Pubblicato: 15 dicembre 2023
Collaboratori: Matt Kosinski, Amber Forrest
La scansione delle vulnerabilità, chiamata anche "valutazione delle vulnerabilità", è il processo di valutazione delle reti o degli asset IT per individuare eventuali vulnerabilità della sicurezza: difetti o debolezze che possono essere sfruttate da attori di minaccia esterni o interni. La scansione delle vulnerabilità è la prima fase del più ampio ciclo di vita della gestione delle vulnerabilità.
Nella maggior parte delle organizzazioni di oggi, le scansioni delle vulnerabilità sono completamente automatizzate. Vengono eseguite da strumenti di scansione delle vulnerabilità specializzati che trovano e segnalano le falle che il team addetto alla sicurezza deve esaminare.
Lo sfruttamento delle vulnerabilità è il secondo vettore di attacco informatico più comune dietro il phishing, in base all'X-Force Threat Intelligence Index di IBM. La scansione delle vulnerabilità aiuta le organizzazioni a individuare e chiudere i punti deboli della sicurezza prima che i criminali informatici possano utilizzarli come armi. Per questo motivo, il Center for Internet Security (CIS) (link esterno a ibm.com) considera la gestione continua delle vulnerabilità, compresa la scansione automatizzata delle vulnerabilità, una pratica critica per la cybersecurity.
Per vulnerabilità della sicurezza si intende qualsiasi debolezza nella struttura, funzione o implementazione di un asset IT o di una rete che gli hacker o altri attori possono sfruttare per ottenere l'accesso non autorizzato e causare danni alla rete, agli utenti o all'azienda. Le vulnerabilità più comuni includono:
- difetti di codifica, come app web soggette a cross-site scripting, SQL injection e altri attacchi injection a causa del modo in cui vengono gestiti gli input degli utenti;
- porte aperte non protette in server, laptop e altri endpoint che gli hacker possono utilizzare per distribuire malware;
- configurazioni errate, ad esempio un bucket di storage del cloud che espone dati sensibili alla rete Internet pubblica perché dispone di autorizzazioni di accesso inappropriate;
- patch mancanti, password deboli o altre carenze nell'igiene della cybersecurity.
Ogni mese vengono scoperte migliaia di nuove vulnerabilità. Due agenzie governative degli Stati Uniti gestiscono cataloghi consultabili di vulnerabilità di sicurezza note: il National Institute of Standards and Technologies, o NIST, e la Cybersecurity and Infrastructure Security Agency, o CISA (link esterni a ibm.com).
Sfortunatamente, anche se le vulnerabilità vengono accuratamente documentate una volta scoperte, gli hacker e altri autori di minacce spesso le scoprono per primi, cogliendo così di sorpresa le organizzazioni.
Per adottare un livello di sicurezza più proattivo di fronte a queste minacce informatiche, i team IT implementano programmi di gestione delle vulnerabilità. Questi programmi seguono un processo continuo per identificare e risolvere i rischi per la sicurezza prima che gli hacker possano sfruttarli. Le scansioni delle vulnerabilità sono in genere il primo passo nel processo di gestione delle vulnerabilità, in quanto individuano i punti deboli della sicurezza che i team IT e security devono affrontare.
Molti team addetti alla sicurezza utilizzano anche scansioni delle vulnerabilità per:
convalidare le misure e i controlli di sicurezza: dopo aver messo in atto nuovi controlli, i team spesso eseguono un'altra scansione per confermare che le vulnerabilità identificate siano state chiuse e che le attività di correzione non abbiano introdotto problemi nuovi;
mantenere la conformità normativa: alcune normative richiedono esplicitamente scansioni di vulnerabilità. Ad esempio, il Payment Card Industry Data Security Standard (PCI-DSS) impone che le organizzazioni che gestiscono i dati dei titolari di carta siano sottoposte a scansioni trimestrali (link esterno a ibm.com).
Tra app cloud e on-premise, dispositivi mobili e IoT, laptop e altri endpoint tradizionali, le moderne reti aziendali contengono troppi asset per eseguire scansioni manuali delle vulnerabilità. Invece, i team addetti alla sicurezza utilizzano scanner di vulnerabilità per condurre scansioni automatizzate su base ricorrente.
