Osservando i Top Trend di Gartner nel report Cybersecurity 2022, non sorprende che l'espansione della superficie di attacco sia classificata come massima priorità.
Il digital footprint in continua espansione delle organizzazioni moderne espone continuamente le vulnerabilità del software e presenta ai criminali informatici una superficie di attacco in espansione. Più grande è il bersaglio, più difficile sarà mancarlo.
Nel frattempo, molte organizzazioni continuano a fare affidamento su soluzioni tradizionali di gestione delle vulnerabilità, valutazioni del rischio e un lungo elenco di patch e modifiche al controllo della sicurezza che devono essere applicate manualmente.
Il fatto che questo non funzioni è dimostrato da statistiche che indicano che quasi il 70% delle organizzazioni rimane vulnerabile a WannaCry e oltre l'80% delle organizzazioni ritiene di essere vulnerabile a violazioni dovute a configurazioni errate.
Questo articolo di SentinelOne esplora come si è evoluto il panorama delle minacce di oggi, esercitando una pressione insopportabile sui team di sicurezza alle prese con le attuali pratiche di gestione delle vulnerabilità.
Vediamo quali sono le best practice, secondo SentinelOne, per la gestione delle vulnerabilità e discutiamo di come l'intelligenza artificiale abbinata all’attività degli utenti può aiutare a ottimizzare la gestione delle vulnerabilità.
Perché è Necessario un Nuovo Approccio alla Gestione delle Vulnerabilità
La quantità di vulnerabilità segnalate e sfruttabili continua ad aumentare. Nel primo trimestre del 2022 sono state confermate 8.000 nuove vulnerabilità. Analizzando tutte le vulnerabilità segnalate in CVE Details, l'11% ha un punteggio critico.
Inoltre, il 2022 Vulnerability Statistics Report di Edgescan ha confermato che una vulnerabilità su dieci nelle applicazioni con connessione a Internet è considerata un rischio elevato o critico.
Con molte organizzazioni che oggi sfruttano i servizi cloud, c'è stata anche molta attenzione sia dalla comunità di ricerca che dai criminali informatici sull'identificazione delle vulnerabilità del cloud.
Quando si esaminano tutte le vulnerabilità, è chiaro che i prodotti Microsoft rappresentano molte delle vulnerabilità segnalate classificate come critiche. Molte di queste vulnerabilità cloud dipendono dal Cloud Service Provider (CSP) per la risoluzione.
Analizzando le vulnerabilità del software e del cloud, è chiaro che la superficie di attacco è sempre più ampia e quindi, in un tale clima di sicurezza informatica, non sorprende che il panorama delle minacce continui a evolversi rapidamente.
Secondo IBM, il ciclo di vita medio di una violazione richiede 287 giorni. Oggi, la maggior parte dei malware è polimorfico, il che significa che le caratteristiche identificabili cambiano costantemente per eludere i tradizionali meccanismi di difesa.
I criminali informatici sfruttano sempre più le tecniche di "living off the land" (LotL) che consentono loro di utilizzare i file binari del sistema operativo o dell'utente per attività dannose.
Inoltre, con molte applicazioni moderne e servizi cloud non configurati tenendo conto della sicurezza, i criminali informatici prendono sempre più di mira le configurazioni errate dei servizi per irrompere in un ambiente.
In un panorama di minacce così in rapida evoluzione, molti strumenti e processi di sicurezza esistenti non possono più scalare e fornire una copertura sufficiente per un'organizzazione.
Alla luce dell'aumento delle vulnerabilità scoperte, della sofisticatezza in evoluzione del panorama delle minacce e della crescita esponenziale del patrimonio digitale, è necessario un nuovo approccio al modo in cui le organizzazioni gestiscono la valutazione e la mitigazione delle vulnerabilità.
Cos’è Sbagliato nella Gestione delle Vulnerabilità di Oggi?
