Che cos'è il ciclo di vita della gestione delle vulnerabilità?

Autore

Matthew Kosinski

Staff Editor

IBM Think

Che cos'è il ciclo di vita della gestione delle vulnerabilità?

Il ciclo di vita della gestione delle vulnerabilità è un processo continuo per scoprire, assegnare priorità e affrontare le vulnerabilità negli asset IT di un'azienda.

Ogni mese, il National Institute of Standards and Technology (NIST) aggiunge oltre 2.000 nuove vulnerabilità di sicurezza al National Vulnerability Database. I team di sicurezza non hanno bisogno di tenere traccia di tutte queste vulnerabilità, ma hanno bisogno di un modo per identificare e risolvere quelle che rappresentano una potenziale minaccia per i loro sistemi. È a questo che serve il ciclo di vita della gestione delle vulnerabilità.

Un ciclo tipico del ciclo di vita prevede cinque fasi:

  1. Inventario degli asset e valutazione delle vulnerabilità.
  2. Definizione della priorità delle vulnerabilità.
  3. Risoluzione delle vulnerabilità.
  4. Verifica e monitoraggio.
  5. Reporting e miglioramento.

Il ciclo di vita della gestione delle vulnerabilità consente alle organizzazioni di migliorare il livello di sicurezza adottando un approccio più strategico alla gestione delle vulnerabilità. Invece di reagire alle nuove vulnerabilità non appena si presentano, i team di sicurezza vanno attivamente alla ricerca di falle nei loro sistemi. Le organizzazioni possono identificare le vulnerabilità più critiche e mettere in atto protezioni prima che gli attori delle minacce colpiscano.

Newsletter di settore

Le ultime notizie nel campo della tecnologia, supportate dalle analisi degli esperti

Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e altro con la newsletter Think. Leggi l'Informativa sulla privacy IBM.

Grazie per aver effettuato l'iscrizione!

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.

Perché il ciclo di vita della gestione delle vulnerabilità è importante?

Una vulnerabilità è qualsiasi debolezza di sicurezza nella struttura, nella funzione o nell'implementazione di una rete o di un asset che gli hacker possono sfruttare per danneggiare un'azienda.

Le vulnerabilità possono derivare da difetti fondamentali nella costruzione di un asset. Questo è stato il caso della famigerata vulnerabilità Log4J, in cui errori di codifica in una popolare libreria Java hanno consentito agli hacker di eseguire da remoto malware sui computer delle vittime. Altre vulnerabilità sono causate da errori umani, come un bucket di archiviazione cloud mal configurato che espone i dati sensibili a Internet.

Ogni vulnerabilità è un rischio per le organizzazioni. Secondo l' X-Force Threat Intelligence Index di IBM®, lo sfruttamento delle vulnerabilità nelle app pubbliche è uno dei vettori di attacco informatico più comuni. 

Gli hacker hanno a disposizione una scorta crescente di vulnerabilità. In risposta, le aziende hanno fatto della gestione delle vulnerabilità un componente chiave delle loro strategie di gestione del rischio informatico. Il ciclo di vita della gestione delle vulnerabilità offre un modello formale per programmi efficaci di gestione delle vulnerabilità in un panorama di minacce informatiche in continua evoluzione. Adottando il ciclo di vita, le organizzazioni possono vedere alcuni dei seguenti vantaggi:

  • Individuazione e risoluzione proattive delle vulnerabilità: le aziende spesso non conoscono le proprie vulnerabilità finché gli hacker non le sfruttano. Il ciclo di vita della gestione delle vulnerabilità si basa sul monitoraggio continuo, in modo che i team di sicurezza possano individuare le vulnerabilità prima degli avversari.

  • Allocazione strategica delle risorse: ogni anno vengono scoperte decine di migliaia di nuove vulnerabilità, ma solo alcune sono rilevanti per un'organizzazione. Il ciclo di vita della gestione delle vulnerabilità aiuta le aziende a individuare le vulnerabilità più critiche nelle loro reti e a dare priorità ai maggiori rischi per la correzione.

