La scienza e la tecnologia alla base della gestione delle vulnerabilità sono cambiate molto in breve tempo. Quando sono state implementate originariamente, le società di gestione delle vulnerabilità hanno agito quasi come fornitori di antivirus in quanto hanno cercato di far scoprire ai propri scanner quante più minacce potenziali possibile. Si sarebbero persino vantati di essere in grado di rilevare più vulnerabilità nascoste rispetto ai loro concorrenti.

Il problema con questa logica è che, a differenza dei virus e di altri tipi di malware, le vulnerabilità sono solo potenzialmente un problema. Affinché una vulnerabilità sia veramente pericolosa, deve essere infatti accessibile a un utente malintenzionato e relativamente facile da sfruttare. Quindi, una vulnerabilità che risiede su una risorsa interna non è una minaccia potenziale, né è una che richiede componenti aggiuntivi come l’accesso sicuro ad altri servizi di rete. Sapere cosa è veramente pericoloso è importante, in modo da poter pianificare cosa aggiustare ora e cosa rimandare a più tardi o addirittura ignorare.

È anche utile classificare le vulnerabilità in base al loro potenziale impatto nel caso in cui vengano sfruttate. Ciò include la potenziale gravità dell’exploit come la cancellazione di un intero database rispetto al blocco di un singolo utente e il valore delle risorse interessate. Il defacing del vostro sito web pubblico è imbarazzante, ma il furto di dati riservati è qualcosa di molto più critico.

I migliori programmi di gestione delle vulnerabilità dovrebbero aggiungere contesto alle scansioni. Alcuni offrono persino soluzioni, formazione o assistenza preventiva utilizzando l’intelligenza artificiale. È anche importante comprendere gli standard di conformità, i mandati legali e le best practice che si applicano all’organizzazione che avvia la scansione. Con potenzialmente migliaia di vulnerabilità nascoste in qualsiasi rete aziendale di grandi dimensioni, è l’unico modo in cui è possibile assegnare priorità in modo affidabile alle correzioni.

Ecco cinque dei migliori strumenti di gestione delle vulnerabilità disponibili sul mercato.

Kenna Security Vulnerability Management

La piattaforma Kenna Security Vulnerability Management è stata una delle prime a incorporare dati sulle minacce in tempo reale nella gestione delle vulnerabilità diversi anni fa. Da allora, la piattaforma si è espansa per includere più feed di minacce, incluso uno che l’azienda gestisce specificamente sulla base delle reti dei suoi clienti.

Kenna non esegue autonomamente alcuna scansione. Fornisce invece programmi di connessione che consentono di acquisire dati da quasi tutti gli scanner di vulnerabilità, inclusi quelli realizzati da Tripwire, Qualys, McAfee e CheckMarx. La piattaforma stessa viene distribuita come servizio, con i clienti che accedono a un portale cloud per controllare le loro informazioni e per dare a Kenna il permesso di conoscere la rete che sta proteggendo.

L’idea alla base di Kenna è raccogliere i numerosi avvisi di vulnerabilità inviati dagli scanner e quindi confrontarli con i dati sulle minacce in tempo reale. Può ricollegare una vulnerabilità scoperta a una campagna di minacce attive che la sta sfruttando e dare la priorità a una soluzione rapida. Qualsiasi vulnerabilità sfruttata nel mondo viene automaticamente elevata in priorità, in modo che si possano risolvere i problemi più pericolosi prima che gli aggressori li scoprano e li sfruttino.

La piattaforma spiega bene perché esistono vulnerabilità in una rete protetta e fornisce suggerimenti su come risolverle. Può dare la priorità ai difetti scoperti in base alle risorse che potrebbero influenzare e alla gravità del problema. Questa è una caratteristica decisamente utile, ma la priorità delle vulnerabilità basata su campagne di minacce attive è l’asso nella manica che rende la piattaforma di Kenna una delle migliori nell’evidenziare problemi critici che devono essere assolutamente risolti per primi.

Flexera Vulnerability Manager

Mentre molti gestori di vulnerabilità si concentrano su app e codice che un’azienda sviluppa autonomamente, la piattaforma Flexera è più interessata ai programmi software di terze parti che quasi tutte le aziende utilizzano per condurre gli affari. Nella maggior parte dei casi, la correzione di una vulnerabilità nel software acquistato o concesso in licenza viene eseguita applicando una patch. Per un’azienda questo può diventare un grosso problema, soprattutto se deve portare offline migliaia di sistemi o servizi critici per applicare la patch. È anche possibile che a causa della stretta integrazione del software in questi giorni, la risoluzione di un problema possa crearne molti altri.

Il software Flexera Software Vulnerability Management aiuta a risolvere questo problema creando un processo di gestione delle patch sicuro in un’intera azienda. Può trovare vulnerabilità in software di terze parti e consigliare gli amministratori sulla gravità della potenziale minaccia. Potrebbe esserci poco da guadagnare nel pubblicare una massiccia patch a migliaia di utenti per correggere una vulnerabilità minore o per correggere una funzionalità che non è installata o utilizzata dall’organizzazione protetta. Flexera può aiutare a prendere queste decisioni fornendo il contesto e quindi distribuendo la patch quando diventa necessario.

La piattaforma può anche essere utilizzata per ancorare un sistema di gestione delle patch automatizzato risolvendo le vulnerabilità quando necessario in modi che non danneggiano le operazioni. Infine, può generare report personalizzati sulla vulnerabilità e sulla gestione delle patch, nonché su come un’organizzazione si attiene ai quadri, alle leggi e alle migliori pratiche pertinenti.

