Nel report intitolato “The State of Security Remediation 2024“, pubblicato da Cloud Security Alliance, CSA a febbraio 2024, emerge chiaramente che identificare, valutare e intervenire sulle vulnerabilità di sicurezza rappresenta un pilastro fondamentale per ridurre i rischi associati alla cyber security.
Di fatto, in un contesto di cyber security in costante mutamento, tale pratica si conferma come un elemento critico all’interno delle strategie difensive delle organizzazioni.
Tuttavia, l’efficacia di tali misure correttive è influenzata da variabili multiple, inclusa la cooperazione tra i membri dei vari team e l’efficienza degli strumenti e dei procedimenti implementati. Vediamo di che si tratta.
Indice degli argomenti
CSA Report – The State of Security Remediation 2024
L’obiettivo del report della CSA è migliorare la comprensione delle conoscenze, degli atteggiamenti e delle opinioni prevalenti nel settore riguardo alle pratiche di sicurezza.
Esso si basa sui risultati di un sondaggio effettuato a dicembre 2023, che ha raccolto le risposte di 2.037 professionisti nel campo dell’IT e della sicurezza, al fine di ottenere una visione più dettagliata degli attuali ambienti cloud e degli strumenti di sicurezza utilizzati, oltre a identificare le sfide nelle pratiche correnti di valutazione e mitigazione delle vulnerabilità e a esplorare le possibilità di minimizzare i rischi.
Principali risultati del sondaggio
Ostacoli alla Visibilità Completa negli Ambienti Cloud
Molte organizzazioni si trovano di fronte alla sfida di mantenere una visibilità efficace nei loro ambienti cloud.
Solo il 23% afferma di avere una visibilità completa, mentre il restante 77% riconosce di avere una trasparenza limitata. Questa difficoltà deriva dalla complessità intrinseca degli ambienti cloud, ulteriormente complicata dall’uso di container e dall’introduzione di architetture serverless che rappresentano un ostacolo significativo.
È doveroso evidenziare che mancanza di visibilità può portare a vulnerabilità di sicurezza e complicare le operazioni di gestione e monitoraggio, sottolineando l’importanza critica di disporre di strumenti che possano integrare i dati e fornire un’osservabilità completa e dettagliata.
Fonte immagine – CSA Report – THE STATE OF SECURITY REMEDIATION 2024
Falsi Positivi e Allarmi Duplicati: l’Onere degli Avvisi di Sicurezza
Il 63% delle organizzazioni ritiene che gli allarmi duplicati rappresentino una sfida di grado moderato o elevato, mentre il 60% valuta i falsi positivi in maniera analoga e sottolinea gli inconvenienti e le inefficienze causate dall’abbondanza di dati che i team di sicurezza ricevono.
Ovvero, una difficoltà diffusa che può essere ricondotta a sovrapposizioni nelle funzionalità degli strumenti utilizzati o a una carenza nella loro integrazione e calibrazione precisa.
È doveroso sottolineare che l’eccesso di segnalazioni porta, di fatto, a conseguenze quali: la stanchezza indotta dalla gestione continua degli allarmi, problemi nella definizione delle priorità e, infine, rallentamenti nei tempi di reazione agli incidenti, situazioni che possono aumentare la vulnerabilità di un’organizzazione.
Inoltre, si ritiene che aggiungere semplicemente altri strumenti di sicurezza non risolve il problema alla radice; piuttosto, risulta quanto mai necessario adottare una strategia più articolata che privilegi l’integrazione accurata e la gestione intelligente di questi strumenti.
Pertanto, diventa cruciale implementare soluzioni di automazione o di intelligenza artificiale per alleggerire il carico di lavoro dei team di sicurezza, diminuendo il sovraccarico di allarmi.
Di fatto, l’impiego di queste tecnologie, grazie alla loro abilità nel filtrare e nell’assegnare priorità agli allarmi in modo efficace, può notevolmente ridurre il numero di falsi positivi e segnalazioni duplicate, consentendo ai team di sicurezza di indirizzare le proprie risorse verso minacce reali e, al contempo, incrementare l’efficienza e l’efficacia delle loro operazioni.
Fonte immagine – CSA Report – THE STATE OF SECURITY REMEDIATION 2024
La proliferazione degli strumenti di sicurezza crea complessità
Oggigiorno, l’intensificarsi del problema del sovraccarico di allarmi nel campo della cyber security si pone come una sfida rilevante per le organizzazioni.
Dal report si evince che il 61% delle organizzazioni fa affidamento su da 3 a 6 strumenti di rilevamento diversi e quasi metà sta valutando di incrementare il budget dedicato alla sicurezza.
Tutto ciò lascia presagire l’introduzione di ulteriori strumenti che renderanno ulteriormente complicato il contesto della cybersecurity. Di fatto, sebbene questa moltiplicazione di strumenti possa migliorare la copertura di sicurezza, essa genera anche un incremento nel numero di allarmi, compresi molti falsi positivi come precedentemente sottolineato.
