Che cos'è la gestione delle vulnerabilità?

Una vulnerabilità di sicurezza è qualsiasi difetto o falla nella struttura, funzionalità o implementazione di una rete o di un asset di rete che gli hacker possono sfruttare per lanciare attacchi informatici, ottenere l'accesso non autorizzato a sistemi o dati, o danneggiare in altro modo un'organizzazione.

Alcuni esempi comuni di vulnerabilità includono configurazioni errate del firewall, che potrebbero consentire a determinati tipi di malware di entrare nella rete, o bug senza patch nel protocollo di desktop remoto di un sistema operativo, che potrebbero consentire agli hacker di prendere il controllo di un dispositivo.

Le reti aziendali di oggi sono così distribuite e ogni giorno vengono scoperte così tante nuove vulnerabilità da rendere quasi impossibile gestire le vulnerabilità manualmente o ad hoc in modo efficace. Per automatizzare questo processo, i team di cybersecurity in genere si affidano a soluzioni di gestione delle vulnerabilità.

Il Center for Internet Security (CIS) menziona la gestione continua delle vulnerabilità come uno dei suoi controlli di sicurezza critici per difendersi dagli attacchi informatici più comuni. La gestione delle vulnerabilità consente ai team addetti alla sicurezza IT di adottare un approccio più proattivo al livello di sicurezza individuando e risolvendo le vulnerabilità prima che possano essere sfruttate.

Poiché possono insorgere nuove vulnerabilità in qualsiasi momento, i team di sicurezza affrontano la gestione delle vulnerabilità come un ciclo di vita continuo piuttosto che come un evento una tantum. Questo ciclo di vita comprende cinque workflow continui e sovrapposti: scoperta, categorizzazione e definizione delle priorità, risoluzione, rivalutazione e reporting.

Il workflow di scoperta è incentrato sulla valutazione delle vulnerabilità, un processo di controllo di tutti gli asset IT di un'organizzazione volto a verificare la presenza di vulnerabilità note e potenziali. In genere, i team di sicurezza automatizzano questo processo utilizzando un software di scansione delle vulnerabilità. Alcuni di questi eseguono scansioni di rete periodiche e complete a cadenza regolare, mentre altri utilizzano agenti installati su laptop, router e altri endpoint per raccogliere dati su ogni dispositivo. I team di sicurezza possono anche utilizzare valutazioni una tantum delle vulnerabilità, come i test di penetrazione, per individuare le vulnerabilità che possono sfuggire a uno scanner.

Una volta identificate, le vulnerabilità vengono classificate per tipo (ad esempio, configurazioni errate del dispositivo, problemi di crittografia, esposizione di dati sensibili) e ordinate per priorità in base al livello di criticità. Questo processo fornisce una stima della gravità, della sfruttabilità e della probabilità di un attacco per ciascuna vulnerabilità.

Le soluzioni di gestione delle vulnerabilità in genere attingono a fonti di threat intelligence, come il Common Vulnerability Scoring System (CVSS), uno standard di settore aperto per la cybersecurity progettato per valutare la criticità delle vulnerabilità note su una scala da 0 a 10. Altre due fonti di intelligence popolari sono l'elenco Common Vulnerabilities and Exposures (CVE) del MITRE e il National Vulnerability Database (NVD) del NIST.

Una volta che le vulnerabilità sono state classificate in ordine di priorità, i team di sicurezza possono risolverle in uno dei tre modi seguenti:

• Correzione: risolvere completamente una vulnerabilità in modo che non possa più essere sfruttata, ad esempio installando una patch che corregge un bug del software o ritirando un asset vulnerabile. Molte piattaforme di gestione delle vulnerabilità forniscono strumenti di correzione come la gestione delle patch, per download e test automatici delle patch, e la gestione della configurazione, per correggere configurazioni errate di rete e dispositivi da una dashboard o un portale centralizzato.
• Mitigazione: rendere una vulnerabilità più difficile da sfruttare e ridurre l'impatto dello sfruttamento senza rimuoverla completamente. Lasciare online un dispositivo vulnerabile ma isolarlo dal resto della rete è un esempio di mitigazione. La mitigazione viene spesso eseguita quando una patch o altri mezzi di correzione non sono ancora disponibili. 
• Accettazione: scegliere di non affrontare una vulnerabilità. Le vulnerabilità con punteggi di criticità bassi, che è improbabile che vengano sfruttate o che causino danni significativi, vengono spesso accettate.

Quando le vulnerabilità vengono risolte, i team di sicurezza conducono una nuova valutazione delle vulnerabilità per garantire che i loro sforzi di mitigazione o correzione abbiano funzionato e non abbiano introdotto nuove vulnerabilità.

Le piattaforme di gestione delle vulnerabilità in genere forniscono dashboard per il reporting di metriche come il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR). Molte soluzioni mantengono anche database di vulnerabilità identificate, che consentono ai team di sicurezza di monitorare la risoluzione delle vulnerabilità identificate e di verificare gli sforzi passati di gestione delle vulnerabilità.

