cyber security

Gestione delle vulnerabilità e delle patch in azienda: come evitare rischi

Home Sicurezza digitale
Indirizzo copiato

Il modo più efficace per definire la priorità delle vulnerabilità è conoscere meglio le risorse dell’ambiente. Ecco le attuali sfide del processo di gestione delle vulnerabilità e delle patch

Pubblicato il 14 lug 2023
Desiree Lee

CTO for Data di Armis

Vulnerability Lifecycle Management: priorità in 4 passaggi

Nella di cyber security aziendale, la Vulnerability Lifecycle Management

patch è una delle principali priorità che le organizzazioni devono affrontare con efficacia. Ma la gestione delle vulnerabilità e delle patch diventa una sfida quando una grande azienda si trova decine di migliaia di CVE. E la sfida non è la mancanza di visibilità delle vulnerabilità – i team di sicurezza ne hanno a sufficienza -, bensì l’analisi di tutte le informazioni e il loro utilizzo per prendere decisioni consapevoli per l’organizzazione.

La scansione delle vulnerabilità da sola non presenta il quadro completo. Invece occorre esaminare più a fondo il modo in cui le organizzazioni affrontano la gestione delle vulnerabilità e delle patch e capire come l’aggiunta delle specifiche degli asset all’equazione possa aiutare i team di sicurezza a ottenere il contesto necessario per rendere più efficace la definizione delle priorità, e quindi la correzione, in un mare di dati e CVE.

What is Vulnerability Management Lifecycle | Process | InfosecTrain

Le attuali sfide del Vulnerability Lifecycle Management

Spesso si pensa che i team di sicurezza utilizzino tecnologie e strumenti di alto livello, all’apice dell’automazione e dell’efficienza, ma non è sempre così. A causa della segregazione dei dati e della mancanza di strumenti adeguati, molti team estraggono manualmente i dati da diverse infrastrutture e strumenti di sicurezza e si destreggiano quotidianamente tra fogli di calcolo Excel.

WHITEPAPER

Sicurezza IT e minaccia cybersecurity: Report 2024 dell'osservatorio del Politecnico di Milano

Backup
Disaster recovery

I processi di mitigazione e rimedio delle vulnerabilità, anche se limitassimo l’inventario ai soli asset IT gestiti, sono in gran parte lenti, manuali e inefficienti.
La realtà è che, per quanto possa sembrare antiquato, i fogli di calcolo nel back-end gestiscono molti processi nell’IT e nella sicurezza. E, sebbene i fogli di calcolo siano un mezzo per raccogliere informazioni da fonti diverse, sono decisamente inadeguati per la vasta quantità di dati che i team di sicurezza si trovano di fronte. È impossibile prendere decisioni veramente consapevoli sul rischio quando i dati sono archiviati in fogli di calcolo perché, in primo luogo, non tutti sono visibili e, in secondo luogo, è troppo difficile identificare ciò che è effettivamente importante.

I diversi output provenienti da sistemi diversi creano ridondanze, con i dati che diventano quasi impossibili da normalizzare a causa di fonti diverse che riportano eventi provenienti dagli stessi asset. Al giorno d’oggi, i team di sicurezza faticano a trarre conclusioni da ciò che hanno a disposizione senza aggiungere spese generali in termini di tempo per importare manualmente carichi di dati, e anche se riuscissero a farlo, non avrebbero comunque un quadro completo. Il Santo Graal per i responsabili è avere un’unica fonte di informazioni che raccolga tutti i dati, li analizzi e fornisca l’intelligence necessaria per prendere decisioni aziendali informate.

Vulnerabilità zero-day: cosa sono, chi ci guadagna e le tendenze criminali

Perché la scansione delle vulnerabilità da sola non basta

Per quanto avanzata sia diventata la scansione delle vulnerabilità, questi strumenti da soli non forniranno mai un’unica fonte di verità, soprattutto nelle grandi organizzazioni dove queste scansioni potrebbero potenzialmente identificare decine di migliaia di CVE con diversi gradi di classificazioni CVSS.
Non in tutti gli ambienti è possibile eseguire la scansione dei dispositivi. Infatti, per le
organizzazioni attive nel settore sanitario od OT, molte delle loro risorse più sensibili non possono essere scansionate, o non è pratico farlo, diventando così enormi punti ciechi che creano lacune non quantificate.
Molte organizzazioni dispongono inoltre di elenchi di eccezioni, che possono includere una serie di server che non possono essere scansionati perché un’organizzazione partner potrebbe non volerlo fare per evitare problemi di funzionalità o di prestazioni, o anche perché le informazioni potrebbero essere sensibili. Ciò lascia enormi lacune che rendono impossibile scoprire vulnerabilità.
È quindi essenziale che le organizzazioni riconoscano che le scansioni delle vulnerabilità da sole non forniranno mai un quadro completo. Questo non significa che se un’azienda ha visibilità completa di tutte le vulnerabilità sia in grado di proteggersi in maniera adeguata.