Per individuare potenziali vulnerabilità, gli scanner raccolgono innanzitutto informazioni sugli asset IT. Alcuni scanner utilizzano agenti installati sugli endpoint per raccogliere dati sui dispositivi e sul software in esecuzione su di essi. Altri scanner esaminano i sistemi dall'esterno, sondando le porte aperte per scoprire dettagli sulle configurazioni dei dispositivi e sui servizi attivi. Alcuni scanner eseguono test più dinamici, ad esempio tentando di accedere a un dispositivo utilizzando credenziali predefinite.
Una volta che uno scanner ha preso in considerazione gli asset, le confronta con un database di vulnerabilità che registra le vulnerabilità e le esposizioni comuni (CVE, Common Vulnerabilities and Exposures) per varie versioni hardware e software. Alcuni scanner si affidano a fonti pubbliche come i database NIST e CISA, mentre altri utilizzano database proprietari.
Lo scanner verifica se ciascun asset mostra segni dei difetti ad esso associati, come un sistema operativo noto per avere un bug del protocollo di desktop remoto che consente agli hacker di prendere il controllo del dispositivo. Gli scanner possono anche controllare le configurazioni di un asset rispetto a un elenco di best practice di sicurezza, ad esempio garantendo che siano in atto criteri di autenticazione adeguatamente rigorosi per un database sensibile.
Successivamente, lo scanner compila un rapporto sulle vulnerabilità identificate che il team addetto alla sicurezza deve esaminare. I report più semplici elencano tutti i problemi di sicurezza che devono essere risolti. Alcuni scanner possono fornire spiegazioni dettagliate e confrontare i risultati della scansione con le scansioni precedenti per tenere traccia della gestione delle vulnerabilità nel tempo.
Gli scanner più avanzati assegnano inoltre la priorità alle vulnerabilità in base alla criticità. Gli scanner possono utilizzare threat intelligence open source, come i punteggi CVSS (Common Vulnerability Scoring System), per giudicare la criticità di un difetto, oppure possono utilizzare algoritmi più complessi che considerano il difetto nel contesto unico dell'organizzazione. Questi scanner possono anche suggerire metodi di correzione e mitigazione per ciascun difetto.
I rischi per la sicurezza di una rete cambiano con l'aggiunta di nuovi asset e la scoperta di nuove vulnerabilità. Tuttavia ogni scansione di vulnerabilità può catturare solo un momento nel tempo. Per stare al passo con l’evoluzione del panorama delle minacce informatiche, le organizzazioni effettuano scansioni regolarmente.
La maggior parte delle scansioni di vulnerabilità non esamina tutti gli asset di rete in una volta sola, poiché ciò richiederebbe molto tempo e risorse. Piuttosto, i team addetti alla sicurezza spesso raggruppano gli asset in base alla criticità e le scansionano in batch. Gli asset più critici possono essere sottoposti a scansione settimanale o mensile, mentre quelli meno critici potrebbero essere sottoposti a scansione trimestrale o annuale.
I team che si occupano della sicurezza possono anche eseguire scansioni ogni volta che si verificano modifiche importanti alla rete, come l'aggiunta di nuovi server web o la creazione di un nuovo database sensibile.
Alcuni scanner di vulnerabilità avanzati offrono una scansione continua. Questi strumenti monitorano gli asset in tempo reale e segnalano le nuove vulnerabilità non appena si presentano. Tuttavia la scansione continua non è sempre fattibile o opportuna. Scansioni di vulnerabilità più approfondite possono interferire con le prestazioni della rete, pertanto alcuni team IT potrebbero preferire eseguire scansioni periodiche.
Esistono molti tipi diversi di scanner e spesso i team addetti alla sicurezza utilizzano una combinazione di strumenti per ottenere un quadro completo delle vulnerabilità della rete.
Alcuni scanner si concentrano su particolari tipi di asset. Ad esempio, gli scanner del cloud si concentrano sui cloud service, mentre gli strumenti di scansione delle applicazioni web cercano le falle nelle applicazioni web.
Gli scanner possono essere installati localmente o forniti come app software-as-a-service (SaaS). Sono comuni sia gli scanner di vulnerabilità open source che gli strumenti a pagamento. Alcune organizzazioni affidano interamente la scansione delle vulnerabilità a fornitori di servizi di terze parti.
