Diverse violazioni, inclusa quella del 2017 ai danni dell’agenzia di segnalazione del credito Equifax, sono state ricondotte a vulnerabilità senza patch; uno studio Tripwire del 2019 ha rilevato che il 27% di tutte le violazioni era causato da vulnerabilità senza patch, mentre una ricerca di Ponemon del 2018 ha alzato questa percentuale addirittura al 60%.

Ciò non dovrebbe sorprendere nessuno nel settore della sicurezza, visto che il numero di vulnerabilità identificate ogni anno è aumentato in modo esponenziale. Allo stesso tempo, i team di sicurezza sono stati ridotti al minimo poiché impegnati a consentire il lavoro a distanza nella massima sicurezza possibile e ad affrontare altre esigenze legate alla pandemia, il tutto nel bel mezzo di una crisi di personale.

Di conseguenza, il miglioramento del programma di gestione delle vulnerabilità non è sempre una priorità assoluta. Tuttavia, i leader della sicurezza più esperti affermano di assistere ancora a errori e passi falsi che possono e devono essere affrontati per rafforzare questi programmi. Ecco i 10 errori che i CISO commettono ancora frequentemente.

Non riuscire a ottenere il sostegno dei dirigenti

Il lavoro richiesto per un buon programma di gestione delle vulnerabilità va ben oltre il team di sicurezza. Le decisioni sui rischi richiedono infatti anche il contributo dei dirigenti, l’applicazione di patch richiede competenze IT e i tempi di inattività programmati per gli aggiornamenti influiscono su più funzioni aziendali.

Di conseguenza, i CISO hanno bisogno del consenso di più attori dell’organizzazione per svolgere bene questo compito, ed è più probabile che ottengano tale consenso quando hanno il supporto dei leader più anziani dell’impresa, afferma Michael Gray, CTO del fornitore di servizi gestiti Thrive.

Ecco perché i CISO che non dispongono del supporto a livello dirigenziale per i loro sforzi di gestione della vulnerabilità possono essere ostacolati dalla mancanza di chiarezza sui rischi accettabili e dal rifiuto delle unità IT e business di fronte alla pianificazione delle patch e ai tempi di inattività del sistema.

Ci sono però delle buone notizie. Gray e altri affermano che i CISO trovano sempre più spesso il supporto esecutivo di cui hanno bisogno, poiché la sicurezza informatica è diventata una preoccupazione anche nei consigli di amministrazione. I dati di Gartner confermano questa tendenza, con l’88% dei consigli di amministrazione che ora considera la sicurezza informatica un rischio aziendale.

Non favorire un senso di responsabilità condivisa

“I CISO si assumono la responsabilità o il rischio per la gestione delle vulnerabilità: non dovrebbero farlo”, afferma Alex Attumalil, CISO di Under Armour. I CISO non possiedono i sistemi o le funzioni aziendali che supportano, né hanno l’autorità per determinare esclusivamente se l’organizzazione è a proprio agio nell’accettare un rischio particolare.

“Non siamo autorizzati ad accettare rischi per conto dell’azienda. Quindi dobbiamo affidarci interamente alle informazioni e ciò richiede la comunicazione del rischio ad altri leader aziendali, inquadrando la gestione delle vulnerabilità in termini di rischio aziendale e consentendo loro di essere parte della soluzione. I leader devono sapere che sono responsabili delle vulnerabilità che i loro sistemi stanno introducendo”.

Attumalil afferma che questo approccio offre ai dirigenti aziendali al di là del CISO una partecipazione che crea maggiore supporto e collaborazione quando si tratta di attività di gestione delle vulnerabilità, come nel caso della pianificazione dei tempi di inattività del sistema per l’applicazione di patch.

windows 10

Considerare una priorità generica del rischio

Uno studio recente condotto da Pulse per il fornitore di sicurezza Vulcan Cyber ha mostrato che la stragrande maggioranza degli oltre 200 dirigenti IT e sicurezza aziendali non assegna priorità alle vulnerabilità in base ai profili di rischio esclusivi della propria organizzazione. Più specificamente, lo studio ha rivelato che l’86% si affida a dati sulla gravità delle vulnerabilità di terze parti per dare priorità alle vulnerabilità, con il 70% che utilizza anche informazioni sulle minacce di terze parti.

