La gestione delle vulnerabilità, un sottodominio della gestione del rischio IT, consiste nel continuo rilevamento, prioritizzazione e risoluzione delle falle di sicurezza nell'infrastruttura IT e nel software di un'organizzazione.
Una vulnerabilità di sicurezza è qualsiasi difetto o falla nella struttura, funzionalità o implementazione di una rete o di un asset di rete che gli hacker possono sfruttare per lanciare attacchi informatici, ottenere l'accesso non autorizzato a sistemi o dati o danneggiare in altro modo un'organizzazione.
Alcuni esempi comuni di vulnerabilità includono configurazioni errate del firewall, che potrebbero consentire a determinati tipi di malware di entrare nella rete, o bug senza patch nel protocollo di desktop remoto di un sistema operativo, che potrebbero consentire agli hacker di prendere il controllo di un dispositivo.
Le reti aziendali di oggi sono così distribuite e ogni giorno vengono scoperte così tante nuove vulnerabilità da rendere quasi impossibile gestire le vulnerabilità manualmente o ad hoc in modo efficace. Per automatizzare questo processo, i team di cybersecurity in genere si affidano a soluzioni di gestione delle vulnerabilità.
Il Center for Internet Security (CIS) menziona la gestione continua delle vulnerabilità come uno dei suoi Controlli di sicurezza critici (link esterno a ibm.com) per difendersi dagli attacchi informatici più comuni. La gestione delle vulnerabilità consente ai team addetti alla sicurezza IT di adottare un approccio più proattivo al livello di sicurezza individuando e risolvendo le vulnerabilità prima che possano essere sfruttate.
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
Poiché possono insorgere nuove vulnerabilità in qualsiasi momento, i team di sicurezza affrontano la gestione delle vulnerabilità come un ciclo di vita continuo piuttosto che come un evento una tantum. Questo ciclo di vita comprende cinque workflow continui e sovrapposti: scoperta, categorizzazione e definizione delle priorità, risoluzione, rivalutazione e reporting.
1. Scoperta
Il workflow di scoperta è incentrato sulla valutazione delle vulnerabilità, un processo di controllo di tutte le risorse IT di un'organizzazione volto a verificare la presenza di vulnerabilità note e potenziali. In genere, i team di sicurezza automatizzano questo processo utilizzando un software di scansione delle vulnerabilità. Alcuni di questi eseguono scansioni di rete periodiche e complete a cadenza regolare, mentre altri utilizzano agenti installati su laptop, router e altri endpoint per raccogliere dati su ogni dispositivo. I team di sicurezza possono anche utilizzare valutazioni una tantum delle vulnerabilità, come i test di penetrazione, per individuare le vulnerabilità che possono sfuggire a uno scanner.
2. Categorizzazione e definizione delle priorità
Una volta identificate, le vulnerabilità vengono classificate per tipo (ad esempio, configurazioni errate del dispositivo, problemi di crittografia, esposizione di dati sensibili) e priorità in base al livello di criticità. Questo processo fornisce una stima della gravità, della sfruttabilità e della probabilità di un attacco per ciascuna vulnerabilità.
Le soluzioni di gestione delle vulnerabilità in genere attingono a fonti di intelligence sulle minacce, come il Common Vulnerability Scoring System (CVSS), uno standard di settore aperto per la sicurezza informatica progettato per valutare la criticità delle vulnerabilità note su una scala da 0 a 10. Altre due fonti di intelligence popolari sono l'elenco Common Vulnerabilities and Exposures (CVE) del MITRE e il National Vulnerability Database (NVD) del NIST.
3. Risoluzione
Una volta che le vulnerabilità sono state classificate in ordine di priorità, i team di sicurezza possono risolverle in uno dei tre modi seguenti:
4. Rivalutazione
Quando le vulnerabilità vengono risolte, i team di sicurezza conducono una nuova valutazione delle vulnerabilità per garantire che i loro sforzi di mitigazione o correzione abbiano funzionato e non abbiano introdotto nuove vulnerabilità.
5. Reporting
Le piattaforme di gestione delle vulnerabilità in genere forniscono dashboard per il reporting di metriche come il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR). Molte soluzioni mantengono anche database di vulnerabilità identificate, che consentono ai team di sicurezza di monitorare la risoluzione delle vulnerabilità identificate e di verificare gli sforzi passati di gestione delle vulnerabilità.
Queste funzionalità di reporting consentono ai team di sicurezza di stabilire una linea di base per le attività di gestione delle vulnerabilità in corso e monitorare le prestazioni del programma nel tempo. I report possono essere utilizzati anche per condividere informazioni tra il team di sicurezza e altri team IT che possono essere responsabili della gestione delle risorse ma non direttamente coinvolti nel processo di gestione delle vulnerabilità.
La gestione delle vulnerabilità basata sul rischio (RBVM) è un approccio relativamente nuovo alla gestione delle vulnerabilità. L'RVBM combina i dati sulle vulnerabilità specifici degli stakeholder con l'AI e le funzionalità di apprendimento automatico per migliorare la gestione delle vulnerabilità in tre modi importanti.
