Skip to main content

Quando abbiamo spiegato cos’è il Vulnerability Assessment, abbiamo sottolineato quanto le minacce informatiche crescano ogni giorno. Nella maggior parte dei casi, i malintenzionati sfruttano vulnerabilità note, che riguardano dispositivi, reti, PC, server e, in generale, tutti gli elementi dell’infrastruttura IT. L’esigenza di eseguire scansioni e gestire le vulnerabilità dipende da almeno due fattori:

  • l’aumento costante delle minacce informatiche, di cui si è detto;
  • il contestuale aumento di complessità degli ambienti IT, che crescono insieme all’azienda, si espandono oltre i confini della LAN e, così facendo, diventano soggetti a vulnerabilità non gestibili in forma manuale.

Una corretta scansione (Vulnerability Scan), o meglio gestione delle vulnerabilità (Vulnerability Management), è una necessità non soltanto per le grandi aziende, ma anche per le realtà medie e piccole che custodiscono dati e informazioni meritevoli di protezione. Si pensi, in tal senso, agli studi professionali o, più in generale, a tutto il macrocosmo delle PMI.

Vulnerability Scan e Management: un processo, non un’attività

A prima vista, soprattutto in un contesto di piccole o medie dimensioni, si potrebbe pensare di affidare all’automazione il vulnerability management. D’altronde, essa rappresenta un fattore cardine dei progetti, poiché non è possibile rilevare e gestire manualmente centinaia di vulnerabilità presenti all’interno delle reti aziendali.

Tuttavia, va sempre considerato che il vulnerability management (di cui il vulnerability scan è una componente) è un processo a più fasi, non una sola attività da effettuare periodicamente. Affinché sia efficace, la procedura consta di almeno 6 fasi:

1

Preparazione

Vengono raccolte le informazioni di tutti gli asset aziendali da proteggere, l’hardware utilizzato e, nei contesti più ampi e distribuiti, vengono identificati i ruoli dalla cui sinergia dipenderà il successo del progetto.

In ambito Enterprise, il CISO è il responsabile del processo, ma intervengono anche i vulnerability engineer, i system engineer e, soprattutto, gli asset owner, chiamati ad autorizzare attività di scansione degli specifici device/sistemi e la successiva adozione di attività di remediation o mitigation. Senza autorizzazione esplicita, nessuna scansione né correzione può essere attuata.

2

Discovery delle vulnerabilità (Vulnerability Scan)

È la prima fase esecutiva. Qui si effettua la scansione delle vulnerabilità sugli asset identificati e autorizzati nella fase precedente.
3

Analisi delle vulnerabilità

Le singole vulnerabilità vengono analizzate in termini di livello di rischio e di criticità della minaccia. Come si vedrà successivamente, vengono considerate anche le contromisure già in essere.
4

Definizione delle priorità

Vengono valutate le priorità di intervento sulla base di diversi fattori, ma tenendo sempre in considerazione il bilanciamento della triade CIA, ovvero confidenzialità, integrità e disponibilità del dato/asset.
5

Reporting

Viene creato un rapporto sintetico sulle vulnerabilità e suggerite le priorità di intervento e le attività di remediation e/o mitigation da porre in essere.
6

Remediation o mitigation

Le attività vengono programmate, testate e poste in essere dai system engineer di concerto con gli asset owner.

È sufficiente una descrizione sommaria del processo per suggerire alle imprese di avvalersi di partner competenti e aggiornati rispetto a tecnologie, piattaforme e ultimi trend della cybersecurity. Ottime skill di project management sono inoltre fondamentali perché, come si è visto, la scansione e gestione delle vulnerabilità è un percorso che coinvolge diverse figure aziendali e richiede operatività sinergica.

Preparazione e Vulnerability Scan, per la massima visibilità

A dispetto del suo nome, la fase preparatoria ha una rilevanza centrale, in quanto non rilevare né attribuire la giusta rilevanza a una vulnerabilità può compromettere l’intero percorso.

Solitamente, si parte con l’inventario degli asset, che può essere eseguito in forma manuale solo nelle realtà più piccole e meno strutturate: in tutti gli altri casi, si agisce con script dedicati, tool di network monitoring e/o di endpoint management.
Nella stessa fase viene strutturato il team di progetto e definite le rispettive responsabilità.

Identificati gli asset, si passa a comprendere la criticità di ognuno in funzione dell’impatto sul business, nonché la presenza o meno di controlli di sicurezza preesistenti. Molto interessanti, a tal fine, sono le attività di asset evaluation, finalizzate a quantificare il valore della risorsa sia per il business che per gli attori malevoli. Tutto ciò avrà un ruolo decisivo nella definizione delle priorità di intervento.

