In uno scenario internazionale di continuo mutamento delle cyber minacce, considerando l’accelerazione digitale imposta dal periodo pandemico e l’acuirsi della minaccia informatica di matrice russa a seguito del conflitto russo-ucraino, la gestione della cyber security si complica progressivamente complice anche la quantità di sistemi e strumenti eterogenei, l’aumento nello scambio di messaggi e informazioni, la presenza di dati che possono costituire falsi positivi e soprattutto la difficoltà nel reperire personale qualificato.
Una misura basilare per la valutazione della sicurezza è rappresentata dalle analisi di vulnerabilità. La gestione delle vulnerabilità in azienda è una delle tematiche più delicate e discusse in termini di Business Security e rappresenta un ambito di lavoro e un impegno quotidiano dei gruppi di sicurezza informatica delle aziende e/o de gruppi di security che operano in outsourcing per i propri clienti.
Quando i test di vulnerabilità sono effettuati con regolarità, possono permettere l’identificazione e la correzione di criticità, riducendo il rischio su vasta scala e liberando il personale che può dedicarsi ad altre urgenze.
Quando i test sulle vulnerabilità adottano automazione e l’apprendimento automatico (machine learning), i risultati possono essere ulteriormente migliorati, senza dimenticare che le competenze dei team di security sono cruciali per l’applicazione dei piani di risoluzione e patching.
Indice degli argomenti
L’esigenza del vulnerability assessment automatizzato
Secondo il rapporto CLUSIT 2022 (associazione di sicurezza italiana), nel 2021 si è assistito all’aumento del 180% degli eventi di sicurezza e alla crescita del 350% malware all’interno delle aziende. Il cospicuo incremento delle perdite derivanti da questa situazione ribattezzata “Far West digitale” è stata stimata in 1 trilione di dollari per il 2020 e in 6 trilioni per il 2021.
I processi d’attacco che possono verificarsi sono molto articolati ed in particolare la cosiddetta kill chain di attacco (ovvero la catena di eventi che porta l’attaccante a compiere un crimine informatico n.d.r.) comprende le fasi di: ricognizione, adescamento, dirottamento, exploit, installazione, comando e controllo; in ultimo l’azione vera e propria di danneggiamento può consistere nel furto dati o nella cifratura degli stessi chiedendo un riscatto per non avere danni peggiori (solitamente consistenti nella pubblicazione dei dati in chiaro o nell’avvisare i clienti dell’azienda vittima che la stessa è sotto attacco causando un problema serio di brand reputation n.d.r.).
La gestione degli attacchi e il ripristino dei parametri e dei dati originari possono richiedere tempo e causare problemi e rallentamenti nei processi di business aziendale che risultano limitati se non del tutto bloccati dall’attacco subìto. Quindi il rischio di perdite in termini economici per ogni azienda è elevato.
L’obiettivo primario degli attaccanti è lo sfruttamento delle debolezze digitali nascoste nel codice e quindi il test delle vulnerabilità rappresenta da anni una delle prassi base di sicurezza utilizzata per scopi preventivi unitamente ai correlati processi di vulnerability assessment e di vulnerability Management. Infatti, Il numero di vulnerabilità dei sistemi e applicazioni aziendali e delle Web application è cresciuto enormemente ed ha superato le 13.000 nuove vulnerabilità riscontrate da inizio2022 (fonte: nvd.nist.gov), aumentando l’esposizione dei sistemi informatici.
Inoltre, la capacità di sfruttare le vulnerabilità è aumentata grazie anche alla disponibilità di tool di exploit ed alla possibilità di sfruttare servizi d’intrusione offerti da terzi a pagamento, che di fatto consentono d’intraprendere un’attività cyber criminale anche a chi non ha competenze elevatissime. Andrea Toneguzzi, Founder e Sales Manager di Brainwise spiega in questo senso che: “Le vulnerabilità rappresentano il canale per aggirare le protezioni aziendali per compromettere ed ottenere il controllo dei sistemi. Mantenere la visione aggiornata delle vulnerabilità presenti nei sistemi aziendali è molto difficile, sia a causa della continua scoperta di nuove falle, sia per la complessità di individuare tutti i dispositivi e web application presenti in azienda”.
“Si pensi alla quantità di dispositivi dotati d’interfaccia di configurazione web”, continua Toneguzzi, “e quindi contenenti una web application, installati e “dimenticati”, come ad esempio Switch di rete, print server, rilevatori di presenze o telecamere. Mantenere una mappa aggiornata delle vulnerabilità presenti in azienda è molto complesso senza un sistema intelligente che automaticamente scopra tutti i dispositivi e servizi in rete, ne controlli costantemente le vulnerabilità e gli assegni un grado di criticità contestualizzato alla singola rete aziendale. Riporto solo alcuni dati aggiuntivi per comprendere le criticità da affrontare: Il 92% delle aziende riceve più di 500 avvisi al giorno, ma in genere un singolo analista può gestirne solo 10, molte aziende hanno 30 o più strumenti in funzione, ma solo personale e competenze sufficienti per gestirne 12, solo il 4% degli avvisi viene indagato: non ci sono abbastanza persone per mantenere le organizzazioni al sicuro. Per questo motivo si rendono necessari strumenti di Vulnerability, Detection and Response (VDR) che possano supportare le fasi di test e di risoluzione delle criticità”.
