My IBM Accedi Iscriviti

Che cos'è il ciclo di vita della gestione delle vulnerabilità?

Tag

Protezione

28 luglio 2023

Tempo di lettura 6 minuti

Ogni mese, il National Institute of Standards and Technology (NIST) aggiunge oltre 2.000 nuove vulnerabilità di sicurezza al National Vulnerability Database. I team di sicurezza non hanno bisogno di tenere traccia di tutte queste vulnerabilità, ma hanno bisogno di un modo per identificare e risolvere quelle che rappresentano una potenziale minaccia per i loro sistemi. È a questo che serve il ciclo di vita della gestione delle vulnerabilità.

Il ciclo di vita della gestione delle vulnerabilità è un processo continuo per scoprire, assegnare priorità e affrontare le vulnerabilità negli asset IT di un'azienda.

Un ciclo tipico del ciclo di vita prevede cinque fasi:

  1. Inventario degli asset e valutazione delle vulnerabilità.
  2. Definizione della priorità delle vulnerabilità.
  3. Risoluzione delle vulnerabilità.
  4. Verifica e monitoraggio.
  5. Reporting e miglioramento.

Il ciclo di vita della gestione delle vulnerabilità consente alle organizzazioni di migliorare il livello di sicurezza adottando un approccio più strategico alla gestione delle vulnerabilità. Invece di reagire alle nuove vulnerabilità non appena si presentano, i team di sicurezza vanno attivamente alla ricerca di falle nei loro sistemi. Le organizzazioni possono identificare le vulnerabilità più critiche e mettere in atto protezioni prima che gli attori delle minacce colpiscano.

Perché il ciclo di vita della gestione delle vulnerabilità è importante?

Una vulnerabilità è qualsiasi debolezza di sicurezza nella struttura, nella funzione o nell'implementazione di una rete o di un asset che gli hacker possono sfruttare per danneggiare un'azienda.

Le vulnerabilità possono derivare da difetti fondamentali nella costruzione di un asset. Questo è stato il caso della famigerata vulnerabilità Log4J, in cui errori di codifica in una popolare libreria Java hanno consentito agli hacker di eseguire da remoto malware sui computer delle vittime. Altre vulnerabilità sono causate da errori umani, come un bucket di archiviazione cloud mal configurato che espone i dati sensibili a Internet.

Ogni vulnerabilità è un rischio per le organizzazioni. Secondo l' X-Force Threat Intelligence Index di IBM, lo sfruttamento delle vulnerabilità è il secondo vettore di attacco informatico più comune. X-Force ha anche scoperto che il numero di nuove vulnerabilità aumenta ogni anno, con 23.964 registrate solo nel 2022.

Gli hacker hanno a disposizione una scorta crescente di vulnerabilità. In risposta, le aziende hanno fatto della gestione delle vulnerabilità un componente chiave delle loro strategie di gestione del rischio informatico. Il ciclo di vita della gestione delle vulnerabilità offre un modello formale per programmi efficaci di gestione delle vulnerabilità in un panorama di minacce informatiche in continua evoluzione. Adottando il ciclo di vita, le organizzazioni possono vedere alcuni dei seguenti vantaggi:

  • Individuazione e risoluzione proattive delle vulnerabilità: le aziende spesso non conoscono le proprie vulnerabilità finché gli hacker non le sfruttano. Il ciclo di vita della gestione delle vulnerabilità si basa sul monitoraggio continuo, in modo che i team di sicurezza possano individuare le vulnerabilità prima degli avversari.
  • Allocazione strategica delle risorse: ogni anno vengono scoperte decine di migliaia di nuove vulnerabilità, ma solo alcune sono rilevanti per un'organizzazione. Il ciclo di vita della gestione delle vulnerabilità aiuta le aziende a individuare le vulnerabilità più critiche nelle loro reti e a dare priorità ai maggiori rischi per la correzione.
  • Un processo di gestione delle vulnerabilità più coerente: il ciclo di vita della gestione delle vulnerabilità offre ai team di sicurezza un processo ripetibile da seguire, dalla scoperta delle vulnerabilità alla correzione e oltre. Un processo più coerente produce risultati più coerenti e consente alle aziende di automatizzare flussi di lavoro chiave come l'inventario degli asset, la valutazione delle vulnerabilità e la gestione delle patch.

