cyber security

Gestione delle vulnerabilità e delle patch in azienda: come evitare rischi

Home Sicurezza digitale
Indirizzo copiato

Il modo più efficace per definire la priorità delle vulnerabilità è conoscere meglio le risorse dell’ambiente. Ecco le attuali sfide del processo di gestione delle vulnerabilità e delle patch

Pubblicato il 14 lug 2023
Desiree Lee

CTO for Data di Armis

Vulnerability Lifecycle Management: priorità in 4 passaggi

Nella di cyber security aziendale, la Vulnerability Lifecycle Management

patch è una delle principali priorità che le organizzazioni devono affrontare con efficacia. Ma la gestione delle vulnerabilità e delle patch diventa una sfida quando una grande azienda si trova decine di migliaia di CVE. E la sfida non è la mancanza di visibilità delle vulnerabilità – i team di sicurezza ne hanno a sufficienza -, bensì l’analisi di tutte le informazioni e il loro utilizzo per prendere decisioni consapevoli per l’organizzazione.

La scansione delle vulnerabilità da sola non presenta il quadro completo. Invece occorre esaminare più a fondo il modo in cui le organizzazioni affrontano la gestione delle vulnerabilità e delle patch e capire come l’aggiunta delle specifiche degli asset all’equazione possa aiutare i team di sicurezza a ottenere il contesto necessario per rendere più efficace la definizione delle priorità, e quindi la correzione, in un mare di dati e CVE.

What is Vulnerability Management Lifecycle | Process | InfosecTrain

Le attuali sfide del Vulnerability Lifecycle Management

Spesso si pensa che i team di sicurezza utilizzino tecnologie e strumenti di alto livello, all’apice dell’automazione e dell’efficienza, ma non è sempre così. A causa della segregazione dei dati e della mancanza di strumenti adeguati, molti team estraggono manualmente i dati da diverse infrastrutture e strumenti di sicurezza e si destreggiano quotidianamente tra fogli di calcolo Excel.

I processi di mitigazione e rimedio delle vulnerabilità, anche se limitassimo l’inventario ai soli asset IT gestiti, sono in gran parte lenti, manuali e inefficienti.
La realtà è che, per quanto possa sembrare antiquato, i fogli di calcolo nel back-end gestiscono molti processi nell’IT e nella sicurezza. E, sebbene i fogli di calcolo siano un mezzo per raccogliere informazioni da fonti diverse, sono decisamente inadeguati per la vasta quantità di dati che i team di sicurezza si trovano di fronte. È impossibile prendere decisioni veramente consapevoli sul rischio quando i dati sono archiviati in fogli di calcolo perché, in primo luogo, non tutti sono visibili e, in secondo luogo, è troppo difficile identificare ciò che è effettivamente importante.

I diversi output provenienti da sistemi diversi creano ridondanze, con i dati che diventano quasi impossibili da normalizzare a causa di fonti diverse che riportano eventi provenienti dagli stessi asset. Al giorno d’oggi, i team di sicurezza faticano a trarre conclusioni da ciò che hanno a disposizione senza aggiungere spese generali in termini di tempo per importare manualmente carichi di dati, e anche se riuscissero a farlo, non avrebbero comunque un quadro completo. Il Santo Graal per i responsabili è avere un’unica fonte di informazioni che raccolga tutti i dati, li analizzi e fornisca l’intelligence necessaria per prendere decisioni aziendali informate.

Vulnerabilità zero-day: cosa sono, chi ci guadagna e le tendenze criminali

Perché la scansione delle vulnerabilità da sola non basta

Per quanto avanzata sia diventata la scansione delle vulnerabilità, questi strumenti da soli non forniranno mai un’unica fonte di verità, soprattutto nelle grandi organizzazioni dove queste scansioni potrebbero potenzialmente identificare decine di migliaia di CVE con diversi gradi di classificazioni CVSS.
Non in tutti gli ambienti è possibile eseguire la scansione dei dispositivi. Infatti, per le
organizzazioni attive nel settore sanitario od OT, molte delle loro risorse più sensibili non possono essere scansionate, o non è pratico farlo, diventando così enormi punti ciechi che creano lacune non quantificate.
Molte organizzazioni dispongono inoltre di elenchi di eccezioni, che possono includere una serie di server che non possono essere scansionati perché un’organizzazione partner potrebbe non volerlo fare per evitare problemi di funzionalità o di prestazioni, o anche perché le informazioni potrebbero essere sensibili. Ciò lascia enormi lacune che rendono impossibile scoprire vulnerabilità.
È quindi essenziale che le organizzazioni riconoscano che le scansioni delle vulnerabilità da sole non forniranno mai un quadro completo. Questo non significa che se un’azienda ha visibilità completa di tutte le vulnerabilità sia in grado di proteggersi in maniera adeguata.

