Siamo pronti a una gestione delle vulnerabilità rivoluzionaria nell’era del lavoro a distanza?
Dopo aver vissuto il periodo del lockdown, chi è abbastanza fortunato da lavorare in sicurezza da casa dovrebbe riflettere sulla vastità delle minacce digitali cui siamo esposti. Innumerevoli predatori si aggirano, cercando di aggredirci nel nostro yisolamento con assalti virtuali che interrompono il percorso di innovazione che stiamo cercando, così duramente, di preservare.
Lavorando in remoto si è esposti a cybercriminali pronti a sfruttare le vulnerabilità nel nostro software. Persino il collaboratore più giovane di un team IT sa che gli sviluppatori sono instancabilmente all’opera per colmare queste lacune, rilasciando regolarmente patch da installare, e che la soluzione è semplice – bisogna assicurarsi che tutto il software sia costantemente aggiornato.
La sfida da affrontare, soprattutto nella dinamica del lavoro a distanza in cui ci troviamo ora, è la complessità del compito. Anche in circostanze ideali, in cui tutti i dipendenti lavorano nello stesso edificio, autenticandosi allo stesso server fisico, vi sono problematiche da affrontare. Molte delle soluzioni endpoint in uso non interoperano in modo efficace, causando falsi positivi e ritardi nel rilevamento e nella risposta.
Aggiungendo decine, centinaia – forse migliaia – di dispositivi non monitorati, di proprietà dei dipendenti che interagiscono quotidianamente con l’ambiente aziendale, si complica il compito. La piattaforma di finanza decentralizzata Lendf.me, per citare un esempio, ha di recente scoperto che le vulnerabilità del software non sono qualcosa da sottovalutare subendo una perdita di 25 milioni di dollari per mano di criminali informatici che hanno sfruttato una lacuna nella protezione.
Analizziamo cosa serve
Ciò che serve è una maggiore visibilità, un reporting più completo, un monitoraggio più intelligente e un’orchestrazione nella risposta più efficace. È necessario collezionare dati dall’ambiente digitale e sovrapporvi informazioni di intelligence; ed è necessario che tutto questo sia, ove possibile, automatizzato. Serve unire la gestione delle vulnerabilità con il rilevamento e la risposta in tempo reale per massimizzare le tattiche di sicurezza informatica in un’unica strategia coerente: gestione delle vulnerabilità (Vulnerability Management), rilevamento (Detection) e risposta (Response) o VMDR.
L’approccio VMDR inizia esaminando le quattro fasi della gestione delle vulnerabilità. Partendo dalla visibilità, perché non è possibile proteggere le proprie risorse se non si sa della loro esistenza. Decenni di aggiornamenti ad applicazioni e piattaforme; nuove installazioni; l’ascesa del cloud e del data center; l’emergere di dispositivi mobili e ambienti virtuali. Questa biodiversità digitale aggiunge più livelli di complessità al panorama IT. Come comprendere appieno questi ecosistemi tentacolari? Come si crea un inventario globale delle risorse?
La seconda fase è la valutazione della vulnerabilità. Tutto ciò che si trova all’interno del proprio ambiente digitale è un potenziale vettore di compromissione: ogni hardware, ogni applicazione e ogni dipendente. Una volta censito il tutto si è solo all’inizio. Come si stabiliscono gli stati degli aggiornamenti per ogni entità? Come si fa a sapere quali patch sono state applicate e quali no?
In terzo luogo, passiamo alla definizione delle priorità (prioritizzazione): come gestire la quantità di vulnerabilità rilevate? Supponendo che non si disponga di infinite ore di lavoro a disposizione, è necessario assegnare delle priorità al rimedio. È necessario correlare le falle con il maggiore impatto aziendale potenziale con quelle che sono più frequentemente sfruttate dagli attaccanti.
Tenendo a mente che gli attaccanti perseguono il valore: preferiscono spesso sfruttare vulnerabilità datate ma tuttora pericolose e che possono dare risultati migliori più a buon mercato, rispetto alla ricerca e l’investimento necessari per sfruttare vulnerabilità zero-day.
E quarto, il Rimedio. Come si decide tra l’applicazione di patch e modificare la configurazione? E che strategie attuare quando si verifica un attacco?
È importante mettere tutto insieme
La sfida del processo VMDR deriva dalla frammentazione dei quattro passaggi, sovente suddivisi tra i team IT, di sicurezza ed eventualmente compliance; tutti potenzialmente dotati di soluzioni proprie e separate. Ma se consideriamo una singola piattaforma che unifichi i flussi di lavoro di queste diverse funzioni (IT, sicurezza e compliance), allora siamo sulla strada per innovare la postura di sicurezza in modo davvero rivoluzionario. Identificare, prioritizzare rimediare le vulnerabilità più critiche in tempo reale, su scala globale, attraverso diversi ecosistemi tecnologici, dovrebbe essere l’obiettivo finale.
VMDR identifica automaticamente i dispositivi, in tutto il panorama digitale, in tempo reale, consentendo alle aziende un aggiornamento puntuale degli inventari globali delle risorse IT. I team possono rilevare in modo affidabile vulnerabilità del software, certificati obsoleti e configurazioni errate e assegnare loro una priorità di rimedio. Immaginiamo di avere più visualizzazioni dell’ambiente e degli eventi al suo interno, in base al ruolo aziendale: visualizzazioni delle vulnerabilità per “anzianità di detection” e gravità; monitoraggio delle patch nel tempo; immagini del cloud; rapporti istantanei sulla conformità con le policy delle persone che lavorano in remoto. VMDR consente di gestire tutto questo.
Raccogliendo metadati su tutto ciò che facciamo e su tutto ciò che accade all’interno dei nostri ambienti e confrontandoli con una ricerca meticolosa sulle vulnerabilità e la loro attaccabilità, è possibile raggiungere una rappresentazione più chiara dello stato di sicurezza. Se a ciò si sommano servizi di cyberthreat intelligence strategica sulle minacce informatiche, il quadro diventa ancora più chiaro. Includendo informazioni sulla georeferenziazione di dispositivi e applicazioni, l’immagine diventa nitida. In VMDR, il contesto è tutto, quando si cerca di fornire informazioni utilizzabili in tempo reale.
Presentando questi dati in modo visivamente efficace e consumabile, definire le priorità diventa più facile.
Ciò che si apre è un mondo di processi decisionali agili e mitigazione mirata attraverso una biosfera digitale di dispositivi locali, cloud, mobili, application container, applicazioni Web e API.
Come tale, VMDR ha un ritorno molto più efficace rispetto alle più tradizionali soluzioni basate su metriche di rischio CVSS, che tendono a fornire un falso senso di sicurezza perché operano senza considerare la storicità del dato.
Visione compiuta
On premise, cloud, ibrido – non importa. Virtuale o fisico – non importa. PC controllati e aziendali o dispositivi personali di dipendenti – non importa. Tutti sono visibili; tutti sono gestibili; tutti possono essere adeguatamente protetti per la soddisfazione delle linee di business e delle funzioni IT, Sicurezza e Compliance.
Guardando al futuro, che probabilmente vedrà l’incremento della digitalizzazione della vita professionale e personale di tutti, quanto saranno sicure le risorse digitali? Gli ambienti saranno pieni di bug o messi in sicurezza e pronti a partire? Per ulteriori informazioni consultare www.qualys.com.
di Marco Rottigni, Chief Technical Security Officer EMEA presso Qualys