Articles

Come costruire un programma di gestione delle vulnerabilità

Un programma di gestione delle vulnerabilità identifica sistematicamente, valuta, dà priorità e mitiga le vulnerabilità che possono rappresentare un rischio per le infrastrutture e le applicazioni di un’azienda. Un moderno programma di gestione delle vulnerabilità combina automazione, intelligence delle minacce e scienza dei dati per prevedere quali vulnerabilità rappresentano il maggior rischio per un ambiente specifico.

Perché un programma di gestione delle vulnerabilità è fondamentale?

Il numero di vulnerabilità osservate nei dispositivi, nelle reti e nelle applicazioni è cresciuto notevolmente negli ultimi anni. Uno sguardo al National Vulnerability Database rivela che il numero di Common Vulnerabilities and Exploits (CVEs) è triplicato dal 2016.

Anche in aumento: sforzi altamente sofisticati per sfruttare queste vulnerabilità. Secondo l’Identity Theft Resource Center (ITRC), il numero di violazioni dei dati registrati è balzato del 17% dal 2018 al 2019. Nei soli primi due mesi del 2020, 1,66 miliardi di record sono stati esposti in 11.476 violazioni.

Ancora la maggior parte delle aziende non è adeguatamente preparata. Nel 2019, PwC ha scoperto che “meno della metà delle aziende a livello globale sono sufficientemente preparate per un attacco di cybersecurity.” I criminali informatici stanno diventando più avanzati e le organizzazioni stanno lottando per garantire che i set di competenze di cybersecurity del loro team, gli strumenti e i processi possano affrontare queste minacce.

Tutto questo ha un costo reale per le aziende. Entro il 2021, Cybersecurity Ventures prevede che i danni causati dal crimine informatico costeranno al mondo 6 trilioni di dollari all’anno (rispetto ai 3 trilioni di dollari del 2015) – costi che, in un momento di storica perturbazione economica, le aziende possono difficilmente permettersi.

Come le vulnerabilità e gli attacchi diversificati continuano a crescere, avete bisogno di un programma di gestione delle vulnerabilità per proteggere adeguatamente la vostra infrastruttura, le applicazioni e i dati.

Può un programma tradizionale di gestione delle vulnerabilità tenere il passo?

Molte imprese si affidano ancora all’abitudine di applicare le patch a tutto ciò che supera una certa soglia, come il punteggio CVSS (Common Vulnerability Scoring System) di sette o superiore. Alcuni continuano a utilizzare enormi fogli di calcolo delle vulnerabilità che poi ordinano in base all’intuizione, al profilo pubblico di una vulnerabilità o al numero di risorse interessate. Per la maggior parte, questo approccio di base a un programma di gestione delle vulnerabilità ha funzionato, cioè fino a quando gli aggressori sono diventati più sofisticati e le infrastrutture sono diventate più intricate, sensibili ed estese.

Il problema per le organizzazioni di oggi è che questi modelli tradizionali di programma di gestione delle vulnerabilità le costringono a cercare di dare priorità alle vulnerabilità senza il contesto necessario per valutare accuratamente il rischio che una vulnerabilità pone alla loro specifica organizzazione. Per esempio, una vulnerabilità potrebbe fare notizia e causare ansia tra le parti interessate e i dirigenti. Molte vulnerabilità sono state patchate in queste condizioni. Ma in molti casi, la vulnerabilità potrebbe non essere sfruttata attivamente nel vostro settore; in altre parole, pone un rischio relativamente basso per la vostra infrastruttura. Avere questo contesto vi aiuterebbe a determinare quali vulnerabilità valgono la pena di essere risolte – e poi difendere con gli altri la vostra decisione di privare di priorità la riparazione delle vulnerabilità che fanno notizia.