La vera e propria scansione della vulnerabilità (Vulnerability Scan) si avvale di tool automatizzati, che partendo dall’indirizzo IP delle risorse acquisiscono le informazioni essenziali e le confrontano in tempo reale con i database di vulnerabilità esistenti. Vengono scansionati e rilevati anche tutti i controlli di sicurezza.

Vuoi sapere quanto costa monitorare in modo continuativo la Vulnerabilità Informatica?

Vulnerability Analysis come fattore critico di successo

Molti esperti di sicurezza ritengono che la fase di analisi delle vulnerabilità sia la più importante nel percorso di Vulnerability Management. Capita, infatti, che la scansione identifichi centinaia di vulnerabilità informatiche: in questo caso, solo un’analisi approfondita può aiutare l’azienda a decidere se intervenire e come farlo, e a definire tutte le priorità del caso. Talvolta, infatti, si scopre che una risorsa vulnerabile è “protetta” da un’altra, oppure che vulnerabilità gravi riguardano risorse di poco conto ai fini della continuità del business o della protezione del dato. L’analisi è l’unico strumento efficace per bilanciare l’efficacia del processo e i suoi costi.

Il resoconto della scansione va analizzato in modo approfondito sia a livello di network che di singoli sistemi e dispositivi. I tool di Vulnerability Scan tendono a fornire un’analisi sommaria delle vulnerabilità in termini di livello di rischio, exploit esistenti e remediation steps, ma sta all’azienda e ai suoi partner valutare l’impatto sul business, il valore dell’asset e il costo delle attività di remediation e di mitigazione. Non dimentichiamo, infatti, che anche solo rallentare l’operatività quotidiana per applicare patch e fix corrisponde a un costo. Infine, l’esito della scansione è importante anche a livello di trend: più scansioni consecutive devono dimostrare l’efficacia degli interventi precedenti.

Dall’analisi della vulnerabilità dipende tutta la fase successiva, che riguarda le priorità, il reporting verso le persone e i ruoli coinvolti, le attività di remediation/mitigation da effettuare e come porle in essere in concreto.

Remediation & Mitigation, il passo finale

Le attività di remediation e mitigation rappresentano l’ultimo step del processo di vulnerability management, un processo che va svolto ciclicamente e in modo continuativo. La differenza tra le due è significativa: con attività di remediation si risolve una vulnerabilità accertata, con la mitigation si riduce il rischio legato ad essa senza risolverla. Tipici esempi di remediation sono la modifica delle configurazioni e il patch management, ovvero l’applicazione sistemica di patch di sicurezza rilasciate dagli sviluppatori software.

Il patch management è fondamentale in una strategia di sicurezza, poiché buona parte degli attacchi cyber prendono di mira sistemi non aggiornati. Ciò che va definito, anche in questo caso, è la modalità di applicazione delle patch: solitamente automatica in sistemi non-core e manuale in quelli mission-critical (previo testing e validazione).

Le attività di mitigazione, dal canto loro, vengono definite e impiegate in tre situazioni: quando la remediation comporta un rischio troppo elevato, quando esistono già controlli di sicurezza che proteggono l’asset e quando l’effort è estremamente minore. Tipica attività di mitigation è la riconfigurazione degli apparati di sicurezza (come il firewall) per far sì che la vulnerabilità non possa essere sfruttata pur rimanendo in vita.

L’esigenza di un giusto mix di tool e competenze

Ciò che va sottolineato di questo percorso è l’esigenza di tool e competenze specialistiche. Salvo casi rarissimi, un software di vulnerability scan non porta a risultati tangibili a meno che non sia integrato in un processo di gestione delle vulnerabilità eseguito da chi sa quali asset proteggere, come analizzare le vulnerabilità, a quali dare priorità e come intervenire, integrando il tutto in una strategia sistemica ben definita. Per questo, i provider di servizi di sicurezza come Intesys Networking sono sempre più determinanti per il successo di ogni business.

Scopri la nostra soluzione gestita di Vulnerability Scan & Assessment

Mattia Anversa

Autore Mattia Anversa

Sono System Engineer in Intesys Networking specializzato in ambito Microsoft e infrastrutture virtuali VMware. Supporto i Clienti ad approcciare le tematiche di sicurezza e li seguo nelle fasi di prevendita e startup di nuovi progetti.

Altri post di Mattia Anversa
CONTATTACI