Storicamente, molte organizzazioni si affidano alle tradizionali soluzioni di Threat and Vulnerability Management (TVM) e ai servizi professionali per eseguire scansioni tempestive di un ambiente al fine di identificare possibili vulnerabilità e configurazioni errate, quindi il team di sicurezza deve agire manualmente in base all'elenco, spesso lungo, di mitigazioni. Almeno, questa è la teoria su come le organizzazioni dovrebbero gestire le vulnerabilità.
È allarmante il fatto che oggi molti consulenti per la sicurezza confermino che dopo sei o dodici mesi potrebbero quasi presentare lo stesso report sui rischi quando visitano la stessa organizzazione per un'altra valutazione del rischio perché l'organizzazione non ha implementato le modifiche richieste.
Questo non è solo scioccante dal punto di vista della sicurezza, ma anche dal punto di vista finanziario e di rischio. In sostanza, molte organizzazioni pagano regolarmente per le valutazioni del rischio, ma il loro livello di rischio complessivo non migliora.
Tenendo presente tutto ciò, le organizzazioni spesso sono a malapena in grado di concentrarsi sulla correzione delle vulnerabilità critiche nei loro sistemi operativi e non hanno le risorse per concentrarsi su nient'altro, lasciando una superficie di attacco significativa aperta per i criminali informatici nella loro identità, applicazione e infrastruttura cloud.
Osservando le sfide e i limiti odierni con i programmi di gestione delle vulnerabilità, in qualità di difensori, abbiamo bisogno di un nuovo approccio alla gestione dei rischi derivanti dalle vulnerabilità nel nostro patrimonio digitale.
Un approccio che consente agli operatori di concentrarsi e stabilire le priorità, mentre l'Intelligenza Artificiale fornisce la scoperta di risorse in tempo reale, il rilevamento delle vulnerabilità, la valutazione del rischio e la correzione automatica dei rischi informatici.
Best Practice Gestione delle Vulnerabilità
#1 - Esegui il Rilevamento della Superficie in Tempo Reale
Le risorse non gestite come endpoint, dispositivi mobile, dispositivi IoT e applicazioni Software-as-a-Service (SaaS) rappresentano un rischio significativo per le organizzazioni.
La ricerca di DoControl ha rilevato che fino al 40% dell'accesso ai dati SaaS non è gestito. Pertanto, affinché un'organizzazione identifichi la sua intera superficie di attacco, è fondamentale iniziare con la possibilità di individuare tutte le sue risorse, tanto per cominciare.
In parole povere, non puoi proteggere ciò che non sai che esiste. Per favorire questo sforzo, le moderne soluzioni di gestione delle vulnerabilità combinano funzionalità di rilevamento delle risorse sfruttando le risorse gestite come beacon per scoprire le risorse non gestite in un ambiente.
#2 - Utilizzare la Valutazione Continua delle Vulnerabilità
Con l'enorme volume di vulnerabilità, l'approccio tradizionale di coinvolgere un consulente di terze parti per una valutazione periodica del rischio è diventato obsoleto. Oggi, la tecnologia può essere sfruttata per eseguire il rilevamento e l'analisi delle vulnerabilità continue e in tempo reale.
Le moderne soluzioni di gestione delle vulnerabilità lo fanno sfruttando la potenza di elaborazione del cloud e l'intelligenza artificiale (IA) per simulare spesso ciò che le tradizionali valutazioni del rischio periodiche e manuali farebbero in tempo reale.
Queste soluzioni iniziano con la scansione continua di tutte le risorse in base alle best practice del fornitore e del settore come i benchmark CIS. In sostanza, la soluzione convalida lo stato corrente rispetto alle linee di base di configurazione e alle best practice.