Si consideri ora che solo il 2%-5% delle vulnerabilità di un’organizzazione sono suscettibili di essere sfruttate. I modi tradizionali di gestire le vulnerabilità non sono probabilmente di grande aiuto nell’individuare quelle che hanno maggiori probabilità di essere trasformate in armi. Gli scanner di vulnerabilità e i punteggi CVSS offrono ai team IT e di sicurezza poche informazioni sul rischio specifico che ogni vulnerabilità rappresenta per un’organizzazione.

Questo lascia i team di sicurezza a tentare di convincere IT e DevOps a rimediare a un alto volume di vulnerabilità che alla fine potrebbero non ridurre il rischio e sprecare cicli preziosi che potrebbero essere dedicati a iniziative più strategiche e significative. L’attrito tra i team di sicurezza e IT è qualcosa che le organizzazioni con programmi tradizionali di gestione delle vulnerabilità conoscono fin troppo bene.

Programmi di gestione delle vulnerabilità tradizionali contro quelli basati sul rischio

Un’alternativa più moderna ai metodi tradizionali è chiamata gestione delle vulnerabilità basata sul rischio, che infonde la scienza dei dati, l’intelligence delle vulnerabilità in tempo reale e l’automazione per creare un approccio prioritario ed efficiente per isolare e comprendere meglio i rischi che effettivamente rappresentano una minaccia reale per un’organizzazione. Le aziende che cercano di risparmiare tempo, creare flussi di lavoro di riparazione più efficienti e abbassare il loro profilo di rischio si sono rivolte alla gestione delle vulnerabilità basata sul rischio.

Secondo i principali analisti, il futuro dei programmi di gestione delle vulnerabilità è basato sul rischio. Negli ultimi mesi, dato che le vulnerabilità e le minacce continuano ad aumentare ed evolvere, Gartner ha riconosciuto la necessità di dare priorità alle vulnerabilità in base al rischio. “Gartner ha sottolineato la necessità critica di valutare le risorse per i problemi di configurazione e le vulnerabilità, e di essere in grado di dare priorità a ciò che si fa con quella valutazione, in base al rischio per la vostra organizzazione.”

E alla fine dello scorso anno, Forrester ha anche osservato che la prioritizzazione basata sul rischio definirà i futuri programmi moderni di gestione delle vulnerabilità.

Quali sono i passi per costruire un programma di gestione delle vulnerabilità?

Le organizzazioni che cercano di stabilire o rafforzare i loro programmi di gestione delle vulnerabilità dovrebbero iniziare seguendo questi sei passi chiave.