Una recente ricerca di Armis mostra come il 20% delle organizzazioni negli Stati Uniti abbia subito una violazione a causa di una vulnerabilità nota che non era protetta da patch. L’identificazione è il primo passo, ma i team di sicurezza devono poi elaborare queste informazioni.
Indipendentemente dal settore o dalle dimensioni del team, non è possibile applicare una patch ovunque. L’identificazione dei CVE da sola non è sufficiente: è fondamentale capire quali sono i dispositivi che vengono sfruttati attivamente e che, quindi, devono essere considerati prioritari.

White hackers: perché è importante proteggere chi segnala vulnerabilità informatiche

La prioritizzazione delle vulnerabilità

Per una gestione efficace ed efficiente delle vulnerabilità, le organizzazioni possono assegnare le priorità ai CVE utilizzando un processo in quattro fasi: conoscere i propri asset, arricchire i dati delle vulnerabilità,

Conoscere i propri asset

Il modo più efficace per definire la priorità delle vulnerabilità è conoscere meglio le risorse dell’ambiente. Filtrare i CVE fino a quando non rimangono solo quelli critici, lascia comunque ai team di sicurezza un’enorme quantità di vulnerabilità che devono essere classificate come prioritarie. Per capire veramente su cosa vale la pena investire del tempo, i team devono concentrarsi su quelle vulnerabilità che interessano gli asset critici per il core business o che si trovano in un contesto vulnerabile, per esempio di fronte a Internet o in un segmento di rete particolarmente sensibile. In breve, il rischio per l’azienda dipende dall’asset che contiene la vulnerabilità. Per valutare correttamente tale rischio, bisogna chiedersi:

  • quale funzionalità ha l’asset;
  • chi sono i proprietari degli asset;
  • se contiene dati sensibili;
  • qual è il costo dell’asset.

Rispondendo a queste domande e rendendo le risorse visibili, è possibile concentrare gli sforzi di risanamento dove è veramente importante.

Arricchire i dati delle vulnerabilità

Una volta determinati gli asset e le vulnerabilità critiche, l’elenco deve essere inviato a un owner, che sarà responsabile del risanamento. L‘automazione può essere un potente strumento per legare gli elenchi di vulnerabilità critiche a un owner adeguato.
Il contesto completo di tali vulnerabilità sarà necessario all’owner per agire in base alle priorità.
Tradizionalmente, il professionista IT Ops incaricato di rimediare a una serie di vulnerabilità dovrebbe dedicare del tempo a fare ricerche, a capire quale sia la soluzione corretta e quale possa essere l’impatto, il che può richiedere tempo. Per snellire il processo, è importante fornire all’owner degli elenchi il maggior numero di informazioni possibili sulla lista assegnatogli.

Implementazione di strumenti di telemetria integrati

Gli strumenti di reporting e di dashboard dovranno essere integrati nell’ambiente esistente per lavorare in modo efficiente durante il risanamento. Disporre di strumenti di telemetria adatti a team multipli e diversi garantirà che tutti i team ricevano un contesto adeguato. Bisogna considerare di includere:

  • scanner di vulnerabilità
  • threat intelligence
  • agent per gli endpoint
  • scanner dei dati dell’infrastruttura connessa
  • sincronizzazione CMDB – Configuration Management Data Base –
  • sistemi di ticketing, ad esempio ServiceNow

Tracciare il processo

Bisogna riconoscere la differenza tra le vulnerabilità di cui un team ha semplicemente accettato il rischio e le vulnerabilità che gli è stato ordinato di risolvere. Il problema è che può essere difficile fare rapporto su questi aspetti separatamente. I team che si
occupano di vulnerabilità dovrebbero avere la possibilità di accettare il rischio di una
vulnerabilità e allo stesso tempo di riferire su tutto ciò che è effettivamente in corso, compresi i proprietari che sono effettivamente in grado di porre rimedio a ciò che dovrebbero fare.

La tracciabilità dell’intero processo lo snellirà enormemente. I team di sicurezza delle grandi organizzazioni possono adottare queste misure per garantire che le vulnerabilità siano gestite in modo più efficiente e migliorino la sicurezza generale dell’azienda. La ricerca di soluzioni che aiutino a comprendere la criticità di ogni asset per l’azienda consentirà di stabilire le priorità e di ridurre gli sforzi su tutti gli asset, al contempo
ottimizzando l’uso di risorse limitate per ridurre al minimo l’esposizione e ottenere una gestione efficace del ciclo di vita delle vulnerabilità.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Copiato negli appunti

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video & Podcast
Social
Iniziative
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

Prossimo

Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

Articolo 1 di 2