La gestione delle vulnerabilità, un dominio secondario della gestione dei rischi IT, è l'individuazione, l'assegnazione di priorità e la risoluzione continue delle vulnerabilità di sicurezza nell'infrastruttura IT e nel software di un'azienda.
Una vulnerabilità di sicurezza è qualsiasi falla o debolezza nell'infrastruttura, funzionalità o implementazione di una rete o asset in rete che gli hacker possono sfruttare per lanciare attacchi informatici, acquisire un accesso non autorizzato a sistemi o dati o in altro modo danneggiare un'organizzazione. Esempi di vulnerabilità comuni includono delle configurazioni errate del firewall che potrebbero consentire a determinati tipi di malware di accedere alla rete oppure dei bug senza patch nel protocollo di desktop remoto di un sistema operativo che potrebbero consentire agli hacker di assumere il controllo di un dispositivo.
Tenendo conto dell'elevata distribuzione delle attuali reti aziendali e dell'elevato numero di nuove vulnerabilità individuato ogni giorno, una gestione delle vulnerabilità manuale o ad hoc efficiente è pressoché impossibile. I team di sicurezza informatica di solito si affidano alle soluzioni di gestione delle vulnerabilità per automatizzare il processo.
Il CIS (Center for Internet Security) elenca la gestione delle vulnerabilità continua come uno dei suoi controlli di sicurezza critici (link esterno a ibm.com) per difendersi dagli attacchi informatici più comuni. La gestione delle vulnerabilità consente ai team di sicurezza IT di adottare un profilo di sicurezza più proattivo identificando e risolvendo le vulnerabilità prima che possano essere sfruttate.
Poiché delle nuove vulnerabilità possono presentarsi in qualsiasi momento, i team di sicurezza affrontano la gestione delle vulnerabilità come un ciclo di vita continuo piuttosto che come un evento distinto. Questo ciclo di vita si articola in cinque flussi di lavoro continui che si sovrappongono: individuazione, categorizzazione e assegnazione della priorità, risoluzione, rivalutazione e reportistica.
1. Individuazione
Il flusso di lavoro di individuazione è incentrato sulla valutazione delle vulnerabilità, un processo per controllare tutti gli asset IT di un'organizzazione per rilevare l'eventuale presenza di vulnerabilità note o potenziali. Di norma, i team di sicurezza automatizzano questo processo utilizzando del software di scanner delle vulnerabilità. Alcuni scanner delle vulnerabilità eseguono periodicamente delle scansioni di rete complete in base a una pianificazione regolare, mentre altri utilizzano scanner installati su laptop, router e altri endpoint per raccogliere i dati su ciascun dispositivo. I team di sicurezza possono anche utilizzare valutazioni delle vulnerabilità episodiche, come l'esecuzione di test di penetrazione, per individuare le vulnerabilità che potrebbero eludere uno scanner.
2. Categorizzazione e assegnazione della priorità
Dopo essere state identificate, le vulnerabilità vengono categorizzate in base al tipo (ad es. errate configurazioni del dispositivo, problemi di crittografia, esposizioni di dati sensibili) e viene loro assegnata una priorità in base al livello di criticità, che è una stima della gravità, sfruttabilità e probabilità di portare ad un attacco di ciascuna vulnerabilità.
Per determinare la criticità, le soluzioni di gestione delle vulnerabilità ricorrono a fonti di intelligence delle minacce quali CVSS (Common Vulnerability Scoring System), uno standard di settore di sicurezza informatica aperto che assegna un punteggio alla criticità delle vulnerabilità note su una scala da 0 a 10, l'elenco CVE (Common Vulnerabilities and Exposures) di MITRE ed NVD (National Vulnerability Database) di NIST.
