Che cos'è la scansione delle vulnerabilità?

Nella maggior parte delle organizzazioni di oggi, le scansioni delle vulnerabilità sono completamente automatizzate. Strumenti specializzati di scansione delle vulnerabilità trovano e segnalano i difetti che il team di sicurezza deve esaminare.

Lo sfruttamento delle vulnerabilità è uno dei vettori di attacco informatico più comuni, secondo l'X-Force Threat Intelligence Index di IBM®. La scansione delle vulnerabilità aiuta le organizzazioni a individuare e chiudere i punti deboli della sicurezza prima che i criminali informatici possano utilizzarli come armi. Per questo motivo, il Center for Internet Security (CIS) considera la gestione continua delle vulnerabilità, compresa la scansione automatizzata delle vulnerabilità, una pratica fondamentale per la cybersecurity.

Per vulnerabilità della sicurezza si intende qualsiasi debolezza nella struttura, funzione o implementazione di un asset IT o di una rete. Gli hacker o altri attori possono sfruttare queste debolezze per ottenere l'accesso non autorizzato e causare danni alla rete, agli utenti o all'azienda. Le vulnerabilità più comuni includono:

• difetti di codifica, come app web soggette a cross-site scripting, SQL injection e altri attacchi injection a causa del modo in cui vengono gestiti gli input degli utenti;
  
  
• porte aperte non protette in server, laptop e altri endpoint che gli hacker possono utilizzare per distribuire malware;
  
  
• configurazioni errate, come un bucket di storage cloud con autorizzazioni di accesso inappropriate che espongono dati sensibili alla rete internet pubblica;
  
  
• patch mancanti, password deboli o altre carenze nell'igiene della cybersecurity.
  

Ogni mese vengono scoperte migliaia di nuove vulnerabilità. Due agenzie di governo degli Stati Uniti gestiscono cataloghi ricercabili di vulnerabilità di sicurezza note, il National Institute of Standards and Technology (NIST) e la Cybersecurity and Infrastructure Security Agency (CISA).

Sfortunatamente, anche se le vulnerabilità vengono accuratamente documentate una volta scoperte, gli hacker e altri autori di minacce spesso le scoprono per primi, cogliendo così di sorpresa le organizzazioni.

Per adottare un livello di sicurezza più proattivo di fronte a queste minacce informatiche, i team IT implementano programmi di gestione delle vulnerabilità. Questi programmi seguono un processo continuo per identificare e risolvere i rischi per la sicurezza prima che gli hacker possano sfruttarli. Le scansioni delle vulnerabilità sono in genere il primo passo nel processo di gestione delle vulnerabilità, in quanto individuano i punti deboli della sicurezza che i team IT e addetti alla sicurezza devono affrontare.

Molti team addetti alla sicurezza utilizzano anche scansioni delle vulnerabilità per:

• convalidare le misure e i controlli di sicurezza: dopo aver messo in atto nuovi controlli, i team spesso eseguono un'altra scansione. per confermare che le vulnerabilità identificate siano state risolte. Questa scansione conferma inoltre che le attività di correzione non abbiano introdotto problemi nuovi;
   
   

• mantenere la conformità normativa: alcune normative richiedono esplicitamente scansioni di vulnerabilità. Ad esempio, il Payment Card Industry Data Security Standard (PCI-DSS) impone che le organizzazioni che gestiscono i dati dei titolari di carta siano sottoposte a scansioni trimestrali.

Tra app cloud e on-premise, dispositivi mobili e IoT, laptop e altri endpoint tradizionali, le moderne reti aziendali contengono troppi asset per eseguire scansioni manuali delle vulnerabilità. Invece, i team addetti alla sicurezza utilizzano scanner di vulnerabilità per condurre scansioni automatizzate su base ricorrente.