  1. Riunite il vostro team. Iniziate a gettare le basi del vostro programma identificando tutti gli attori chiave necessari. Le organizzazioni spesso hanno un direttore o un manager della sicurezza incaricato di gestire la gestione delle vulnerabilità e almeno un analista che identifica, traccia e valuta le vulnerabilità nell’ambiente. Il membro del vostro team di riparazione, incaricato di risolvere le vulnerabilità, può abbracciare più reparti come IT, DevOps e AppSec.
  2. Acquisire gli strumenti giusti. I comuni strumenti di ricerca delle vulnerabilità utilizzati dai team di sicurezza scoprono le vulnerabilità nell’ambiente. Una volta che queste vulnerabilità sono localizzate, un database di gestione della configurazione fornisce informazioni dettagliate su tutte le risorse hardware e software in un’organizzazione. Una soluzione di gestione delle vulnerabilità dà senso e ordina questi dati acquisiti, che identificano le principali vulnerabilità che rappresentano il maggior rischio per l’organizzazione. Queste vengono poi inserite in un flusso di lavoro di rimedio (in genere utilizzando un sistema di ticketing) che viene condiviso con IT e DevOps.
  3. Incrociate il panorama delle minacce con il vostro ambiente. Prendete la vostra comprensione delle vostre risorse e delle vulnerabilità note all’interno della vostra organizzazione e incrociatele con le vostre informazioni sulle minacce. Questo vi aiuterà a determinare l’impatto di un potenziale exploit, un altro fattore chiave nella determinazione del rischio. Strumenti come gli elenchi CVE, le informazioni CPE (common platform enumeration) e CWE (common weakness enumeration) offrono un inizio, ma per un riferimento incrociato efficace, avete bisogno di dati ampi e reali che un programma di gestione delle vulnerabilità solo moderno incorporerà.
  4. Conoscete le vostre risorse, applicazioni e tolleranza al rischio. Comprendere le vostre risorse attuali e il livello di rischio accettabile della vostra organizzazione è fondamentale per un’efficace definizione delle priorità. Per sviluppare un inventario dettagliato degli asset, guardate agli strumenti automatizzati che vi aiuteranno in questo compito di scoperta, che scansioneranno la vostra organizzazione per identificare asset come server, workstation, macchine virtuali, array di storage e dispositivi di rete. La vostra tolleranza al rischio potrebbe essere informata dal vostro settore o da specifiche linee guida aziendali. Cercate fonti all’interno della vostra azienda che vi indichino le linee guida per la valutazione del rischio che coinvolgono altri aspetti dell’azienda. Per le vulnerabilità specifiche, è fondamentale capire quanto rischio potete accettare e i compromessi che vengono con il rimediare ora o con l’aspettare.
  5. Misurate, valutate e date priorità alle vostre vulnerabilità. Questa è la fase in cui la scelta della piattaforma di gestione delle vulnerabilità diventa critica. Quando considerate la piattaforma giusta per la vostra organizzazione, cercatene una che integri l’intelligence delle vulnerabilità del mondo reale, la scienza dei dati, l’analisi automatizzata dei rischi, le metriche di rischio personalizzate e persino gli SLA basati sul rischio. Le migliori piattaforme moderne combinano tutto questo in una metrica – o punteggio – che è semplice, comprensibile e ripetibile.
  6. Comunicare, rimediare e segnalare. La vostra soluzione di gestione delle vulnerabilità dovrebbe aiutare, non ostacolare, la vostra comunicazione interna tra i team chiave. Dovrebbe anche supportare la vostra capacità di porre rimedio in modo rapido ed efficiente, mantenendo tutti al passo con i tempi, e rendere il reporting sui vostri progressi semplice e intuitivo. Assicuratevi di cercare una piattaforma che offra l’integrazione con i sistemi di ticketing più diffusi e la possibilità di sviluppare metriche e dashboard personalizzati in modo che gli stakeholder chiave abbiano una finestra costante e facile da capire sui progressi della gestione del rischio della vostra azienda. La maggior parte delle organizzazioni impiega un mix di tre tattiche di rimedio comuni, tra cui patch automatizzate, strumenti di gestione delle patch e aggiornamenti manuali.

Impara come implementare un moderno programma di gestione delle vulnerabilità basato sul rischio

La necessità per un’azienda di stabilire un moderno programma di gestione delle vulnerabilità è chiara. Affidarsi ai metodi tradizionali di gestione delle vulnerabilità lascia i team di riparazione a caccia di vulnerabilità che potrebbero non ridurre il loro rischio complessivo e crea inefficienze all’interno dei flussi di lavoro. I moderni programmi di gestione delle vulnerabilità permettono alle organizzazioni di assumere una posizione proattiva e guidata dai dati contro le minacce e snellisce le operazioni interne per risparmiare tempo e denaro, ridurre gli sforzi sprecati, migliorare la collaborazione tra i team e avere un impatto significativo sui loro profili di rischio.

Per uno sguardo approfondito su come implementare un programma di gestione delle vulnerabilità basato sul rischio, scaricate How to Implement Risk-Based Vulnerability Management Now: A Practical Guide. Pieno di consigli pratici e best practice, questo eBook illustra in dettaglio l’importanza di un moderno programma di gestione delle vulnerabilità nell’odierno panorama di minacce in evoluzione e illustra in dettaglio i sei passaggi chiave per stabilire un programma di gestione delle vulnerabilità basato sul rischio, come descritto sopra.

Scaricate l’eBook oggi stesso e iniziate a rendere il vostro business a prova di futuro.