3. Risoluzione
Una volta assegnata una priorità alle vulnerabilità, i team di sicurezza possono risolverle in uno dei tre modi seguenti:
- Correzione - ossia affrontare in modo completo una vulnerabilità in modo che non possa essere più sfruttata, come ad esempio installando una patch che corregge un bug del software o ritirando un asset vulnerabile. Molte piattaforme di gestione delle vulnerabilità forniscono strumenti di correzione quali la gestione delle patch, per i download e l'esecuzione di test automatici delle patch, e la gestione della configurazione, per occuparsi delle errate configurazioni di reti e dispositivi da un dashboard o un portale centralizzato.
- Mitigazione - ossia rendere una vulnerabilità più difficile da sfruttare e/o ridurre l'impatto derivante dallo sfruttarla senza rimuovere del tutto la vulnerabilità. Lasciare un dispositivo vulnerabile online ma segmentarlo dal resto della rete è un esempio di mitigazione. La mitigazione viene spesso eseguita quando una patch o un altro mezzo di correzione non è ancora disponibile.
- Accettazione - ossia scegliere di non occuparsi di una vulnerabilità lasciandola così com'è. Sono spesso accettate vulnerabilità con bassi punteggi di criticità, che difficilmente verranno sfruttate o causeranno danni significativi.
4. Rivalutazione
Quando le vulnerabilità vengono risolte, i team di sicurezza di norma eseguono una nuova valutazione delle vulnerabilità per assicurarsi che i loro sforzi di mitigazione o correzione abbiano funzionato e che non abbiano introdotto nuove vulnerabilità.
5. Reportistica
Le piattaforme di gestione delle vulnerabilità di norma forniscono dei dashboard per la reportistica su metriche quali il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR). Molte soluzioni mantengono anche dei database delle vulnerabilità identificate, che consentono ai team di sicurezza di tracciare la risoluzione delle vulnerabilità identificate e di verificare gli sforzi di gestione delle vulnerabilità passati.
Queste funzionalità di reportistica consentono ai team di sicurezza di stabilire una linea di base per le attività di gestione in corso e monitorare le prestazioni del programma nel tempo. I report possono essere utilizzati anche per condividere informazioni tra il team di sicurezza e altri team IT che potrebbero essere responsabili della gestione degli asset senza però essere direttamente coinvolti nel processo di gestione delle vulnerabilità.
La gestione delle vulnerabilità basata sul rischio (o RBVM, risk-based vulnerability management) è un approccio relativamente nuovo alla gestione delle vulnerabilità. RVBM combina i dati sulle vulnerabilità specifici delle parti interessati con le funzionalità di AI (Artificial Intelligence) e machine learning per migliorare la gestione delle vulnerabilità in tre modi importanti.
Più contesto per una più efficace assegnazione della priorità. Come osservato in precedenza, le soluzioni di gestione delle vulnerabilità tradizionali determinano la criticità utilizzando risorse standard di settore quali CVSS o NVD di NIST. Queste risorse si basano su aspetti generali che possono determinare la criticità media di una vulnerabilità in tutte le organizzazioni. Mancano però loro i dati sulle vulnerabilità specifici delle parti interessate, che potrebbero condurre a pericolose assegnazioni di priorità troppo basse o troppo alte della criticità di una vulnerabilità per una specifica azienda.
Ad esempio, poiché nessun team di sicurezza dispone del tempo o delle risorse per occuparsi di tutte le vulnerabilità nella propria rete, molti assegnano la priorità alle vulnerabilità con un punteggio CVSS "alto" (7,0 - 8,9) o “critico” (9,0 - 10,0). Se però una vulnerabilità "critica" è presente in un asset che non archivia o elabora informazioni sensibili o che non offre alcun percorso di accesso a segmenti della rete di alto valore, la correzione potrebbe essere un'errata allocazione del prezioso tempo del team di sicurezza. D'altra parte, le vulnerabilità con punteggi CVSS bassi potrebbero essere una minaccia più concreta per alcune organizzazioni che per altre. Il bug Heartbleed, individuato nel 2014, è stato valutato come "medio" (5,0) sulla scala CVSS (link esterno a ibm.com), eppure gli hacker lo hanno utilizzato per mettere a segno attacchi su larga scala, come ad esempio il furto dei dati di 4,5 milioni di pazienti (link esterno a ibm.com) da una delle più grandi catene ospedaliere degli Stati Uniti.
