISCE CHE SISTEMI, PRODOTTI O SERVIZI SIANO ESENTI DA O RENDERANNO L’AZIENDA ESENTE DA CONDOTTA MALEVOLA O ILLEGALE DI UNA QUALSIASI PARTE.