Per individuare potenziali vulnerabilità, gli scanner raccolgono innanzitutto informazioni sugli asset IT. Alcuni scanner utilizzano agenti installati sugli endpoint per raccogliere dati sui dispositivi e sul software in esecuzione su di essi. Altri scanner esaminano i sistemi dall'esterno, sondando le porte aperte per scoprire dettagli sulle configurazioni dei dispositivi e sui servizi attivi. Alcuni scanner eseguono test più dinamici, ad esempio tentando di accedere a un dispositivo che utilizza credenziali predefinite.

Dopo avere scansionato gli asset, lo scanner li confronta con un database di vulnerabilità che registra le vulnerabilità e le esposizioni comuni (CVE, Common Vulnerabilities and Exposures) per varie versioni hardware e software. Alcuni scanner si affidano a fonti pubbliche come i database NIST e CISA, mentre altri utilizzano database proprietari.

Lo scanner controlla se le risorse mostrano segni delle falle ad esse associate, ad esempio bug del protocollo di desktop remoto in un sistema operativo che potrebbero consentire agli hacker di assumere il controllo del dispositivo. Gli scanner possono anche controllare le configurazioni di un asset rispetto a un elenco di best practice di sicurezza, ad esempio garantendo che siano in atto criteri di autenticazione adeguatamente rigorosi per un database sensibile.

Successivamente, lo scanner compila un rapporto sulle vulnerabilità identificate che il team addetto alla sicurezza deve esaminare. I report più semplici elencano tutti i problemi di sicurezza che devono essere risolti. Alcuni scanner possono fornire spiegazioni dettagliate e confrontare i risultati della scansione con le scansioni precedenti per tenere traccia della gestione delle vulnerabilità nel tempo.

Gli scanner più avanzati assegnano inoltre la priorità alle vulnerabilità in base alla criticità. Gli scanner possono utilizzare threat intelligence open source, come i punteggi CVSS (Common Vulnerability Scoring System), per giudicare la criticità di un difetto. In alternativa, possono utilizzare algoritmi più complessi che considerano il difetto nel contesto unico dell'organizzazione. Questi scanner possono anche suggerire metodi di correzione e mitigazione per ciascun difetto.

I rischi per la sicurezza di una rete cambiano con l'aggiunta di nuovi asset e la scoperta di nuove vulnerabilità. Tuttavia, ogni scansione delle vulnerabilità può identificare esclusivamente un momento nel tempo. Per stare al passo con l’evoluzione del panorama delle minacce informatiche, le organizzazioni effettuano scansioni regolarmente.

La maggior parte delle scansioni di vulnerabilità non esamina tutti gli asset di rete in una volta sola, poiché ciò richiederebbe molto tempo e risorse. Piuttosto, i team addetti alla sicurezza spesso raggruppano gli asset in base alla criticità e le scansionano in batch. Gli asset più critici possono essere sottoposti a scansione settimanale o mensile, mentre quelli meno critici potrebbero essere sottoposti a scansione trimestrale o annuale.

I team che si occupano della sicurezza possono anche eseguire scansioni ogni volta che si verificano modifiche importanti alla rete, come l'aggiunta di nuovi server web o la creazione di un nuovo database sensibile.

Alcuni scanner di vulnerabilità avanzati offrono una scansione continua. Questi strumenti monitorano gli asset in tempo reale e segnalano le nuove vulnerabilità quando si presentano. Tuttavia la scansione continua non è sempre fattibile o opportuna. Scansioni di vulnerabilità più approfondite possono interferire con le prestazioni della rete, pertanto alcuni team IT potrebbero preferire eseguire scansioni periodiche.

Esistono molti tipi diversi di scanner e spesso i team addetti alla sicurezza utilizzano una combinazione di strumenti per ottenere un quadro completo delle vulnerabilità della rete.

Alcuni scanner si concentrano su particolari tipi di asset. Ad esempio, gli scanner del cloud si concentrano sui cloud service, mentre gli strumenti di scansione delle applicazioni web cercano le falle nelle applicazioni web.

