La digitalizzazione sta facendo progressi continui nell’innovazione di prodotti e servizi e, nell’era Covid-19, ha registrato un’accelerazione improvvisa. Tutto si sta spostando velocemente su una dimensione online dando vita a una nuova fase economica connessa alla rivoluzione digitale che rischia, però, senza una governance, di fare delle vittime a livello sociale. In questa transizione, oggi sempre più caldeggiata anche dal legislatore che, dovendo affrontare lo stato di crisi pandemico, ha visto nel digitale un alleato nella gestione della crisi, piattaforme vaccinali, green pass, gestione intelligente delle anagrafi, utilizzo di app per la mobilità e prenotazione dei sistemi sanitari giusto per citare qualche esempio.
In questo contesto sembra arrancare il settore della sicurezza delle informazioni ancora legato a vecchi schemi che, qualche volta, male si coniugano con l’agilità richiesta dalla trasformazione digitale, oltre al cronico problema di essere percepita solamente come un costo. Spesso, occorre ammettere che la non adeguatezza delle valutazioni del rischio informatico ha come risultato il riversare una enorme attività sui reparti IT. Reparti che difficilmente riescono a governare questa mole di attività.
Indice degli argomenti
La sfida della gestione delle vulnerabilità
Uno dei temi, nel vasto catalogo, dell’enciclopedia della sicurezza è la gestione delle vulnerabilità dove ancora si cerca di dare una priorità all’innumerevole quantità di segnalazioni utilizzando euristiche spesso limitate con il risultato che spesso queste restano residenti nei sistemi per mesi o anni.
Giusto per contestualizzare qualche numero, se utilizziamo i report del National Institute of Standards (NIST), ci viene detto che le vulnerabilità registrate sono in aumento e di queste oltre il 50% è stato classificato HIGH/CRITICAL.
Pertanto, da un lato si potrebbe essere tentati da trovare metodologie per correggere e sanare tutte le vulnerabilità dandoci la massima copertura. Questa opzione sicuramente consumerebbe risorse in modo inefficiente risolvendo anche problematiche di basso rischio. D’altra parte, sistemare solo le vulnerabilità ad alto rischio ci lascerebbe esposti ad altre vulnerabilità. La sfida è trovare la giusta combinazione tra queste opzioni esposte e ridurre i numeri delle segnalazioni ai reparti IT delle aziende. Quest’area sarà una delle arene sulle quali ci dovremo confrontare per aumentare l’efficacia e il valore della sicurezza delle informazioni nel nuovo contesto digitale.
Cyber security tra vulnerabilità e gestione del rischio: una questione aperta
NVD, CVE e CVSS: gli acronimi nella gestione delle vulnerabilità
Cerchiamo di capire un po’ meglio, innanzitutto, alcuni acronimi che troviamo quando parliamo di vulnerabilità e loro gestione. NVD sta per National Vulnerability Database ed è la più grande fonte pubblica di informazioni sulle vulnerabilità. Il database viene gestito da un gruppo del National Institute of Standards and Technology (NIST) e si basa sul lavoro di MITRE. Le vulnerabilità nella NVD sono chiamate Common Vulnerabilities Exposure (CVE).
Le CVE identificano problematiche di sicurezza informatica e sono rese pubbliche. Ogni CVE ha un numero che identifica in modo univoco la vulnerabilità nell’elenco. Le CVE sono una fonte affidabile e utilizzata da tutte le aziende per scambiare informazioni relate a problemi di sicurezza; in genere le aziende utilizzano le CVE, ed i corrispondenti punteggi CVSS, per pianificare e definire le priorità nei programmi gestione delle vulnerabilità. In questo contesto è poi rilevante comprendere la differenza tra Vulnerabilities and Exposure.
Una vulnerabilità è di fatto una debolezza che, se sfruttata, può essere utilizzata per ottenere accessi non autorizzati, ad esempio, al nostro sistema informatico. In generale le vulnerabilità possono consentire l’accesso diretto a un sistema o a una rete, eseguire codice, installare malware e/o accedere a sistemi informatici per rubare, distruggere dati sensibili. Una exposure è un errore presente nel software/firmware che consente ad un utente malintenzionato di accedere ad un nostro sistema.
La terza versione del CVSS
Nella storia degli attacchi informatici, spesso, le più grandi violazioni dei dati sono state causate da esposizioni accidentali. Common Vulnerability Scoring System (CVSS) ci fornisce, invece, una rappresentazione numerica (0-10) della gravità di una vulnerabilità di sicurezza. Proprio grazie a questo ranking i gruppi di sicurezza danno delle priorità nel loro programma di gestione delle vulnerabilità. CVSS è un framework aperto gestito dal Forum of Incident Response and Security Teams (FIRST), un’organizzazione non profit con sede negli Stati Uniti con oltre 500 organizzazioni membri in tutto il mondo.