Queste funzionalità di reporting consentono ai team di sicurezza di stabilire una linea di base per le attività di gestione delle vulnerabilità in corso e monitorare le prestazioni del programma nel tempo. I report possono essere utilizzati anche per condividere informazioni tra il team di sicurezza e altri team IT che possono essere responsabili della gestione degli asset ma non direttamente coinvolti nel processo di gestione delle vulnerabilità.

La gestione delle vulnerabilità basata sul rischio (RBVM) è un approccio relativamente nuovo alla gestione delle vulnerabilità. L'RVBM combina i dati sulle vulnerabilità specifici degli stakeholder con l'intelligenza artificiale e le funzionalità di machine learning per migliorare la gestione delle vulnerabilità in tre modi importanti.

Maggiore contesto per un'assegnazione delle priorità più efficace. Le soluzioni tradizionali di gestione delle vulnerabilità determinano la criticità utilizzando risorse standard del settore, come CVSS o NIST NVD, che si basano su generalità in grado di determinare la criticità media di una vulnerabilità in tutte le organizzazioni. Tuttavia, non dispongono dei dati sulle vulnerabilità specifici degli stakeholder, il che può comportare una pericolosa assegnazione errata della criticità di una vulnerabilità per un'azienda specifica.

Ad esempio, poiché nessun team di sicurezza ha il tempo o le risorse per affrontare ogni singola vulnerabilità della propria rete, molti danno priorità alle vulnerabilità con un punteggio CVSS "alto" (7,0-8,9) o "critico" (9,0-10,0). Tuttavia, se esiste una vulnerabilità "critica" in un asset che non memorizza o non elabora informazioni sensibili, oppure non offre percorsi verso segmenti ad alto valore della rete, la correzione potrebbe non valerne la pena.

Le vulnerabilità con punteggi CVSS bassi possono rappresentare una minaccia maggiore per alcune organizzazioni rispetto ad altre. Il bug Heartbleed, scoperto nel 2014, è stato valutato come "medio" (5,0) sulla scala CVSS. Tuttavia, gli hacker lo hanno utilizzato per sferrare attacchi su larga scala, come il furto dei dati di 4,5 milioni di pazienti da una delle più grandi catene ospedaliere degli Stati Uniti.

L'RBVM integra i punteggi con i dati di vulnerabilità specifici degli stakeholder: il numero e la criticità degli asset interessati, il modo in cui gli asset sono collegati ad altri asset e il danno potenziale che il loro utilizzo potrebbe causare, oltre ai dati su come i criminali informatici interagiscono con le vulnerabilità nel mondo reale. Utilizza il machine learning per formulare punteggi di rischio che riflettano in modo più accurato il rischio specifico di ogni vulnerabilità per l'organizzazione. Questo permette ai team di sicurezza IT di dare priorità a un numero minore di vulnerabilità critiche, senza rinunciare alla sicurezza della rete.

Scoperta in tempo reale. Nell'RBVM, le scansioni delle vulnerabilità vengono spesso condotte in tempo reale anziché secondo una pianificazione ricorrente. Inoltre, le soluzioni RBVM possono monitorare una gamma più ampia di asset: mentre i tradizionali scanner di vulnerabilità sono generalmente limitati agli asset noti collegati direttamente alla rete, gli strumenti RBVM in genere possono scansionare dispositivi mobili on-premise e remoti, asset cloud, app di terze parti e altre risorse.

Rivalutazione automatizzata. In un processo RBVM, la rivalutazione può essere automatizzata mediante scansione continua delle vulnerabilità. Nella gestione tradizionale delle vulnerabilità, la rivalutazione può richiedere una scansione intenzionale della rete o un test di penetrazione.

La gestione delle vulnerabilità è strettamente correlata alla gestione della superficie di attacco (ASM). L'ASM è la scoperta continua, l'analisi, la correzione e il monitoraggio delle vulnerabilità e dei potenziali vettori di attacco che costituiscono la superficie di attacco di un'organizzazione. La differenza fondamentale tra ASM e gestione delle vulnerabilità è l'ambito. Entrambi i processi monitorano e risolvono le vulnerabilità negli asset di un'organizzazione, ma l'ASM adotta un approccio più olistico alla sicurezza della rete.

Le soluzioni ASM includono funzionalità di rilevamento degli asset che identificano e monitorano tutti gli asset noti, sconosciuti, di terze parti, sussidiari e dannosi collegati alla rete. L'ASM si estende anche oltre gli asset IT per identificare le vulnerabilità nelle superfici di attacco di ingegneria fisica e sociale di un'organizzazione, poi analizza questi asset e vulnerabilità dal punto di vista degli hacker, per capire come i criminali informatici potrebbero utilizzarli per infiltrarsi nella rete.

Con l'aumento della gestione delle vulnerabilità basata sul rischio (RBVM), i confini tra la gestione delle vulnerabilità e l'ASM sono diventati sempre più labili. Le organizzazioni spesso implementano piattaforme ASM come parte della loro soluzione RBVM, perché l'ASM fornisce una visione più completa della superficie di attacco rispetto alla sola gestione delle vulnerabilità.