Grazie a un programma di vulnerability management ben strutturato, le aziende sono in grado di ridurre la superficie vulnerabile alle minacce informatiche, più esposta a eventuali tentativi di attacco. Negli ultimi anni sono sempre più le organizzazioni lungimiranti che hanno intrapreso questa strada, con risultati altalenanti.

Quand’è che un programma di vulnerability management (VM) si può considerare davvero efficace?

Capiamo come dovrebbe essere strutturato un VM efficace e quali sono le buone pratiche per migliorare questo processo.

 

Come dovrebbe essere strutturato il Vulnerability Management?

Come abbiamo visto, il vulnerability management deve essere un processo che si ripete nel tempo in modo ciclico. Solo così un’azienda sarà in grado di gestire le possibili vulnerabilità nella sua infrastruttura informatica.

Per sottolineare l’importanza della ciclicità di questo processo, facciamo alcune considerazioni:

  • Nel 2020 sono state registrate oltre 18mila vulnerabilità, ci dice un report basato sul database del NIST.
  • Lo scorso anno RiskSense ha rilevato che il 96% delle vulnerabilità sfruttate negli attacchi ransomware è stata identificata prima del 2019: la maggior parte delle vulnerabilità era quindi nota da oltre un anno. Per esempio, anche nell’attacco ransomware che ha colpito Luxottica è stata sfruttata una vulnerabilità nota da diversi mesi (sui prodotti VPN di Citrix) per ottenere l’accesso alla rete.
  • Se prendiamo in considerazione le vulnerabilità zero-day, da un’analisi di Google emerge che il 25% di quelle sfruttate nel 2020, erano strettamente legate a vulnerabilità già conosciute: se le aziende avessero applicato una corretta politica di gestione delle vulnerabilità, non avrebbero potuto essere sfruttate da utenti malintenzionati.

Non devono preoccupare solo le nuove vulnerabilità, quindi. Le aziende, ma anche gli hacker, si trovano a fare i conti anche e soprattutto con vulnerabilità note, se non correttamente gestite.

 

Le fasi del Vulnerability Management

Per impostare un corretto programma di Vulnerability Management, dovrai creare un processo basato sulle seguenti fasi:

 

  • Identificare: La prima fase è quella di ricerca e scoperta delle possibili vulnerabilità presenti, operazione di solito automatizzata attraverso strumenti di scanning delle vulnerabilità.
  • Valutare: Una volta identificate, è necessario valutare e capire la possibile gravità dei danni per l’azienda, se la vulnerabilità fosse sfruttata. In base a questo, si procederà assegnando una priorità per la risoluzione.
  • Risolvere: A questo punto sarà necessario applicare una patch, aggiornare il sistema o mitigare la vulnerabilità nel modo più indicato.
  • Verificare: Infine, è fondamentale ricordarsi di verificare che la vulnerabilità sia stata effettivamente bonificata. Solo a questo punto il processo potrà ripartire.
Fasi del processo di vulnerability management VM

Vuoi implementare un programma di vulnerability management in azienda?

Buone pratiche per migliorare il Vulnerability Management

Una volta impostato il vulnerability management, per assicurarsi che continui a svolgere la sua funzione in modo adeguato, è fondamentale che la tua azienda si chieda: “Come so che il mio programma di vulnerability management è efficace?”

Ecco alcune buone pratiche da tenere a mente per strutturare al meglio e ottimizzare il vulnerability management.