Fasi del ciclo di vita della gestione delle vulnerabilità

Nuove vulnerabilità possono sorgere in una rete in qualsiasi momento, quindi il ciclo di vita della gestione delle vulnerabilità è un ciclo continuo piuttosto che una serie di eventi distinti. Ogni fase del ciclo di vita si alimenta direttamente alla successiva. Un singolo round di solito contiene le seguenti fasi:

Fase 0: Pianificazione e lavoro preliminare

Tecnicamente, la pianificazione e il lavoro preliminare avvengono prima del ciclo di vita della gestione delle vulnerabilità, da cui la designazione "Fase 0". Durante questa fase, l'organizzazione definisce i dettagli critici del processo di gestione delle vulnerabilità, tra cui:

  • Quali stakeholder saranno coinvolti e i ruoli che avranno
  • Risorse, tra cui persone, strumenti e finanziamenti, disponibili per la gestione delle vulnerabilità
  • Linee guida generali per stabilire le priorità e rispondere alle vulnerabilità
  • Metriche per misurare il successo del programma

Le organizzazioni non attraversano questa fase prima di ogni ciclo di vita. In genere, prima di avviare un programma formale di gestione delle vulnerabilità, un'azienda conduce un'ampia fase di pianificazione e di lavoro preliminare. Quando un programma è in atto, gli stakeholder rivisitano periodicamente la pianificazione e le elaborazioni preliminari per aggiornare le loro linee guida e strategie generali, se necessario.

Fase 1: Scoperta degli asset e valutazione della vulnerabilità

Il ciclo di vita formale della gestione delle vulnerabilità inizia con l'inventario degli asset: un catalogo di tutti gli hardware e i software presenti nella rete dell'organizzazione. L'inventario include app ed endpoint ufficialmente autorizzati e qualsiasi asset shadow IT utilizzato dai dipendenti senza approvazione.

Poiché nuovi asset vengono aggiunti regolarmente alle reti aziendali, l'inventario degli asset viene aggiornato prima di ogni ciclo di vita. Le aziende utilizzano spesso strumenti software come le piattaforme di gestione delle superfici di attacco per automatizzare i propri inventari.

Dopo aver identificato gli asset, il team di sicurezza ne valuta le vulnerabilità. Il team può utilizzare una combinazione di strumenti e metodi, tra cui scanner di vulnerabilità automatizzati, test di penetrazione manuali e threat intelligence esterna dalla comunità della sicurezza informatica.

Valutare ogni asset durante ogni ciclo di vita sarebbe oneroso, quindi i team di sicurezza di solito lavorano per lotti. Ogni ciclo di vita si concentra su un gruppo specifico di asset, mentre i gruppi di asset più critici ricevono scansioni più spesso. Alcuni strumenti avanzati di scansione delle vulnerabilità valutano continuamente tutti gli asset di rete in tempo reale, consentendo al team di sicurezza di adottare un approccio ancora più dinamico alla scoperta delle vulnerabilità.

Fase 2: Definizione della priorità delle vulnerabilità

Il team di sicurezza assegna la priorità alle vulnerabilità rilevate nella fase di valutazione. La definizione delle priorità garantisce che il team affronti prima le vulnerabilità più critiche. Questa fase aiuta anche il team a evitare di sprecare tempo e risorse in vulnerabilità a basso rischio. 

Per stabilire le priorità delle vulnerabilità, il team considera i seguenti criteri:

  • Valutazioni di criticità fornite da informazioni esterne sulle minacce: possono includere l'elenco delle vulnerabilità e delle esposizioni comuni (CVE) del MITRE o il Common Vulnerability Scoring System (CVSS ).
  • Criticità degli asset: Una vulnerabilità non critica in un asset critico spesso riceve una priorità maggiore rispetto a una vulnerabilità critica in un asset meno importante. 
  • Impatto potenziale: il team di sicurezza valuta cosa potrebbe accadere se gli hacker sfruttassero una particolare vulnerabilità, compresi gli effetti sulle operazioni aziendali, le perdite finanziarie e qualsiasi possibilità di azione legale.
  • Probabilità di sfruttamento: il team di sicurezza presta maggiore attenzione alle vulnerabilità con exploit noti che gli hacker utilizzano attivamente in natura.
  • Falsi positivi: Il team di sicurezza si assicura che le vulnerabilità esistano effettivamente prima di dedicare loro delle risorse.