Ambiti applicativi e risposta alle sfide del vulnerability management
L’analisi e gestione delle vulnerabilità permette all’azienda di contestualizzare i risultati e risolvere in modo focalizzato quelle minacce che costituiscono realmente un rischio.
Tuttavia, affinché il processo di analisi e risoluzione delle debolezze informatiche sia realmente efficace, sarebbe necessario: ridurre l’impegno delle ore uomo (dell’analista), avere visibilità di tutto il perimetro applicabile all’analisi, coniugare l’approccio proattivo a quello reattivo, automatizzare le analisi utilizzando anche feature di apprendimento automatico, semplificare la remediation, ridurre la complessità, comprendere gli eventi analizzati.
Per rispondere a queste sfide gli strumenti di vulnerability management di nuova generazione dovrebbero rilevare tutti i dispositivi IT aziendali e tutte le vulnerabilità presenti, sia nella rete interna sia esterna comprendendo anche il perimetro Cloud ed adattandosi a tutti i contesti.
In particolare, il vulnerability management di tipo automatizzato si rivela molto importante nelle custom Web application perché generalmente queste applicazioni non sono testate per la sicurezza e rappresentano quindi un rischio alto. L’automazione delle analisi di vulnerabilità (vulnerability assessment – VA) risolve in parte anche l’annoso problema della carenza di risorse specializzate, la cui mancanza spesso potrebbe causare un ritardo o l’assenza di esecuzione.
Andrea Toneguzzi in tema utilità reale delle scansioni di vulnerabilità automatizzate chiarisce che: “Il trend in crescita di oltre 13.000 nuove vulnerabilità per la prima parte del 2022 fa comprendere che non è più sensato pensare ad una periodicità della verifica, per questo l’automazione della piattaforma fa si che di ogni nuova vulnerabilità mappata nel CVE venga avviata una scansione nei sistemi e applicazioni sotto monitoraggio. Oltre a questo, anche il calcolo del rischio potenziale viene quotidianamente ricalcolato, in modo di rendere efficiente la pianificazione del rimedio”.
“Ma se si pensa a benefici di efficacia ed efficienza e di economics allora l’introduzione di algoritmi d’intelligenza artificiale e machine learning nei sistemi di VDR”, continua Andrea Toneguzzi, “permette di comprendere il contesto in cui i sistemi operano ed emerge l’indicazione del reale rischio connesso, che è dato sia dalla percentuale di sfruttamento della singola vulnerabilità stessa, sia da quanto il sistema compromesso possa fungere da ponte verso altre aree aziendali”.
Ancora Toneguzzi evidenzia anche che “gli strumenti classici di Vulnerability Management (open source o proprietari), assegnano un grado di rischio alle vulnerabilità ricavandolo dal DB standard CVSS, richiedendo poi un grande lavoro manuale di analisi e riclassificazione per selezionare su quali vulnerabilità intervenire con attività di rimedio. Invece i Sistemi di Vulnerability management di nuova generazione grazie al ML automatizzano completamente la riclassificazione, riducendo drasticamente l’impegno e gli effort economici, perché assegnano un grado di rischio che riflette il reale contesto di rete e di utilizzo presente in azienda. L’output fornito da questo tipo di piattaforme è direttamente utilizzabile, anche senza l’intervento di un analista”.
Un case esemplificativo di applicazione
Per comprendere l’applicazione reale di un prodotto di vulnerability management, Andrea Toneguzzi ha descritto un case history con un’azienda cliente del settore Horeca: “l’infrastruttura informatica dell’azienda, così come l’area logistica e quella produttiva si presentavano già con una profonda digitalizzazione dei processi. Gli obiettivi principali dell’intervento erano mirati alla riduzione del rischio cyber e dei costi di gestione della vulnerabilità che si presentava dispendiosa per l’azienda, a causa del grande numero di vulnerabilità presenti e per la difficoltà di comprendere quali di queste potessero essere realmente critiche nel contesto aziendale specifico”.
“La tecnologia applicata è stata la piattaforma Taegis di Securworks, che ha permesso di ridurre il tempo necessario all’analisi e gestione del vulnerability e patch management grazie all’uso di algoritmi di intelligenza artificiale e machine learning. Il sistema di automazione del discovery dei servizi in rete e di comprensione della reale potenzialità di sfruttamento delle vulnerabilità ha permesso di rimodulare la priorità di mitigazione, sulla base della reale possibilità di sfruttamento in quello specifico contesto. I server rilevati sono stati automaticamente raggruppati in funzione della reale area operativa, predisponendo quindi in maniera dinamica remediation plan dettagliati e prioritizzati ad hoc. Quindi il progetto è stato sviluppato tenendo conto del reale rischio apportato nello specifico contesto aziendale piuttosto che valutare la pericolosità teorica delle vulnerabilità. Lo strumento VDR scelto ha abilitato: l’analisi aggiornata in tempo reale, la mappatura e l’analisi della vulnerabilità delle web app, la verifica dello stato d’avanzamento della remediation, la creazione di remediation plans distinti per area di servizi”.
“È importante chiarire”, sottolinea infine Toneguzzi, “che in questo tipo di progettualità un punto decisivo di tutta la gestione della Business Security aziendale è l’approccio e il know how del top management rispetto a questo tipo di problematiche”.