Gli scanner possono essere installati localmente o forniti come app software-as-a-service (SaaS). Sono comuni sia gli scanner di vulnerabilità open source che gli strumenti a pagamento. Alcune organizzazioni affidano interamente la scansione delle vulnerabilità a fornitori di servizi di terze parti.

Sebbene gli scanner di vulnerabilità siano disponibili come soluzioni autonome, i fornitori li offrono sempre più come parte di suite olistiche di gestione delle vulnerabilità. Questi strumenti combinano diversi tipi di scanner con la gestione della superficie di attacco, la gestione degli asset, la gestione delle patch e altre funzioni chiave in un'unica soluzione.

Molti scanner supportano integrazioni con altri strumenti di cybersecurity, come i sistemi di gestione delle informazioni e degli eventi di sicurezza (Security Information and Event Management Systems, SIEM)e gli strumenti di rilevamento e risposta degli endpoint (EDR).

I team addetti alla sicurezza possono eseguire diversi tipi di scansioni a seconda delle loro esigenze. Alcuni dei tipi più comuni di scansioni di vulnerabilità includono:

• le scansioni di vulnerabilità esterne: esaminano la rete dall'esterno, si concentrano sui difetti degli asset connessi a Internet come le app web e testano i controlli perimetrali come i firewall. Queste scansioni mostrano come un hacker esterno possa entrare in una rete;
   

• le scansioni delle vulnerabilità interne: esaminano le vulnerabilità dall'interno della rete e fanno luce su cosa potrebbe fare un hacker se entrasse, compreso il modo in cui potrebbe spostarsi lateralmente e le informazioni sensibili che potrebbe rubare in una violazione dei dati;
   

• le scansioni autenticate, chiamate anche "scansioni accreditate": richiedono i privilegi di accesso di un utente autorizzato. Invece di guardare semplicemente un'app dall'esterno, lo scanner può vedere ciò che vedrebbe un utente registrato. Queste scansioni illustrano cosa potrebbe fare un hacker con un account compromesso o come una minaccia interna potrebbe causare danni;
   

• le scansioni non autenticate, chiamate anche "scansioni non accreditate": non dispongono di autorizzazioni di accesso o privilegi, vedono gli asset solo dal punto di vista di un estraneo. I team addetti alla sicurezza possono eseguire scansioni interne ed esterne non autenticate.

Sebbene ogni tipo di scansione abbia i suoi casi d'uso, vi sono alcune sovrapposizioni e possono essere combinati per scopi diversi. Ad esempio, una scansione interna autenticata mostrerebbe la prospettiva di una minaccia interna. Al contrario, una scansione interna non autenticata mostrerebbe ciò che un hacker malintenzionato vedrebbe se riuscisse a superare il perimetro della rete.

La scansione delle vulnerabilità e i test di penetrazione sono forme distinte ma correlate di test di sicurezza della rete. Pur avendo funzioni diverse, molti team addetti alla sicurezza le utilizzano come complemento.

Le scansioni delle vulnerabilità sono scansioni automatizzate di alto livello degli asset. Trovano le falle e le segnalano al team addetto alla sicurezza. I test di penetrazione, o pen test, sono un processo manuale. I pen tester utilizzano skill di hacking etico non solo per trovare le vulnerabilità della rete, ma anche per sfruttarle in attacchi simulati.

Le scansioni delle vulnerabilità sono più economiche e più facili da eseguire, quindi i team che si occupano della sicurezza le utilizzano per tenere sotto controllo un sistema. I test di penetrazione richiedono più risorse ma possono aiutare i team addetti alla sicurezza a comprendere meglio i difetti di rete.

Utilizzati insieme, le scansioni delle vulnerabilità e i pen test possono rendere la gestione delle vulnerabilità più efficace. Ad esempio, le scansioni delle vulnerabilità forniscono ai pen tester un utile punto di partenza. Nel frattempo, i test di penetrazione possono aggiungere più contesto ai risultati della scansione scoprendo falsi positivi, identificando le cause principali e analizzando come i criminali informatici possono collegare tra di loro le vulnerabilità per generare attacchi più complessi.