Fase 3: risoluzione della vulnerabilità

Il team di sicurezza lavora attraverso l'elenco delle vulnerabilità prioritarie, dalla più critica alla meno critica. Le organizzazioni hanno tre opzioni per affrontare le vulnerabilità:

  1. Correzione: risolvere completamente una vulnerabilità in modo che non possa più essere sfruttata, ad esempio applicando una patch a un bug del sistema operativo, correggendo una configurazione errata o rimuovendo un asset vulnerabile dalla rete. La correzione non è sempre fattibile. Per alcune vulnerabilità, le correzioni complete non sono disponibili al momento della scoperta (ad esempio, vulnerabilità zero-day). Per altre vulnerabilità, la correzione sarebbe troppo dispendiosa in termini di risorse.
  2. Mitigazione: Rendere una vulnerabilità più difficile da sfruttare o ridurne l'impatto senza rimuoverla completamente. Ad esempio, l'aggiunta di misure di autenticazione e autorizzazione più rigorose a un'applicazione Web renderebbe più difficile per gli hacker dirottare gli account. L'elaborazione di piani di risposta agli incidenti per le vulnerabilità identificate può attenuare il colpo degli attacchi informatici. Di solito i team di sicurezza scelgono di adottare misure di mitigazione quando la correzione è impossibile o eccessivamente costosa. 
  3. Accettazione: Alcune vulnerabilità hanno un impatto così basso o sono improbabili da sfruttare che risolverle non sarebbe conveniente. In questi casi, l'organizzazione può scegliere di accettare la vulnerabilità.

Fase 4: Verifica e monitoraggio

Per verificare che gli sforzi di mitigazione e riparazione abbiano funzionato come previsto, il team di sicurezza esegue nuovamente la scansione e riprova le risorse su cui ha appena lavorato. Questi controlli hanno due scopi principali: determinare se il team di sicurezza ha affrontato con successo tutte le vulnerabilità note e garantire che la mitigazione e la correzione non abbiano introdotto nuovi problemi.

Nell'ambito di questa fase di rivalutazione, il team di sicurezza monitora anche la rete in modo più ampio. Il team cerca eventuali nuove vulnerabilità dopo l'ultima scansione, vecchie mitigazioni che sono diventate obsolete o altre modifiche che potrebbero richiedere un'azione. Tutte queste scoperte contribuiscono a orientare la fase successiva del ciclo di vita.

Fase 5: Reporting e miglioramento

Il team di sicurezza documenta l'attività dell'ultimo ciclo di vita, comprese le vulnerabilità rilevate, le misure di risoluzione adottate e i risultati. Questi report vengono condivisi con le parti interessate, tra cui dirigenti, proprietari di asset, dipartimenti di conformità e altri. 

Il team di sicurezza riflette anche su come è andato l'ultimo round del ciclo di vita. Il team può esaminare metriche chiave come il tempo medio di rilevamento (MTTD), il tempo medio di risposta (MTTR), il numero totale di vulnerabilità critiche e i tassi di recidiva delle vulnerabilità. Monitorando queste metriche nel tempo, il team di sicurezza può stabilire una linea di base per le prestazioni del programma di gestione delle vulnerabilità e identificare le opportunità per migliorare il programma nel tempo. Le lezioni apprese da una fase del ciclo di vita possono rendere più efficace la fase successiva.

Esplora le soluzioni per la gestione delle vulnerabilità

La gestione delle vulnerabilità è un'impresa complessa. Anche con un ciclo di vita formale, i team di sicurezza potrebbero sentirsi come se stessero cercando aghi nei pagliai mentre cercano di rintracciare le vulnerabilità in enormi reti aziendali

IBM X-Force ® Red può aiutare a semplificare il processo. Il team X-Force® Red offre servizi completi di gestione delle vulnerabilità, collaborando con le organizzazioni per identificare asset critici, scoprire vulnerabilità ad alto rischio, correggere completamente i punti deboli e applicare contromisure efficaci.

IBM Security® QRadar® Suite può supportare ulteriormente i team di sicurezza con risorse limitate con una soluzione modernizzata di rilevamento e risposta alle minacce. QRadar Suite integra la sicurezza degli endpoint, la gestione dei log, i prodotti SIEM e SOAR in un'interfaccia utente comune e incorpora l'automazione aziendale e l'intelligenza artificiale per aiutare gli analisti della sicurezza ad aumentare la produttività e lavorare in modo più efficace su tutte le tecnologie.

 

Autore

Matt Kosinski

Writer

Scopri di più sui servizi di gestione delle vulnerabilità IBM X-Force Red Esplora IBM Security QRadar Suite
Prodotti Trial delle soluzioni IBM Sconti Servizi Industrie Case study Inside IBM (US) Servizi finanziari Sviluppatori Business Partner Giornalisti Università e studenti IBM Consulting Supporto Trova un Business Partner IBM Client Center Carriere Newsroom Partecipa alla ricerca sull'esperienza utente Per gli investitori Corporate Responsibility in IBM (US) Informazioni IBM Segnalazioni Whistleblowing X LinkedIn Facebook YouTube Italia — Italiano Contatta Privacy Condizioni di utilizzo Accessibilità