  • Determinare l’ambito di azione. Il vulnerability management sarà applicato su tutta la rete e le risorse aziendali? Prima di iniziare, è necessario chiarire il livello di rischio che l’azienda è disposta ad accettare ed è in grado di permettersi dal punto di vista economico e strategico. Questo sarà l’ambito di azione iniziale, che l’azienda potrà perfezionare di pari passo con il maturare del processo.
  • Asset discovery. Questo punto è strettamente collegato al precedente. Se non sappiamo dell’esistenza di un rischio, non saremo in grado di risolverlo. Ecco perché uno dei punti di partenza del vulnerability management è l’inventario delle risorse da controllare e proteggere in azienda. Inventario che deve essere costantemente aggiornato per essere davvero utile. Inoltre è importante coinvolgere i responsabili degli asset nel processo.
  • Definire una policy. Senza una policy e procedure ufficiali, il processo potrebbe risultare poco chiaro e non applicabile. Definire responsabili, azioni e processi e condividere queste decisioni con tutte le persone interessate è fondamentale per la buona riuscita del processo: abilita il vulnerability management e lo rende più fluido e rapido.
  • Conoscenza delle vulnerabilità. Perché i punti 2) e 3) del processo di VM illustrato sopra siano davvero efficaci, la tua azienda dovrà disporre di strumenti che permettano al team incaricato di essere informato sulle vulnerabilità in circolazione. Fonti utili a questo scopo sono, per esempio, i servizi di threat intelligence, mailing list dei principali vendor su nuovi aggiornamenti e patch disponibili, il database delle vulnerabilità del Mitre, …
  • Frequenza dei vulnerability scan. Con quale frequenza ricercare nuove vulnerabilità? Se consideriamo che eseguiamo questa attività per impostare le attività di remediation o per identificare nuovi possibili rischi, la frequenza dovrà essere collegata a questi due obiettivi. Se nella tua azienda le attività di remediation sono attuate ogni mese, effettuare lo scanning ogni settimana non porterà nessun vantaggio. Nella situazione ottimale, le attività di ricerca di nuove vulnerabilità dovrebbero avvenire con la stessa cadenza delle operazioni di rimedio e ogniqualvolta c’è una modifica all’infrastruttura.
  • Gestione delle eccezioni. Potrebbero esserci delle vulnerabilità che non possono essere risolte. Le motivazioni possono essere varie: il rischio è basso e non ne vale la pena, richiedono un investimento di tempo e denaro troppo alto, il vendor non garantisce per il funzionamento dell’applicazione con quella determinata patch, … L’importante è che queste eccezioni siano davvero delle eccezioni, siano poche quindi. Per una maggiore sicurezza dell’organizzazione sarebbe auspicabile che presto venissero dismesse, in modo che nessuna parte dell’infrastruttura sia esclusa dalla scansione e che l’ambiente IT sia interamente sotto controllo.
  • Contesto. Come abbiamo sottolineato in varie occasioni, il rischio non è assoluto, ma va calato nella realtà della tua azienda. Le vulnerabilità e le risorse assumeranno un rischio maggiore o minore in base alle tue esigenze: per dare la corretta priorità alle azioni di remediation, è necessario valutare con attenzione quali sarebbero gli scenari se una determinata vulnerabilità all’interno di una tua risorsa fosse sfruttata per un attacco.
  • Centralizza. È importante che ci sia una gestione centralizzata per il processo di VM, possibilmente con un team dedicato. Questo sia per quanto riguarda la gestione tecnica, quindi un unico punto in cui vengono raccolte le vulnerabilità e le azioni intraprese per risolverle e mitigarle, sia per quanto riguarda la gestione delle persone coinvolte, in modo che ci sia un responsabile che tiene conto della distribuzione dei compiti e della verifica degli stessi.
  • Azioni di remediation. Un punto da non dare per scontato è che all’azione di identificazione e valutazione delle vulnerabilità, magari inserite in un report, segua effettivamente l’azione di rimedio e bonifica delle vulnerabilità riscontrate. Per assicurarsi che ciò accada, una policy ufficiale e condivisa e la centralizzazione delle attività di VM sono fondamentali.
  • Miglioramento continuo. Infine, per rendere davvero efficace il programma di VM nella tua azienda è necessario renderlo misurabile: stabilire dei KPI, non solo quantitativi, ma anche qualitativi, ti permetterà di capire se il programma funziona o meno e di intervenire prontamente per migliorarlo.

È cruciale non concentrarsi solo sulla prevenzione dalle intrusioni: la corretta gestione delle vulnerabilità evita infatti all’azienda le importanti conseguenze derivanti da un data breach o incidente informatico, come danni all’infrastruttura IT, perdita di reputazione e perdite finanziarie.

Come valutare quindi l’efficacia del VM?

Una volta implementato, il programma di vulnerability management potrà dirsi davvero efficaceper la tua azienda se ti permette di mantenere la security posture desiderata e stabilita.

Il tuo vulnerability management è davvero efficace?

Share This