Una recente ricerca di Armis mostra come il 20% delle organizzazioni negli Stati Uniti abbia subito una violazione a causa di una vulnerabilità nota che non era protetta da patch. L’identificazione è il primo passo, ma i team di sicurezza devono poi elaborare queste informazioni.
Indipendentemente dal settore o dalle dimensioni del team, non è possibile applicare una patch ovunque. L’identificazione dei CVE da sola non è sufficiente: è fondamentale capire quali sono i dispositivi che vengono sfruttati attivamente e che, quindi, devono essere considerati prioritari.

White hackers: perché è importante proteggere chi segnala vulnerabilità informatiche

La prioritizzazione delle vulnerabilità

Per una gestione efficace ed efficiente delle vulnerabilità, le organizzazioni possono assegnare le priorità ai CVE utilizzando un processo in quattro fasi: conoscere i propri asset, arricchire i dati delle vulnerabilità,

Conoscere i propri asset

Il modo più efficace per definire la priorità delle vulnerabilità è conoscere meglio le risorse dell’ambiente. Filtrare i CVE fino a quando non rimangono solo quelli critici, lascia comunque ai team di sicurezza un’enorme quantità di vulnerabilità che devono essere classificate come prioritarie. Per capire veramente su cosa vale la pena investire del tempo, i team devono concentrarsi su quelle vulnerabilità che interessano gli asset critici per il core business o che si trovano in un contesto vulnerabile, per esempio di fronte a Internet o in un segmento di rete particolarmente sensibile. In breve, il rischio per l’azienda dipende dall’asset che contiene la vulnerabilità. Per valutare correttamente tale rischio, bisogna chiedersi:

  • quale funzionalità ha l’asset;
  • chi sono i proprietari degli asset;
  • se contiene dati sensibili;
  • qual è il costo dell’asset.

Rispondendo a queste domande e rendendo le risorse visibili, è possibile concentrare gli sforzi di risanamento dove è veramente importante.

Arricchire i dati delle vulnerabilità

Una volta determinati gli asset e le vulnerabilità critiche, l’elenco deve essere inviato a un owner, che sarà responsabile del risanamento. L‘automazione può essere un potente strumento per legare gli elenchi di vulnerabilità critiche a un owner adeguato.
Il contesto completo di tali vulnerabilità sarà necessario all’owner per agire in base alle priorità.
Tradizionalmente, il professionista IT Ops incaricato di rimediare a una serie di vulnerabilità dovrebbe dedicare del tempo a fare ricerche, a capire quale sia la soluzione corretta e quale possa essere l’impatto, il che può richiedere tempo. Per snellire il processo, è importante fornire all’owner degli elenchi il maggior numero di informazioni possibili sulla lista assegnatogli.

Implementazione di strumenti di telemetria integrati

Gli strumenti di reporting e di dashboard dovranno essere integrati nell’ambiente esistente per lavorare in modo efficiente durante il risanamento. Disporre di strumenti di telemetria adatti a team multipli e diversi garantirà che tutti i team ricevano un contesto adeguato. Bisogna considerare di includere:

  • scanner di vulnerabilità
  • threat intelligence
  • agent per gli endpoint
  • scanner dei dati dell’infrastruttura connessa
  • sincronizzazione CMDB – Configuration Management Data Base –
  • sistemi di ticketing, ad esempio ServiceNow

Tracciare il processo

Bisogna riconoscere la differenza tra le vulnerabilità di cui un team ha semplicemente accettato il rischio e le vulnerabilità che gli è stato ordinato di risolvere. Il problema è che può essere difficile fare rapporto su questi aspetti separatamente. I team che si
occupano di vulnerabilità dovrebbero avere la possibilità di accettare il rischio di una
vulnerabilità e allo stesso tempo di riferire su tutto ciò che è effettivamente in corso, compresi i proprietari che sono effettivamente in grado di porre rimedio a ciò che dovrebbero fare.

La tracciabilità dell’intero processo lo snellirà enormemente. I team di sicurezza delle grandi organizzazioni possono adottare queste misure per garantire che le vulnerabilità siano gestite in modo più efficiente e migliorino la sicurezza generale dell’azienda. La ricerca di soluzioni che aiutino a comprendere la criticità di ogni asset per l’azienda consentirà di stabilire le priorità e di ridurre gli sforzi su tutti gli asset, al contempo
ottimizzando l’uso di risorse limitate per ridurre al minimo l’esposizione e ottenere una gestione efficace del ciclo di vita delle vulnerabilità.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Copiato negli appunti

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • intelligenza artificiale

    AI e tutela del diritto d'autore: perché le sanzioni alle big tech non bastano

    03 Apr 2024

    di Alfredo Esposito

    Condividi

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

Prossimo

AI e tutela del diritto d'autore: perché le sanzioni alle big tech non bastano

Articolo 1 di 3