Aggiornato il 24 settembre 2024
A febbraio, il numero di vulnerabilità elaborate e arricchite dal National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) ha iniziato a rallentare. Secondo una ricerca di VulnCheck, a maggio il 93,4% delle nuove vulnerabilità e il 50,8% delle vulnerabilità note utilizzate erano ancora in attesa di analisi.
Tre mesi dopo, il problema persiste. Sebbene il NIST abbia un piano per rimettersi in carreggiata, l'analisi dello stato attuale delle Common Vulnerabilities and Exposures (CVE) non sta tenendo il passo con le nuove vulnerabilità rilevate. Ecco cosa si nasconde dietro questo arretrato, perché le CVE potrebbero non essere più il santo graal della difesa IT e come i team di sicurezza possono anticipare gli attacchi degli aggressori.
I tagli al budget sono in parte responsabili delle problematiche delle analisi CVE. Come osservato da Security Magazine, i finanziamenti del NIST sono stati ridotti del 12% quest'anno, il che ha reso più difficile per l'organizzazione arricchire le CVE. In pratica, il NVD è di fatto un consumatore a valle dei dati CVE; mentre il numero di CVE trovate e segnalate rimane stabile, la capacità del NIST di valutare e arricchire queste vulnerabilità è stata significativamente ridotta.
L'enorme numero di vulnerabilità segnalate rappresenta anche un problema per le attività di analisi; una ricerca di Flashpoint ha rilevato che il NIST ha segnalato 33.137 vulnerabilità nel 2023. In parte, l'aumento è legato a un miglioramento delle capacità di rilevamento. Via via che le aziende estendono le iniziative di sicurezza con tecnologie cloud e strumenti abilitati all'AI, sono più in grado di individuare le potenziali minacce. Di conseguenza, numeri più elevati non sono sempre indici di un rischio aumentato, ma indicano un numero crescente di potenziali percorsi di attacco.
Il NIST ha un piano per eliminare il backlog. Secondo USASpending.gov, il governo ha assegnato un contratto da 860.000 USD ad Analygence per l'analisi della cybersecurity e il supporto e-mail. L'inizio delle attività era previsto per il 3 giugno e il NIST spera di tornare in carreggiata entro settembre 2024. Sebbene il contratto sia destinato a terminare nel dicembre 2024, l'organizzazione ha un'opzione per estendere i servizi fino al luglio 2025.
Le preoccupazioni riguardo al backlog di NVD sono comprensibili. Quanto più tempo impiega il NIST ad analizzare le CVE e a suggerire contromisure efficaci, tanto maggiore sarà il rischio per le aziende.
Come sottolineato da cybersecurity Dive, tuttavia, il panorama della cybersecurity sta cambiando. Durante il summit virtuale di Gartner sulla sicurezza e la gestione del rischio, l'analista Mitchell Schneider ha osservato che, sebbene il numero totale di vulnerabilità continui ad aumentare, le CVE critiche non superano le loro controparti alte, medie e basse.
Inoltre, gli aggressori non utilizzano la severità delle CVE quale criterio di compromissione. "Non esiste alcuna correlazione intrinseca tra le vulnerabilità e il loro utilizzo da parte dei criminali informatici in termini di livelli di gravità", afferma Schneider. I criminali danno invece priorità alle vulnerabilità più facili da colpire, che spesso sono quelle classificate come gravità medio-bassa.
In pratica, ciò crea uno scenario forest-for-the-trees: se le aziende si concentrano troppo sulle CVE critiche, rischiano di lasciarsi sfuggire exploit intermedi che consentono agli aggressori di ottenere l'accesso alla rete e poi di spostarsi lateralmente a sistemi più critici.
Il risultato? Sebbene il database delle vulnerabilità comuni rimanga un elemento critico per una sicurezza efficace, non si tratta di una soluzione miracolosa. Le tattiche delle minacce informatiche stanno cambiando e i team di sicurezza devono essere pronti a cambiare di conseguenza.