Pertanto, nonostante l’espansione nell’uso degli strumenti di sicurezza, solo un quarto delle organizzazioni si sente adeguatamente preparato a fronteggiare le minacce informatiche, il che implica che circa tre quarti si considerano poco o per nulla preparati.
Inoltre, aggiungere nuovi strumenti – senza un piano di integrazione coordinato – può portare a tentativi di risoluzione frammentati, sovrapposizioni di vulnerabilità e una gestione frammentaria delle priorità delle minacce.
Di conseguenza, è fondamentale adottare un approccio integrato che garantisca un’armonizzazione efficace tra i vari sistemi, offrendo una visione olistica e dettagliata del contesto di sicurezza per rilevare potenziali carenze.
Ovvero, un livello di integrazione essenziale per ridurre le sovrapposizioni nel processo di sicurezza e per assicurare che la gestione delle priorità delle minacce sia guidata da una comprensione globale della postura di sicurezza dell’organizzazione.
È cruciale sottolineare che, per navigare con successo questa complessità, le organizzazioni devono sempre più concentrarsi sull’allineamento strategico e sull’integrazione dei loro strumenti di sicurezza.
Fonte immagine – CSA Report – THE STATE OF SECURITY REMEDIATION 2024
Gestione quotidiana delle Vulnerabilità di Sicurezza e sovraccarico delle attività manuale
L’eccessivo carico di lavoro manuale nella gestione quotidiana delle vulnerabilità di sicurezza mette in luce un aspetto fondamentale delle operazioni di cyber security.
Approssimativamente il 75% delle organizzazioni vede i propri team di sicurezza impegnati per più del 20% del loro tempo in attività manuali per rispondere agli allarmi di sicurezza, anche se l’83% afferma di integrare una certa forma di automazione nel processo di rimedio.
Le organizzazioni, mediamente, affrontano giornalmente una lista di 55 vulnerabilità di sicurezza, con 1-3 di queste considerate critiche. Inoltre, i team riescono a gestire solo 270 vulnerabilità al mese, mediamente, lasciando che un numero significativo di esse si accumuli di giorno in giorno.
Dal report si evince che le fasi iniziali del processo sono particolarmente critiche a causa dei tempi dilatati in termini di trattamento delle vulnerabilità e di identificazione del responsabile per la risoluzione.
Ognuna di queste fasi richiede in media tra 1 e 3 ore, suggerendo che una vasta porzione della giornata lavorativa viene impegnata solo per assicurare che la vulnerabilità venga assegnata alla persona adeguata al relativo trattamento. Tutto ciò comporta diverse questioni rilevanti da considerare, quali:
- Inefficienze nel processo di risoluzione – Le fasi iniziali del processo di gestione delle vulnerabilità tendono a richiedere una porzione di tempo eccessiva. Tali inefficienze possono originarsi da un processo manuale, lungo e laborioso, di indagine dei problemi e dalla difficoltà nell’assegnare la responsabilità per la loro risoluzione. La mancanza di definizioni chiare dei ruoli comporta di fatto, che, invece di focalizzarsi immediatamente sull’eliminazione delle vulnerabilità, si debba spendere tempo prezioso per stabilire chi debba intervenire.
- Potenziale per le vulnerabilità trascurate – Quando i compiti manuali sovraccaricano i team, c’è il pericolo che certe vulnerabilità, specialmente quelle considerate meno gravi, vengano ignorate o messe in secondo piano. Tale trascuratezza può portare a conseguenze serie nel lungo periodo, dato che anche le vulnerabilità ritenute meno critiche possono essere utilizzate all’interno di strategie d’attacco più complesse.
- Impatto sull’efficienza e sul morale del personale – L’eccessivo carico di lavoro manuale nella gestione delle vulnerabilità può causare un affaticamento del personale, in particolare di fronte a un elevato numero di allarmi e vulnerabilità. Tale affaticamento può compromettere l’efficienza del team di sicurezza. ovvero, l’incessante gestione di attività manuali e ripetitive può infatti ridurre la capacità di concentrazione e la prontezza di risposta di fronte a problemi di sicurezza più urgenti e gravi.
- Automazione sotto utilizzata – Il report rivela che, nonostante le organizzazioni implementino l’automazione nei loro processi di risoluzione, questa tecnologia non viene sfruttata appieno. Infatti, le strutture di sicurezza attuali potrebbero beneficiare enormemente dall’adozione di sistemi più automatizzati, capaci di rilevare, classificare e indirizzare le vulnerabilità in maniera veloce, basandosi su criteri di rischio prestabiliti. Senza un adeguato livello di automazione, si ricade, inevitabilmente, in procedure manuali che, non solo sono onerose in termini di tempo, ma rallentano anche significativamente i tempi di reazione.