Tenable.io

Tenable è ben noto nel settore per la creazione di dashboard di sicurezza per qualsiasi ambiente. Questa piattaforma è gestita nel cloud e quindi ha un ingombro ridotto all’interno di un’organizzazione protetta. Utilizza una combinazione di agenti di scansione attivi, monitoraggio passivo e connettori cloud per cercare le vulnerabilità. Tenable.io applica quindi il machine learning, la scienza dei dati e l’intelligenza artificiale per prevedere quali correzioni devono essere apportate prima che un utente malintenzionato possa sfruttarle.

Uno dei maggiori punti di forza di Tenable.io è il fatto che utilizza sia la dashboard che i suoi report personalizzati per mostrare le vulnerabilità in un modo che chiunque può comprendere. Che qualcuno sia uno sviluppatore, parte del team operativo o un membro della sicurezza IT, può facilmente comprendere gli avvisi generati da Tenable.io. In un certo senso, Tenable.io fornisce la gestione delle vulnerabilità a tutti senza necessità di formazione o competenza specialistica.

malware

ZeroNorth

Includere ZeroNorth in una lista di programmi di gestione delle vulnerabilità potrebbe sembrare un po’ strano, dal momento che questa piattaforma non esegue effettivamente la scansione di nulla da sola. Invece, è stata progettata per consolidare altri scanner di vulnerabilità e aiutare a compensare le loro carenze. Dato il numero impossibile di vulnerabilità che la maggior parte delle grandi aziende deve affrontare, è uno strumento che dimostrerà rapidamente la sua utilità.

ZeroNorth viene distribuito come servizio, con gli utenti che accedono a una piattaforma web sicura per monitorare il loro ambiente. Collegare vari scanner nella rete di test alla piattaforma ZeroNorth è stato facile e si è operativi in pochissimo tempo. Ovviamente, è necessario disporre di scanner di vulnerabilità nel proprio ambiente per iniziare a ottenere dati con ZeroNorth, che può gestire i dati provenienti da qualsiasi parte della rete, dall’ambiente di sviluppo alla produzione. Se non disponete di scanner, la piattaforma offre un modo semplice per aggiungere scanner open-source o commerciali al vostro ambiente, che vengono quindi collegati automaticamente alla piattaforma.

La piattaforma ZeroNorth fa molto lavoro consolidando e analizzando i dati provenienti dagli scanner. Una caratteristica interessante è che può mostrare come le vulnerabilità sono correlate e persino dipendenti l’una dall’altra.

ZeroNorth fa anche un ottimo lavoro nel tracciare chi ha creato risorse vulnerabili e chi le gestisce. Può, ovviamente, segnalare tutti i suoi risultati agli amministratori e alla sua console centrale, ma può anche inviare avvisi e correzioni consigliate ai proprietari delle applicazioni. In questo modo, le persone più responsabili di un’applicazione vulnerabile, e probabilmente le più interessate alla correzione di eventuali problemi, possono iniziare immediatamente a lavorare su una soluzione.

ZeroNorth fa anche un buon lavoro nel monitorare gli scanner di vulnerabilità stessi. Ad esempio, dirà se a uno scanner manca una vulnerabilità critica che altri stanno scoprendo. In questo modo, potete capire se il vostro investimento in scanner di vulnerabilità specifici sta dando i suoi frutti. In quanto tale, ZeroNorth sarebbe un’aggiunta di grande valore per qualsiasi organizzazione che cerchi di domare il diluvio di avvisi di proliferazione incontrollata dello scanner o di migliorare la precisione della scansione con nuove policy o strumenti.

Infection Monkey

Il programma Infection Monkey di Guardicore potrebbe essere considerato un’altra strana scelta in un’articolo sulle vulnerabilità, ma il livello di dettaglio che fornisce per quanto riguarda i difetti di sicurezza e le vulnerabilità lo rende prezioso per quasi tutte le organizzazioni. È anche gratuito, con codice sorgente modificabile, quindi non avete nulla da perdere provandolo.

Infection Monkey è un ottimo strumento perché non solo identifica le vulnerabilità, ma mostra esattamente come un utente malintenzionato potrebbe potenzialmente sfruttarle. È possibile utilizzare il programma per verificare la presenza di falle di sicurezza in ambienti Windows, Linux, OpenStack, vSphere, Amazon Web Services, Azure, OpenStack e Google Cloud Platform. Poiché viene fornito anche il codice sorgente basato su Python, gli utenti possono configurarlo per farlo funzionare anche in qualsiasi ambiente proprietario.

Il programma utilizza attacchi e tecniche reali che vengono costantemente aggiornati e aggiornati da Guardicore. In effetti, tecnicamente non è una simulazione perché in realtà sta attaccando una rete. Semplicemente non ha un payload dannoso. Se i vostri strumenti di sicurezza esistenti possono fermare Infection Monkey, tanto meglio, perché significa che qualsiasi vulnerabilità nascosta dietro quella difesa potrebbe essere considerata una priorità bassa.

Il vero valore arriva quando Infection Monkey riesce a penetrare, il che può richiedere da pochi minuti a molte ore a seconda della complessità della rete attaccata. Una volta individuato e sfruttato un punto debole, il programma registra ogni passo che ha intrapreso lungo il percorso, comprese le vulnerabilità sfruttate e le difese aggirate o ingannate. Se state quindi osservando un elenco di migliaia di vulnerabilità, usate Infection Monkey per scoprire quali sono sfruttabili dagli aggressori.