CVSS è ora alla sua terza versione, che gestisce alcune delle carenze dei suoi predecessori. In particolare, la versione 3 introduce gli aspetti dei privilegi necessari per sfruttare la vulnerabilità, nonché la capacità di un utente malintenzionato di propagarsi attraverso i sistemi dopo l’utilizzo della vulnerabilità stessa. Il punteggio delle CVSS è composto da tre serie di metriche (Base, Temporal, Environmental), ognuna delle quali concorre al ranking della vulnerabilità.
Asset Management, Intel, provare a ridurre il rumore
Da diverse ricerche ci viene illustrato uno scenario nel quale quando esce una nuova vulnerabilità di sicurezza inizia la corsa frenetica di attaccanti a scansionare la rete per i sistemi vulnerabili mentre chi difende deve implementare le misure di contrasto allo scopo di proteggere le proprie infrastrutture. Sempre da queste ricerche sappiamo chegli attaccanti mediamente iniziano le scansioni entro i primi 15 minuti di rilascio delle CVE, parlando di vulnerabilità pubbliche e non di zero day.
Purtroppo, il numero di queste CVE, anche solo considerando quelle critiche, è in continuo aumento e senza una adeguata priorità le azioni di mitigazione rischiano di mettere in difficoltà anche i migliori reparti IT. Occorre quindi aumentare la visibilità definire in maniera puntuale gli assets della propria organizzazione. L’inventario delle risorse deve essere completo e dinamico, in questo contesto digitale agile non è più possibile gestire cataloghi in modo manuale.
Su questa tematica possiamo oggi aiutarci con diversi strumenti, oltre ai classici di scansione, per fare il discovery automatico degli assets che poi popolerà un data lake che integrerà i vari contributi.
Piattaforme EASM
Molto interessanti in questo contesto anche le piattaforme di External Attack Surface Management (EASM) che possono dare un valido supporto nell’identificazione delle risorse note e sconosciute che si affacciano sul perimetro pubblico.
Tutte queste informazioni possono essere messe a fattor comune con le CVE in modo da indirizzare esclusivamente vulnerabilità sul nostro “perimetro” e cercando di dare un peso ai nostri assets per numerosità e rilevanza nell’erogazioni di servizi business critical. Occorre però tenere presente che i database di vulnerabilità non sono al passo con quanto gli attaccanti stanno facendo per sfruttare queste falle di sicurezza.
Pertanto, l’incrocio con buone fonti di intelligence può aiutarci a costruire una strategia di priorità che tiene conto anche del contesto di forum pubblici, social media, mercati del dark web, repository etc… Con questi strumenti e con queste fonti di informazione ogni organizzazione definirà poi il proprio schema di priorità sulle vulnerabilità ed agirà di conseguenza. Scansioni, inventario degli assets, intelligence sulle minacce esterne insieme ad una comprensione avanzata degli exploit è sicuramente una delle basi per una efficace prioritizzazione delle vulnerabilità.
Conclusioni
Ovviamente lo scopo è riuscire a ridurre il numero di segnalazioni, visto che da diverse ricerche effettuate si evidenzia che le organizzazioni riescono a porre rimedio a circa il 5-20% delle migliaia di vulnerabilità. Questo implica, perciò, che le organizzazioni sappiano tenere il passo sulle vulnerabilità più rischiose e prima che queste vengano sfruttate.
Un importante approccio a questa tematica è quello sviluppato da un gruppo di ricercatori chiamato Exploit Prediction Scoring System (EPSS) per affrontare questo problema. L’algoritmo EPSS promette di supportarci in questo compito prevedendo la probabilità che una vulnerabilità venga sfruttata nei 12 mesi successivi alla divulgazione pubblica.
Pertanto, applicando questo sistema un punteggio EPSS basso può suggerire a un CIO che, nonostante vulnerabilità simili diventino di alto profilo, è improbabile che questa particolare venga sfruttata e quindi, non vale la pena perdere tempo prezioso o rallentare i processi aziendali da affrontare. L’inserimento di EPSS nella gestione di queste tematiche ci dovrebbe consentire di risparmiare risorse e migliorare il nostro programma di vulnerability management.
Inoltre, i progressi nel settore dell’intelligenza artificiale possono offrire una serie di opportunità nel ridurre la manualità ed il rischio di vulnerabilità delle reti. Complessità delle reti in aumento insieme al numero e alla sofisticatezza delle minacce, rende l’utilizzo dell’ AI rilevante per poter diminuire il carico di lavoro sui team operativi e di gestione delle vulnerabilità aziendali consentendo una combinazione di processo decisionale intelligente e automazione.