Maggiore contesto per un'assegnazione delle priorità più efficace. Le soluzioni tradizionali di gestione delle vulnerabilità determinano la criticità utilizzando risorse standard del settore, come CVSS o NIST NVD, che si basano su generalità in grado di determinare la criticità media di una vulnerabilità in tutte le organizzazioni. Tuttavia, non dispongono dei dati sulle vulnerabilità specifici degli stakeholder, il che può comportare una pericolosa assegnazione errata della criticità di una vulnerabilità per un'azienda specifica.
Ad esempio, poiché nessun team di sicurezza ha il tempo o le risorse per affrontare ogni singola vulnerabilità della propria rete, molti danno priorità alle vulnerabilità con un punteggio CVSS "alto" (7,0-8,9) o critico" (9,0-10,0). Tuttavia, se esiste una vulnerabilità "critica" in un asset che non memorizza o elabora informazioni sensibili o non offre percorsi verso segmenti ad alto valore della rete, la correzione potrebbe non valerne la pena.
Le vulnerabilità con punteggi CVSS bassi possono rappresentare una minaccia maggiore per alcune organizzazioni rispetto ad altre. Il bug Heartbleed, scoperto nel 2014, è stato valutato come "medio" (5,0) sulla scala CVSS (link esterno a ibm.com). Anche in questo caso, gli hacker lo hanno utilizzato per effettuare attacchi su larga scala, come il furto dei dati di 4,5 milioni di pazienti (link esterno a ibm.com) da una delle più grandi catene ospedaliere degli Stati Uniti.
L'RBVM integra i punteggi con i dati di vulnerabilità specifici degli stakeholder: il numero e la criticità degli asset interessati, il modo in cui gli asset sono collegati ad altri asset e il danno potenziale che un exploit potrebbe causare, oltre ai dati su come i criminali informatici interagiscono con le vulnerabilità nel mondo reale. Utilizza l'apprendimento automatico per formulare punteggi di rischio che riflettano in modo più accurato il rischio specifico di ogni vulnerabilità per l'organizzazione. Questo permette ai team di sicurezza IT di dare priorità a un numero minore di vulnerabilità critiche, senza rinunciare alla sicurezza della rete.
Scoperta in tempo reale. Nell'RBVM, le scansioni delle vulnerabilità vengono spesso condotte in tempo reale anziché secondo una pianificazione ricorrente. Inoltre, le soluzioni RBVM possono monitorare una gamma più ampia di risorse: mentre i tradizionali scanner di vulnerabilità sono generalmente limitati agli asset noti collegati direttamente alla rete, gli strumenti RBVM in genere possono scansionare dispositivi mobili locali e remoti, risorse cloud, app di terze parti e altre risorse.
Rivalutazione automatizzata. In un processo RBVM, la rivalutazione può essere automatizzata mediante scansione continua delle vulnerabilità. Nella gestione tradizionale delle vulnerabilità, la rivalutazione può richiedere una scansione intenzionale della rete o un test di penetrazione.
La gestione delle vulnerabilità è strettamente correlata alla gestione della superficie di attacco (ASM). L'ASM è la scoperta continua, l'analisi, la correzione e il monitoraggio delle vulnerabilità e dei potenziali vettori di attacco che costituiscono la superficie di attacco di un'organizzazione. La differenza fondamentale tra ASM e gestione delle vulnerabilità è l'ambito. Entrambi i processi monitorano e risolvono le vulnerabilità negli asset di un'organizzazione, ma l'ASM adotta un approccio più olistico alla sicurezza della rete.
Le soluzioni ASM includono funzionalità di rilevamento delle risorse che identificano e monitorano tutti gli asset noti, sconosciuti, di terze parti, sussidiari e dannosi collegate alla rete. L'ASM si estende anche oltre gli asset IT per identificare le vulnerabilità nelle superfici di attacco di ingegneria fisica e sociale di un'organizzazione, poi analizza questi asset e vulnerabilità dal punto di vista degli hacker, per capire come i criminali informatici potrebbero utilizzarli per infiltrarsi nella rete.
Con l'aumento della gestione delle vulnerabilità basata sul rischio (RBVM), i confini tra la gestione delle vulnerabilità e l'ASM sono diventati sempre più sottili. Le organizzazioni spesso implementano piattaforme ASM come parte della loro soluzione RBVM, perché l'ASM fornisce una visione più completa della superficie di attacco rispetto alla sola gestione delle vulnerabilità.
Adotta un programma di gestione delle vulnerabilità che individui, assegni priorità e gestisca la correzione dei difetti che potrebbero compromettere gli asset più critici.
Gestisci il rischio IT, stabilisci strutture di governance e aumenta la maturità della cybersecurity con un approccio integrato di governance, rischio e conformità.
Semplifica e ottimizza la gestione delle tue app e le operazioni tecnologiche con insight guidati dall'AI generativa.
La gestione della superficie di attacco aiuta le organizzazioni a rilevare, assegnare priorità e correggere le vulnerabilità agli attacchi informatici.
DevSecOps integra automaticamente la sicurezza in ogni fase del ciclo di vita dello sviluppo del software.
Le pratiche e le tecnologie di sicurezza dei dati proteggono le informazioni digitali da accessi non autorizzati, corruzione o furti.