  • Un processo di gestione delle vulnerabilità più coerente: il ciclo di vita della gestione delle vulnerabilità offre ai team di sicurezza un processo ripetibile da seguire, dalla scoperta delle vulnerabilità alla correzione e oltre. Un processo più coerente produce risultati più coerenti e consente alle aziende di automatizzare flussi di lavoro chiave come l'inventario degli asset, la valutazione delle vulnerabilità e la gestione delle patch.
Mixture of Experts | 28 agosto, episodio 70

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.
Guarda gli ultimi episodi del podcast

Fasi del ciclo di vita della gestione delle vulnerabilità

Nuove vulnerabilità possono sorgere in una rete in qualsiasi momento, quindi il ciclo di vita della gestione delle vulnerabilità è un ciclo continuo piuttosto che una serie di eventi distinti. Ogni fase del ciclo di vita si alimenta direttamente alla successiva. Un singolo round di solito contiene le seguenti fasi:

Fase 0: Pianificazione e lavoro preliminare

 

Tecnicamente, la pianificazione e il lavoro preliminare avvengono prima del ciclo di vita della gestione delle vulnerabilità, da cui la designazione "Fase 0". Durante questa fase, l'organizzazione definisce i dettagli critici del processo di gestione delle vulnerabilità, tra cui:

  • Quali stakeholder saranno coinvolti e i ruoli che avranno

  • Risorse, tra cui persone, strumenti e finanziamenti, disponibili per la gestione delle vulnerabilità

  • Linee guida generali per stabilire le priorità e rispondere alle vulnerabilità

  • Metriche per misurare il successo del programma

Le organizzazioni non attraversano questa fase prima di ogni ciclo di vita. In genere, prima di avviare un programma formale di gestione delle vulnerabilità, un'azienda conduce un'ampia fase di pianificazione e di lavoro preliminare. Quando un programma è in atto, gli stakeholder rivisitano periodicamente la pianificazione e le elaborazioni preliminari per aggiornare le loro linee guida e strategie generali, se necessario.

Fase 1: Scoperta degli asset e valutazione della vulnerabilità

 

Il ciclo di vita formale della gestione delle vulnerabilità inizia con l'inventario degli asset: un catalogo di tutti gli hardware e i software presenti nella rete dell'organizzazione. L'inventario include app ed endpoint ufficialmente autorizzati e qualsiasi asset shadow IT utilizzato dai dipendenti senza approvazione.

Poiché nuovi asset vengono aggiunti regolarmente alle reti aziendali, l'inventario degli asset viene aggiornato prima di ogni ciclo di vita. Le aziende utilizzano spesso strumenti software come le piattaforme di gestione delle superfici di attacco per automatizzare i propri inventari.

Dopo aver identificato gli asset, il team di sicurezza ne valuta le vulnerabilità. Il team può utilizzare una combinazione di strumenti e metodi, tra cui scanner di vulnerabilità automatizzati, test di penetrazione manuali e threat intelligence esterna dalla comunità della sicurezza informatica.

Valutare ogni asset durante ogni ciclo di vita sarebbe oneroso, quindi i team di sicurezza di solito lavorano per lotti. Ogni ciclo di vita si concentra su un gruppo specifico di asset, mentre i gruppi di asset più critici ricevono scansioni più spesso. Alcuni strumenti avanzati di scansione delle vulnerabilità valutano continuamente tutti gli asset di rete in tempo reale, consentendo al team di sicurezza di adottare un approccio ancora più dinamico alla scoperta delle vulnerabilità.

Fase 2: Definizione della priorità delle vulnerabilità

 

Il team di sicurezza assegna la priorità alle vulnerabilità rilevate nella fase di valutazione. La definizione delle priorità garantisce che il team affronti prima le vulnerabilità più critiche. Questa fase aiuta anche il team a evitare di sprecare tempo e risorse in vulnerabilità a basso rischio. 

Per stabilire le priorità delle vulnerabilità, il team considera i seguenti criteri:

  • Valutazioni di criticità fornite da informazioni esterne sulle minacce: possono includere l'elenco delle Common Vulnerabilities and Exposures (CVE) del MITRE o il Common Vulnerability Scoring System (CVSS ).

  • Criticità degli asset: Una vulnerabilità non critica in un asset critico spesso riceve una priorità maggiore rispetto a una vulnerabilità critica in un asset meno importante. 

  • Impatto potenziale: il team di sicurezza valuta cosa potrebbe accadere se gli hacker sfruttassero una particolare vulnerabilità, compresi gli effetti sulle operazioni aziendali, le perdite finanziarie e qualsiasi possibilità di azione legale.

  • Probabilità di sfruttamento: il team di sicurezza presta maggiore attenzione alle vulnerabilità con exploit noti che gli hacker utilizzano attivamente in natura.