I leader della sicurezza veterani mettono in guardia contro questo approccio, che potrebbe portare i CISO e i loro team a concentrare risorse limitate sulle minacce sbagliate. Kyle Lai, presidente e CISO di KLC Consulting, raccomanda un approccio diverso, affermando che i CISO e i loro team devono comprendere l’ambiente tecnologico dell’organizzazione,  disporre di un inventario delle risorse aggiornato e comprendere la propensione al rischio e la tolleranza al rischio dell’organizzazione, in modo da poter identificare le minacce più grandi per la propria impresa e dare a queste la priorità.

“I CISO dovrebbero avere una precisa comprensione dell’impatto che potrebbe avere una particolare minaccia e dovrebbero sapere quali sono quelle più serie e pericolose. Dovrebbero anche stabilire le priorità in base all’impatto sulla loro organizzazione”, afferma Lai.

Lesinare sulla formazione

Bryan Willett, CISO di Lexmark International, riconosce che le competenze per l’applicazione di patch ai sistemi Linux variano da quelle necessarie per l’applicazione di patch a Windows e tali competenze differiscono da quelle richieste per eseguire altre attività all’interno del suo programma di gestione delle vulnerabilità. Inoltre, afferma che la conoscenza di cui i suoi addetti alla sicurezza hanno bisogno per la gestione delle vulnerabilità è diversa da quella di cui hanno bisogno gli operatori IT per applicare le patch ai sistemi reali.

Resta il fatto che secondo i leader della sicurezza non tutte le organizzazioni sono impegnate a fornire la formazione continua di cui i dipendenti hanno bisogno. Gli esperti affermano che le organizzazioni a volte sottovalutano la quantità di specializzazione richiesta dalle attività di gestione delle vulnerabilità o trascurano la necessità che i lavoratori siano formati sui sistemi o gli strumenti specifici utilizzati all’interno della propria impresa. “La cosa che tutti devono ricordare è che i dipendenti vogliono fare la cosa giusta, ma dobbiamo investire su di essi perché siano in grado di fare la cosa giusta”, aggiunge Willett.

Mancato monitoraggio del codice

Una ricerca della Linux Foundation mostra che un numero crescente di organizzazioni utilizza una distinta base del software (SBOM) per comprendere meglio tutto il codice che hanno all’interno dei loro sistemi. Più specificamente, il report indica che il 47% sta producendo o utilizzando queste distinte e che il 78% delle organizzazioni prevede di produrre o utilizzare SBOM nel 2022 rispetto al 66% nel 2021.

Sebbene le cifre mostrino un aumento dell’uso di SBOM, indicano anche che molte organizzazioni potrebbero non essere in grado di conoscere tutto il codice che hanno nel loro ambiente IT. E questa mancanza di visibilità limita la loro capacità di sapere se hanno vulnerabilità che devono essere affrontate. “Dovete sapere quale codice e quali componenti open source avete, in modo che quando si verifica una grave vulnerabilità come Log4J sappiate già dove questa possa colpire”, continua Lai.

Rinviare gli aggiornamenti

Sebbene la gestione delle vulnerabilità sia un compito senza fine, potrebbe essere integrata in un programma più efficace affrontando il debito tecnico, afferma Joe Nocera, leader del Cyber & Privacy Innovation Institute presso la società di servizi professionali PwC.

Come spiega Nocera, “più posso dismettere versioni legacy, meno devo gestire in termini di vulnerabilità. Ecco perché penso che la semplificazione e il consolidamento siano il miglior moltiplicatore di forza che possiate ottenere”. Nocera riconosce che dismettere i sistemi legacy e affrontare il debito tecnico non elimina, ovviamente, le vulnerabilità. Ma l’eliminazione dei sistemi legacy rimuove un po’ di lavoro e può liberare l’azienda da sistemi che non possono più essere riparati o aggiornati, riducendo così i rischi.

cyber-security-ciso-business

Eliminando questi problemi, i team di sicurezza e le loro controparti IT possono spostare l’attenzione sulle restanti priorità, rendendo il programma molto più efficace e di impatto. Nonostante i vantaggi di questo approccio, un buon numero di organizzazioni non lo considera una priorità. Il 2022 Endpoint Management and Security Trends Report di Action1 Corp., produttore di una piattaforma cloud di monitoraggio e gestione remota, ha rilevato infatti che solo il 34% degli intervistati intende concentrarsi sull’eliminazione del software legacy rischioso che hanno sostituito con alternative cloud.