#3 – Comprendi il Tuo Rischio e la Tua Esposizione
Non tutte le vulnerabilità sono ugualmente importanti. Iniziamo con la comprensione dei diversi tipi di vulnerabilità:
- Software senza patch – il software senza patch, indipendentemente dal fatto che si parli del sistema operativo o delle applicazioni utente, è spesso la prima cosa che viene in mente quando si esamina la gestione delle vulnerabilità. I criminali informatici possono utilizzare queste vulnerabilità senza patch per entrare in un ambiente o impossessarsi di dati sensibili;
- Autorizzazione debole – i criminali informatici sfruttano protocolli di autorizzazione e policy di password deboli per imporre la forza bruta in un ambiente. Ecco perché l'adozione di metodi di autenticazione moderni, l'accesso condizionale e l'autenticazione a più fattori (MFA) sono fondamentali;
- Configurazione errata – indipendentemente dal fatto che si parli del sistema operativo, delle applicazioni utente o dei servizi cloud, tutto può essere esposto a causa di configurazioni errate. Il report 2022 sulla sicurezza del cloud di Check Point conferma che il 27% delle organizzazioni ha subìto un incidente di sicurezza nella propria infrastruttura di cloud pubblico, mentre il 23% di questi è stato causato da configurazioni errate del cloud;
- Vulnerabilità Zero-Day – una vulnerabilità zero-day è una vulnerabilità in un sistema che è stata scoperta di recente, ma il fornitore deve ancora fornire una mitigazione per essa. Quando vengono scoperte nuove vulnerabilità zero-day, assistiamo spesso a un aumento delle campagne su larga scala da parte dei criminali informatici. Esempi sono le campagne globali come WannaCry, NotPetya, Kaseya o SolarWinds.
Ora che abbiamo capito cosa sono le vulnerabilità, esaminiamo la differenza tra vulnerabilità ed exploit:
- Vulnerabilità – una vulnerabilità è un difetto di progettazione imprevisto che, in teoria, potrebbe essere sfruttato dai criminali informatici;
- Exploit – un exploit consiste in una serie di attività eseguite da qualcuno che sfrutta una vulnerabilità per eseguire azioni indesiderate e non autorizzate.
Nel contesto della gestione del rischio e dell'esposizione, è quindi essenziale comprendere la vulnerabilità di un'organizzazione e come può essere sfruttata. Ciò aiuterà a determinare la priorità sulla velocità con cui un'organizzazione dovrebbe rispondere a una vulnerabilità scoperta di recente nel proprio ambiente.
Questo è esattamente il motivo per cui le tradizionali soluzioni di gestione delle vulnerabilità falliscono, poiché spesso manca il collegamento tra la vulnerabilità e l'exploit.
Ecco perché le moderne soluzioni di gestione delle vulnerabilità stanno convergendo nelle piattaforme Extended Detection Response (XDR), in quanto consentono al provider di fornire a un'organizzazione valutazioni in tempo reale del rischio e dell'esposizione correlando le vulnerabilità identificate con la telemetria proveniente dalla loro Identity Threat Detection Response (ITDR ) e funzionalità EDR (Endpoint Detection Response).
#4 – Sfrutta il Security Posture Management
Naturalmente, dopo aver identificato il rischio e l'esposizione alle vulnerabilità, il passo successivo è determinare come un'organizzazione può ridurre il rischio esposto. In questo caso, le organizzazioni stanno essenzialmente cercando di capire come risolvere il problema.
A tal fine, è necessario correlare il problema confermato e lo stato di configurazione attuale dell'asset interessato. Ciò consentirà all'organizzazione di trovare il miglior percorso da seguire.
Ecco perché le moderne soluzioni di gestione delle vulnerabilità sfruttano le capacità di Security Posture Management. Consentono loro di confrontare lo stato attuale con le best practice e forniranno all'organizzazione raccomandazioni descrittive per la riparazione.
#5 – Adottare la Priorità di Lavoro Automatica
Mentre il passaggio precedente è incentrato sull'identificazione automatica dei requisiti di riparazione, il passaggio dell'assegnazione automatica delle priorità al lavoro aiuta a fornire un quadro più ampio.
Alla fine, ci saranno sempre delle vulnerabilità e ci saranno azioni che dobbiamo fare per ridurre la superficie di attacco; pertanto, dobbiamo dare la priorità al lavoro comprendendo chiaramente il rischio esposto.
La tecnologia può aiutare a identificare le vulnerabilità, fornire consigli per la remediation e, in una certa misura, assegnare automaticamente la priorità al lavoro in base al possibile impatto; tuttavia, i team di sicurezza conoscono meglio il loro ambiente e svolgono un ruolo fondamentale nell'assegnare priorità al lavoro richiesto in base alla profonda conoscenza del loro ambiente.