  • Falsi positivi: Il team di sicurezza si assicura che le vulnerabilità esistano effettivamente prima di dedicare loro delle risorse.

Fase 3: risoluzione della vulnerabilità

 

Il team di sicurezza lavora attraverso l'elenco delle vulnerabilità prioritarie, dalla più critica alla meno critica. Le organizzazioni hanno tre opzioni per affrontare le vulnerabilità:

  1. Correzione: risolvere completamente una vulnerabilità in modo che non possa più essere sfruttata, ad esempio applicando una patch a un bug del sistema operativo, correggendo una configurazione errata o rimuovendo un asset vulnerabile dalla rete. La correzione non è sempre fattibile. Per alcune vulnerabilità, le correzioni complete non sono disponibili al momento della scoperta (ad esempio, vulnerabilità zero-day). Per altre vulnerabilità, la correzione sarebbe troppo dispendiosa in termini di risorse.

  2. Mitigazione: Rendere una vulnerabilità più difficile da sfruttare o ridurne l'impatto senza rimuoverla completamente. Ad esempio, l'aggiunta di misure di autenticazione e autorizzazione più rigorose a un'applicazione Web renderebbe più difficile per gli hacker dirottare gli account. L'elaborazione di piani di risposta agli incidenti per le vulnerabilità identificate può attenuare il colpo degli attacchi informatici. Di solito i team di sicurezza scelgono di adottare misure di mitigazione quando la correzione è impossibile o eccessivamente costosa. 

  3. Accettazione: Alcune vulnerabilità hanno un impatto così basso o sono improbabili da sfruttare che risolverle non sarebbe conveniente. In questi casi, l'organizzazione può scegliere di accettare la vulnerabilità.

Fase 4: Verifica e monitoraggio

 

Per verificare che gli sforzi di mitigazione e riparazione abbiano funzionato come previsto, il team di sicurezza esegue nuovamente la scansione e riprova le risorse su cui ha appena lavorato. Questi controlli hanno due scopi principali: determinare se il team di sicurezza ha affrontato con successo tutte le vulnerabilità note e garantire che la mitigazione e la correzione non abbiano introdotto nuovi problemi.

Nell'ambito di questa fase di rivalutazione, il team di sicurezza monitora anche la rete in modo più ampio. Il team cerca eventuali nuove vulnerabilità dopo l'ultima scansione, vecchie mitigazioni che sono diventate obsolete o altre modifiche che potrebbero richiedere un'azione. Tutte queste scoperte contribuiscono a orientare la fase successiva del ciclo di vita.

Fase 5: Reporting e miglioramento

 

Il team di sicurezza documenta l'attività dell'ultimo ciclo di vita, comprese le vulnerabilità rilevate, le misure di risoluzione adottate e i risultati. Questi report vengono condivisi con le parti interessate, tra cui dirigenti, proprietari di asset, dipartimenti di conformità e altri. 

Il team di sicurezza riflette anche su come è andato l'ultimo round del ciclo di vita. Il team può esaminare metriche chiave come il tempo medio di rilevamento (MTTD), il tempo medio di risposta (MTTR), il numero totale di vulnerabilità critiche e i tassi di recidiva delle vulnerabilità. Monitorando queste metriche nel tempo, il team di sicurezza può stabilire una linea di base per le prestazioni del programma di gestione delle vulnerabilità e identificare le opportunità per migliorare il programma nel tempo. Le lezioni apprese da una fase del ciclo di vita possono rendere più efficace la fase successiva.
Soluzioni correlate
Soluzioni di sicurezza aziendale

Trasforma il tuo programma di sicurezza con le soluzioni offerte dal più grande provider di sicurezza aziendale.

 Esplora le soluzioni di cybersecurity
Servizi di cybersecurity

Trasforma il tuo business e gestisci i rischi con la consulenza sulla cybersecurity, il cloud e i servizi di sicurezza gestiti.

         Scopri i servizi di sicurezza informatica
    Cybersecurity dell'intelligenza artificiale (AI)

    Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni di cybersecurity basate sull'AI.

         Esplora la cybersecurity dell'AI
    Fai il passo successivo

    Che tu abbia bisogno di soluzioni di sicurezza dei dati, di gestione degli endpoint, o di gestione delle identità e degli accessi (IAM), i nostri esperti sono pronti a collaborare con te per farti raggiungere un solido livello di sicurezza.Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.

         Esplora le soluzioni di cybersecurity Scopri i servizi di cybersecurity