Ignorare le notizie sulle minacce emergenti

I primi avvisi su nuove vulnerabilità o minacce emergenti spesso arrivano attraverso brevi bollettini privi di molti dettagli. Nonostante le informazioni limitate che accompagnano questi primi rapporti, Lai afferma che i team di sicurezza non dovrebbero trascurare la loro importanza. In effetti, è fondamentale tenere traccia di notizie da varie fonti di sicurezza per sapere cosa ci sia all’orizzonte in termini di rischi e vulnerabilità.

“Dovete prestare attenzione a ciò che sta succedendo là fuori. Queste notizie potrebbero offrire pochissimi dettagli, ma questo tipo di intelligenza aiuta a prepararvi meglio”, afferma Lai. “In questo modo potete iniziare a lavorare o a pianificare.”

Reagire a ogni nuova minaccia

Dall’altra parte però Erik Nost, analista senior di Forrester Research, mette in guardia i CISO dal reagire a questi bollettini senza prima valutare se e in che misura potrebbero avere un impatto sulle proprie organizzazioni. “Molti CISO stanno ancora imparando a gestire gli zero days e le vulnerabilità che fanno più notizia. Scegliere le notizie sensazionalistiche e le vulnerabilità che rappresentano una vera minaccia per la loro organizzazione è ancora una sfida, ma chiedere ai team di dare la priorità alla correzione di tutto ciò che finisce nella loro casella di posta o che il CEO vede nei titoli delle notizie non è l’approccio giusto”.

Nost indica una recente analisi della Cornell University che mostra come le APT (minacce persistenti avanzate) abbiano maggiori probabilità di sfruttare vulnerabilità note rispetto a quelle zero days. “I CISO dovrebbero anche tenere conto degli attori delle minacce e considerare se è probabile che le APT prendano di mira le loro organizzazioni”. Nost sostiene inoltre che i team di sicurezza dovrebbero considerare gli exploit attivi come “un fattore di priorità migliore da considerare rispetto a ciò di cui parlano i media”.

Affidarsi a informazioni obsolete

Il sondaggio di Gartner non solo ha mostrato che la maggior parte dei consigli di amministrazione ora considera la sicurezza informatica un rischio, ma ha anche rilevato che la maggioranza (57%) ha aumentato o prevede di aumentare la propria propensione al rischio durante il periodo 2021-2022. Allo stesso tempo, il numero di nuove vulnerabilità individuate continua a crescere anno dopo anno.

Nel loro insieme, questi fattori illustrano la necessità per i CISO di sviluppare processi per dare priorità alle mitigazioni e alla correzione della vulnerabilità. “Troppo spesso le aziende non sono brave a gestire il ciclo di vita delle vulnerabilità”, afferma Gray. “È un ciclo sempre in crescita e in continua evoluzione ed è qualcosa a cui bisogna prestare costantemente attenzione”.

Non incorporare la sicurezza nello sviluppo

Nocera afferma che un numero insufficiente di organizzazioni sta incorporando sicurezza e principi di progettazione protetti nel processo di sviluppo, portando a un’opportunità mancata per CISO e CIO di costruire insieme un programma di gestione della vulnerabilità più solido per le loro organizzazioni.

Portare la sicurezza nel processo di sviluppo consente ai CISO di anticipare i problemi di sicurezza prima che il codice entri in produzione, afferma Nocera. Ciò non ridurrà necessariamente la quantità di lavoro di gestione delle vulnerabilità, ma, come accade per l’eliminazione dei sistemi legacy e del debito tecnico, libera risorse in modo che i team possano ottimizzare i propri sforzi di gestione delle vulnerabilità.