Come si traduce in pratica questo cambiamento?
Quattro considerazioni possono aiutare le aziende a costruire difese migliori in un mondo di aggiunte NVD ritardate.
Con la diversificazione dei metodi e dei modelli di attacco, le aziende devono dare priorità alla visibilità dell'IT. Consideriamo un'azienda che utilizza lo storage on-premise per i dati critici, i cloud pubblici per i test e lo sviluppo e i cloud privati per le applicazioni facilmente scalabili.
Nel nuovo panorama delle minacce, gli attacchi possono provenire da qualsiasi fonte e in qualsiasi momento. Se non vengono individuati, gli aggressori possono aspettare il momento giusto per raccogliere dati e individuare i percorsi di attacco ideali. Di conseguenza, è fondamentale avere una visibilità completa. Più le aziende sanno cosa accade nei loro ambienti, meglio saranno preparate a rilevare, identificare e mitigare gli attacchi.
Come spiega Gartner, gli exploit sono ora la priorità assoluta per i criminali. Mentre le vulnerabilità più gravi possono rappresentare obiettivi più preziosi nel breve termine, i punti deboli di gravità media o bassa possono offrire agli aggressori un successo duraturo.
Ad esempio, supponiamo che i criminali informatici possano utilizzare una vulnerabilità di media gravità all'edge delle reti aziendali. In tal caso, potrebbero essere in grado di creare e gestire backdoor che forniscano un accesso permanente ai sistemi aziendali. Da lì, possono effettuare una ricognizione e aspettare che i team di sicurezza si concentrino su altre vulnerabilità.
Prendendo di mira le vulnerabilità più utilizzabili piuttosto che quelle più gravi, i team di sicurezza possono ridurre la possibilità degli attacchi andati a buon fine.
La sicurezza non è più l'onere esclusivo dei team IT. I team delle operazioni aziendali, della finanza, del marketing, delle vendite e del servizio clienti hanno tutti un ruolo da svolgere per mantenere le aziende sicure. Sebbene la responsabilità finale della sicurezza rimanga ancora ai professionisti della tecnologia, condividere il carico tra i team può sia migliorare i tassi di rilevamento, sia ridurre il tempo tra l'identificazione e l'azione.
Con il backlog dell'NVD, è importante che i team di sicurezza siano in grado di individuare e utilizzare risorse alternative. Le potenziali fonti di sicurezza includono:
Il NIST spera di eliminare il backlog dell'NVD entro settembre 2024, ma non c'è garanzia che i suoi sforzi avranno successo. Come osservato da The Record, il senatore Mark Warner (D-VA) e Thom Tillies (R-NC) hanno proposto una legislazione che ripristinerebbe i finanziamenti al NIST e aumenterebbe il suo focus sui nuovi rischi, come le minacce abilitate dall'AI, ma il disegno di legge è ancora agli inizi.
In altre parole, mentre l'organizzazione e i legislatori federali riconoscono l'impatto critico dell'analisi e dell'arricchimento del CVE, le aziende non possono fare affidamento sull'NVD per fornire dati aggiornati sulle vulnerabilità.
Invece, è meglio che le aziende modifichino il loro approccio per allinearsi all'evoluzione delle attività dei criminali. Implementando strumenti che aiutano a migliorare la visibilità e a identificare l'esposizione agli attacchi, le aziende possono dare priorità alle minacce ad alto rischio. Condividendo il carico di sicurezza tra i reparti e ampliando l'uso delle risorse di sicurezza disponibili, le aziende possono rispondere in modo più efficace alle mutevoli priorità degli attacchi.
Correzione: questo articolo è stato aggiornato per chiarire le differenze tra NVD e CVE. Il programma CVE cataloga le vulnerabilità divulgate pubblicamente tramite i record CVE, mentre NVD è un consumatore a valle dei dati del programma CVE.
