Buona parte degli incidenti informatici dipende da vulnerabilità note. Occorre una strategia di sicurezza a 360 gradi, in grado di proteggere l’azienda da minacce interne ed esterne. Vediamo cos’è il Vulnerability Assessment e come si esegue.
Nel 2023, nessuna azienda può ritenersi completamente protetta dalle minacce informatiche. Non lo sono quelle che ritengono di non attrarre i cyber criminali e, all’estremo opposto, non lo sono neppure quelle che investono budget importanti per essere allo stato dell’arte a livello di tool, dispositivi e procedure di sicurezza informatica. Un certo livello di rischio, più o meno marcato a seconda della postura di sicurezza aziendale, va messo in conto. L’importante è essere in grado di minimizzarlo.
Secondo il rapporto Clusit 2023, negli ultimi anni la situazione è peggiorata nettamente. Gli analisti infatti, confrontando i numeri del 2018 a quelli del 2022, rilevano una crescita degli attacchi del 60%, oltretutto riferendosi unicamente a quelli andati a buon fine. Si può supporre che il numero complessivo sia nettamente superiore.
L’aspetto che ci interessa sottolineare è che il 64% degli incidenti hanno come causa “azioni maldestre” da parte di utenti e personale IT. Ci si riferisce innanzitutto a malware e phishing, ma anche a vulnerabilità informatiche note e non risolte, che avrebbero dato adito al 12% di tutti gli attacchi. Nel termine vulnerabilità, infatti, gli analisti escludono volutamente gli attacchi basati su 0-day, ovvero su falle di sicurezza non ancora conosciute né di dominio pubblico. Capiamo quindi meglio cos’è il Vulnerability Assessment e come può aiutare le azienda a proteggersi.
Cos’è il Vulnerability Assessment?
Com’è noto, con l’espressione Vulnerability Assessment si intende un processo strutturato il cui fine è l’identificazione dei rischi cui sono soggetti i sistemi, le applicazioni e le infrastrutture IT impiegate nel contesto dell’operatività e del business aziendale. Il processo, supportato da appositi tool, consta solitamente di:
È sufficiente una descrizione sommaria per notare l’approccio nativamente sistemico del Vulnerability Assessment, che serve per individuare tutti gli aspetti critici di un sistema, esaminando in modo approfondito i fattori che lo condizionano. Tra i vari sistemi troviamo:
- Gli host/server
- Le workstation
- I device mobile impiegati nel contesto del lavoro ibrido
- Gli apparati di rete, come firewall e router
- Le applicazioni
- I database
A seconda delle esigenze dell’impresa, il Vulnerability Assessment può essere più o meno ampio, e riguardare l’intero ambiente così come una ristretta selezione di componenti. Ad esempio, la scansione degli host esamina in modo dettagliato server, endpoint e apparati di rete focalizzando l’attenzione su porte e servizi, così da evidenziare eventuali errori di configurazione o assenza di patching dei sistemi analizzati. Le scansioni di database, dal canto loro, estendono il proprio raggio d’azione anche agli ambienti di sviluppo, alla classificazione dei dati e alle impostazioni di sicurezza degli stessi, così da garantire conformità con le policy e i regolamenti cui l’azienda è soggetta (GDPR, HIPAA, PCI-DSS, SOX…).
Fa parte dello stesso approccio alla sicurezza informatica il penetration testing, ovvero il tentativo di sfruttare le vulnerabilità evidenziate per ottenere effettivo accesso a dati e sistemi. I penetration test vengono effettuati per diversi motivi, dalla classificazione delle vulnerabilità rilevate alla valutazione dell’efficacia degli interventi correttivi già applicati. Scopri come combinare in modo efficace Vulnerability Assessment e Penetration Testing.
Vuoi capire se è tempo di uno Scan della tua vulnerabiltà informatica?
Una necessità per tutte le imprese
L’analisi delle vulnerabilità è uno step essenziale di qualsiasi strategia di sicurezza. Nessuna azienda ne è esente, perché le minacce informatiche aumentano di giorno in giorno e cresce la loro pericolosità.