RBVM integra il punteggio con i dati sulle vulnerabilità specifici delle parti interessate - il numero e la criticità dell'asset interessato, il modo in cui gli asset sono connessi ad altri asset e il potenziale pericolo che un loro sfruttamento potrebbe causare - e i dati sul modo in cui i criminali informatici interagiscono con le vulnerabilità nel mondo reale. Utilizza il machine learning per formulare i punteggi del rischio per riflettono in modo più accurato il rischio specifico per un'organizzazione di ciascuna vulnerabilità. Ciò consente ai team sicurezza IT di assegnare la priorità a un numero minore di vulnerabilità critiche senza andare a discapito della sicurezza di rete.
Individuazione in tempo reale. In RBVM, le scansioni delle vulnerabilità sono spesso condotte in tempo reale piuttosto che in base a una pianificazione ricorrente. Inoltre, le soluzioni RBVM possono monitorare una più ampia gamma di asset: mentre gli scanner delle vulnerabilità tradizionali sono di norma limitati agli asset noti direttamente connessi alla rete, gli strumenti RBVM possono di norma eseguire la scansione di dispositivi on-premise e mobili remoti, asset cloud, app di terze parti e altre risorse.
Rivalutazione automatizzata. In un processo RBVM, una rivalutazione può essere eseguita automaticamente mediante la scansione delle vulnerabilità continua. Nella gestione delle vulnerabilità tradizionale, la rivalutazione può richiedere un test di penetrazione o una scansione di rete intenzionale.
La gestione delle vulnerabilità è strettamente correlata alla gestione della superficie di attacco (o ASM, attack surface management). ASM è l'individuazione, l'analisi, la correzione e il monitoraggio delle vulnerabilità e dei potenziali vettori di attacco che formano la superficie di attacco di un'organizzazione. La differenza principale tra ASM e la gestione delle vulnerabilità riguarda l'ambito. Mentre entrambi i processi monitorano e risolvono le vulnerabilità negli asset di un'organizzazione, ASM adotta un approccio più olistico alla sicurezza di rete.
Le soluzioni ASM includono funzionalità di individuazione degli asset che identificano e monitorano tutti gli asset noti, sconosciuti, di terze parti, sussidiari e dannosi connessi alla rete. ASM va anche oltre gli asset IT per identificare le vulnerabilità delle superfici di attacco di ingegneria sociale e fisica di un'organizzazione. Analizza quindi questi asset e queste vulnerabilità dalla prospettiva di un hacker per comprendere in che modo i criminali informatici potrebbero servirsene per infiltrarsi nella rete.
Con la crescita della gestione delle vulnerabilità basata sul rischio (RBVM), la linea di separazione tra la gestione delle vulnerabilità e ASM è diventata sempre meno netta. Le organizzazioni spesso implementano le piattaforme ASM come parte della loro soluzione RBVM poiché ASM fornisce una vista più completa della superficie di attacco rispetto alla sola gestione delle vulnerabilità.
Adotta un programma di gestione delle vulnerabilità che sia in grado di identificare, assegnare la priorità e gestire la correzione delle falle che possono esporre i tuoi asset più critici.
Adotta un programma di gestione delle vulnerabilità che sia in grado di identificare, assegnare la priorità e gestire la correzione delle falle che possono esporre i tuoi asset più critici.
Gestisci il rischio IT, stabilisci le strutture di governance e aumenta la maturità nella sicurezza informatica con un approccio integrato a governance, rischio e conformità.
La gestione della superficie di attacco aiuta le organizzazioni a individuare, assegnare la priorità e correggere le vulnerabilità ad attacchi informatici.
DevSecOps incorpora automaticamente la sicurezza in ogni fase del ciclo di vita dello sviluppo del software.
Le prassi e le tecnologie di sicurezza dei dati proteggono le informazioni digitali da accesso non autorizzato, danneggiamento o furto.