#6 – Sfrutta Gruppi Pilota per Testare la Remediation
Una delle maggiori sfide nella gestione delle vulnerabilità è spesso la remediation. Il motivo è che molte attività consigliate dovrebbero mirare direttamente all'intero patrimonio digitale, anche se alcuni passaggi potrebbero cambiare radicalmente la loro architettura aziendale.
Pertanto, le organizzazioni sono spesso preoccupate di apportare queste modifiche a causa del timore di interrompere i processi e i sistemi aziendali funzionanti esistenti, aumentando eventualmente il volume del supporto dell'help desk.
Per questo motivo, si raccomanda che per la maggior parte delle vulnerabilità, l'attività di remediation sia indirizzata prima a gruppi pilota definiti prima di implementarla nel parco istanze.
#7 – Implementazione Remediation Automatica
Una volta che il team IT e sicurezza è sicuro della correzione implementata in un gruppo pilota, è il momento di implementare gradualmente la remediation in tutta la proprietà digitale. A questo punto, il rischio di interrompere i processi e i sistemi aziendali funzionanti dovrebbe essere minimo.
Intelligenza Artificiale e Intelligenza Umana
Sappiamo per esperienza che esiste ancora un divario tra l'IA e gli esseri umani per quanto riguarda il processo decisionale. Non dovremmo mai aspettarci che l'IA sia intuitiva, etica o strategica.
Queste sono aree in cui inevitabilmente abbiamo ancora bisogno di esseri umani. Queste sono aree in cui eccelle il capitale intellettuale umano.
Dobbiamo anche comprendere che un operatore umano non è così efficiente o efficace in attività come la ricerca di grandi set di dati per la ricerca di anomalie, il riepilogo di miliardi di eventi per determinare le tendenze di base o la verifica di ipotesi what-if. Questo è il campo in cui l'IA ha un chiaro vantaggio.
L'intelligenza artificiale offre la possibilità di raccogliere e analizzare grandi quantità di dati complessi. Possono setacciare enormi volumi di informazioni in una frazione del tempo che impiegherebbe un gruppo di umani.
Ciò significa che i dati sono ancora tempestivi quando vengono analizzati, mentre se lo stessero facendo gli esseri umani, un attacco potrebbe essere scoperto settimane dopo essere entrato nell'organizzazione. L'intelligenza artificiale trasforma i dati da quelli retrospettivi in stimoli per il processo decisionale strategico.
L’uomo ha due due abilità speciali. In primo luogo, può prendere le macchine dell'informazione proposte e applicare l'intelletto. Capisce il contesto di più dati collegati tra loro ed è molto più bravo a decifrare gli indizi sottili che portano alla luce un attacco.
Il processo decisionale deve coordinarsi tra gli esseri umani e l'IA, con il carico di lavoro adeguatamente suddiviso secondo queste linee. Entrambe le parti dovrebbero essere autorizzate a prendere decisioni che influiscono su utenti, dispositivi e applicazioni nel mondo reale, bilanciando i rischi e i benefici associati a ciascuna.
In Conclusione
Ci saranno sempre vulnerabilità, il panorama delle minacce continuerà ad evolversi e la superficie di attacco continuerà ad aumentare. Come difensori, siamo in un momento cruciale in cui dobbiamo cercare di modernizzare il nostro approccio alla gestione delle vulnerabilità. Il tempo delle valutazioni del rischio periodiche, manuali e isolate non è più efficiente né scalabile.
Proprio come siamo passati dalle tradizionali soluzioni di sicurezza basate sulle firme a metodologie di rilevamento e risposta basate sul comportamento, abbiamo bisogno di modernizzare il nostro approccio alla gestione delle vulnerabilità.
Per saperne di più su come la soluzione Singularity Ranger di SentinelOne può aiutare nel rilevamento delle risorse in tempo reale e la gestione delle vulnerabilità, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
In alternativa, puoi compilare il form sottostante con la tua domanda.