Sebbene gli scanner di vulnerabilità siano disponibili come soluzioni autonome, i fornitori li offrono sempre più come parte di suite olistiche di gestione delle vulnerabilità. Questi strumenti combinano diversi tipi di scanner con la gestione della superficie di attacco, la gestione degli asset, la gestione delle patch e altre funzioni chiave in un'unica soluzione.
Molti scanner supportano integrazioni con altri strumenti di cybersecurity, come i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM, Security Information and Event Management Systems) e gli strumenti di rilevamento e risposta degli endpoint (EDR, Endpoint Detection and Response).
I team addetti alla sicurezza possono eseguire diversi tipi di scansioni a seconda delle loro esigenze. Alcuni dei tipi più comuni di scansioni di vulnerabilità includono:
le scansioni di vulnerabilità esterne: esaminano la rete dall'esterno, si concentrano sui difetti degli asset connessi a Internet come le app web e testano i controlli perimetrali come i firewall. Queste scansioni mostrano come un hacker esterno possa entrare in una rete;
le scansioni delle vulnerabilità interne: esaminano le vulnerabilità dall'interno della rete, fanno luce su cosa potrebbe fare un hacker se entrasse, compreso il modo in cui potrebbe spostarsi lateralmente e le informazioni sensibili che potrebbe rubare in una violazione dei dati;
le scansioni autenticate, chiamate anche "scansioni accreditate": richiedono i privilegi di accesso di un utente autorizzato. Invece di guardare semplicemente un'app dall'esterno, lo scanner può vedere ciò che vedrebbe un utente registrato. Queste scansioni illustrano cosa potrebbe fare un hacker con un account compromesso o come una minaccia interna potrebbe causare danni;
le scansioni non autenticate, chiamate anche "scansioni non accreditate": non dispongono di autorizzazioni di accesso o privilegi, vedono gli asset solo dal punto di vista di un estraneo. I team addetti alla sicurezza possono eseguire scansioni interne ed esterne non autenticate.
Sebbene ogni tipo di scansione abbia i suoi casi d'uso, vi sono alcune sovrapposizioni e possono essere combinati per scopi diversi. Ad esempio, una scansione interna autenticata mostrerebbe la prospettiva di una minaccia interna. Al contrario, una scansione interna non autenticata mostrerebbe ciò che un hacker malintenzionato vedrebbe se riuscisse a superare il perimetro della rete.
La scansione delle vulnerabilità e i test di penetrazione sono forme distinte ma correlate di test di sicurezza della rete. Pur avendo funzioni diverse, molti team addetti alla sicurezza le utilizzano come complemento.
Le scansioni delle vulnerabilità sono scansioni automatizzate di alto livello degli asset. Trovano le falle e le segnalano al team addetto alla sicurezza. I test di penetrazione, o pen test, sono un processo manuale. I pen tester utilizzano skill di hacking etico non solo per trovare le vulnerabilità della rete, ma anche per sfruttarle in attacchi simulati.
Le scansioni delle vulnerabilità sono più economiche e più facili da eseguire, quindi i team che si occupano della sicurezza le utilizzano per tenere sotto controllo un sistema. I test di penetrazione richiedono più risorse ma possono aiutare i team addetti alla sicurezza a comprendere meglio i difetti di rete.
Utilizzati insieme, le scansioni delle vulnerabilità e i pen test possono rendere la gestione delle vulnerabilità più efficace. Ad esempio, le scansioni delle vulnerabilità forniscono ai pen tester un utile punto di partenza. Nel frattempo, i test di penetrazione possono aggiungere più contesto ai risultati della scansione scoprendo falsi positivi, identificando le cause principali e analizzando come i criminali informatici possono collegare tra di loro le vulnerabilità per generare attacchi più complessi.
Migliora significativamente i tassi di rilevamento e accelera i tempi di rilevamento e investigazione delle minacce
Adotta un programma di gestione delle vulnerabilità che identifichi, dia priorità e gestisca la correzione dei difetti che potrebbero compromettere gli asset più critici.
Identifica le minacce in pochi minuti. Ottieni maggiore efficienza e operazioni più semplici con workflow integrati.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
Il rilevamento delle minacce è un approccio proattivo volto all'identificazione di minacce precedentemente sconosciute o non sottoposte a correzione all'interno della rete di un'organizzazione.
Conosci la minaccia per sconfiggerla: ottieni informazioni utili che ti aiutano a capire come gli autori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.