Nell’era della digitalizzazione del business, cresce in particolare la superficie d’attacco che può essere sfruttata dai malintenzionati per sottrarre dati preziosi o condizionare l’operatività dei sistemi. È dunque inefficace ed economicamente insostenibile, anche per una piccola impresa con un’infrastruttura IT relativamente semplice, monitorare manualmente tutti i fattori che possono essere sfruttati dal cybercrime per ottenere l’accesso ai sistemi. Non può esistere vulnerability assessment senza una certa quota di automazione, perché ogni giorno vengono rilevate nuove vulnerabilità, aggiornati i relativi registri (elenchi CVE, Common Vulnerabilities and Exposures) e create patch di sicurezza.
Le grandi aziende, dal canto loro, utilizzano ogni giorno centinaia di applicazioni, server, sistemi operativi e sistemi, ognuno dei quali può rappresentare una minaccia alla propria sicurezza. In questo caso è davvero impossibile monitorare manualmente l’evoluzione delle vulnerabilità che condizionano il sistema informativo, oltre al fatto che queste non dipendono unicamente da software di terze parti, il cui aggiornamento è responsabilità di vendor esterni, ma anche da quello sviluppato internamente, dall’uso improprio di risorse, da cattive configurazioni e mancati aggiornamenti, ovvero da elementi interni alla propria infrastruttura.
Per tutti questi motivi, nel contesto enterprise sta emergendo il concetto di Continuous Vulnerability Assessment, proprio a sottolineare l’esigenza che il processo di analisi, classificazione e gestione dei rischi, non sia solo strutturato ma anche continuativo.
Se quanto affermato non fosse sufficiente a suggerire l’adozione di una security strategy efficace (di cui il VA fa parte), basti sapere che il costo medio di un data breach a livello enterprise è di 4,35 milioni di dollari (IBM). Il costo del downtime, dal canto suo, può raggiungere i 5.400 dollari al minuto (Gartner) o, in ambito PMI, gli 8.500 dollari all’ora (Aberdeen Research).
Come si esegue un Vulnerability Assessment
Oggi, la cybersecurity è una vera e propria battaglia tra chi attacca e chi difende. È dunque naturale, per chi appartiene alla seconda categoria, sfruttare il più possibile l’automazione per difendersi in modo efficace, posto che la stragrande maggioranza degli incidenti è ancora una conseguenza di configurazioni errate e patching carente.
In questo, come in tanti altri ambiti della trasformazione digitale, il risultato più efficace si ottiene miscelando i benefici dell’automazione con l’esperienza e le competenze di professionisti dedicati. Se infatti è vero che il Vulnerability Scan viene eseguito attraverso strumenti e piattaforme dedicate – senza le quali non sarebbe possibile abilitare il concetto di assessment continuativo – è peraltro vero che la definizione del Remediation Plan, le attività di Penetration Testing, l’eliminazione dei falsi positivi, la redazione di report e, soprattutto, l’analisi (anche in tempo reale) delle vulnerabilità rilevate fa largo affidamento sull’esperienza di professionisti con un forte background in sicurezza informatica.
È peraltro vero che l’assessment, o la semplice scansione delle vulnerabilità, non avrebbero particolare efficacia se non fossero seguiti da attività di protezione a 360 gradi, che comprenda tool di sicurezza, ma anche processi ottimizzati e una security awareness il più possibile diffusa all’interno dell’organizzazione.
Su quest’ultimo aspetto, infine, si può aprire un capitolo a sé, visto che buona parte degli incidenti dipende ancora da phishing e social engineering, ovvero di fatto da un inganno perpetrato alla componente umana della sicurezza, che da prima linea di protezione spesso si trasforma nell’anello debole. Affidarsi a un’azienda specializzata in cybersecurity significa quindi partire da una scansione, passare a un ranking, identificare un piano d’azione, applicarlo e proteggere in modo continuativo tutte le componenti che lo condizionano, compresa quella umana.