È chiaro che vi sia un considerevole margine per il miglioramento nel processo di risoluzione di queste problematiche, attraverso l’adozione di un approccio più organizzato che includa: una definizione più precisa dei ruoli, un rafforzamento dell’automazione e una maggiore ottimizzazione dei processi lavorativi.
Pertanto, le organizzazioni, solo affrontando questi aspetti, potranno acquisire maggiore velocità ed efficacia per rispondere alle minacce di sicurezza, migliorando così in modo significativo la robustezza complessiva delle loro strutture di cyber security.
Fonte immagine – CSA Report – THE STATE OF SECURITY REMEDIATION 2024
Tempi di risposta non sufficientemente rapidi alla risoluzione delle vulnerabilità
I risultati del sondaggio, in termini di tempi di risposta, evidenziano una tendenza preoccupante: il 18% delle organizzazioni impiega più di quattro giorni per affrontare vulnerabilità critiche, con il 3% che supera le due settimane, indicando potenziali lacune nelle strategie di priorità e di risposta.
Tale lentezza nel rispondere alle vulnerabilità critiche può scaturire in periodi di rischio prolungati, aumentando la probabilità che le organizzazioni diventino vittime di una violazione.
Inoltre, i tempi estesi per la correzione delle vulnerabilità possono anche portare a un effetto cumulativo, aumentando il numero di vulnerabilità da affrontare, oltre a incrementare la probabilità che altre vulnerabilità vengano sfruttate.
Pertanto, è quanto mai necessario attuare processi di gestione delle vulnerabilità più efficienti, attraverso l’incorporazione dell’automazione e la prioritizzazione delle minacce critiche per minimizzare l’esposizione al rischio.
Fonte immagine – CSA Report – THE STATE OF SECURITY REMEDIATION 2024
Risoluzioni a breve termine e rischi ricorrenti
Il 38% dei partecipanti al sondaggio ritiene che tra il 21 e il 40% del proprio codice presenti vulnerabilità. In aggiunta, il 19% indica che tra il 41 e il 60% del loro codice è vulnerabile, e un ulteriore 13% individua vulnerabilità nel 61-80% del loro codice.
Queste cifre evidenziano la diffusa difficoltà di garantire l’integrità e la sicurezza del codice nel corso dello sviluppo. Inoltre, il problema è aggravato dal fatto che oltre la metà delle vulnerabilità gestite dalle organizzazioni mostrano la tendenza a manifestarsi nuovamente entro un mese dalla loro risoluzione.
Ciò indica che le cause originarie di queste vulnerabilità frequentemente non vengono completamente eliminate, risultando in una serie di tentativi di risoluzione.
Inoltre, è importante sottolineare come queste vulnerabilità persistenti possano essere causate da vari fattori, inclusi la limitatezza delle risorse, una carenza di competenze o la complessità innata delle vulnerabilità stesse. Tale scenario, non solo amplifica i rischi per la sicurezza e le potenziali problematiche di conformità, ma comporta anche un considerevole spreco di risorse.
Ancora, la grande dipendenza in termini di processi manuali peggiora la situazione, sottolineando l’urgenza di adottare strategie di automazione più efficaci e di implementare soluzioni di sicurezza avanzate basate sull’intelligenza artificiale per accrescere la qualità e l’efficacia degli interventi di risoluzione.
Sfide Collaborative: la mancata coordinazione tra i team di sicurezza e di sviluppo
Il sondaggio rivela la mancanza di una collaborazione tra i team di sicurezza e di sviluppo. Di fatto, il 18% delle organizzazioni riporta l’assenza di collaborazione o relazioni controproducenti (i.e. quasi 1 organizzazione su 5).
Inoltre, più della metà dei partecipanti indica una collaborazione da limitata a moderata, mentre un ulteriore 30% osserva una cooperazione efficace, probabilmente frutto dell’implementazione di strategie shift-left o DevSecOps.
È doveroso evidenziare che questo deficit di sinergia, spesso radicato in priorità contrastanti, può rivelarsi un ostacolo critico per l’efficacia delle misure di sicurezza, dato che una protezione informatica efficace risulta dalla calibrata sintesi di flessibilità dello sviluppo e l’attenzione per la sicurezza
Fonte immagine – CSA Report – THE STATE OF SECURITY REMEDIATION 2024
Il report evidenzia, altresì, a fronte di quanto sopra, che solamente il 24% delle organizzazioni si considera molto preparato, lasciando intendere che il 77% si senta in qualche modo impreparato, mettendo in luce una carenza di prontezza e potenziali vulnerabilità negli ambienti cloud, che richiedono quindi un approccio più coordinato.
Ancora, questa insufficiente collaborazione e sensazione di impreparazione emergono anche nella gestione delle vulnerabilità critiche: il 18% delle organizzazioni necessita di più di quattro giorni per intervenire su vulnerabilità critiche, con il 3% che eccede le due settimane.
Fonte immagine – CSA Report – THE STATE OF SECURITY REMEDIATION 2024
Si ritiene che la mancanza di collaborazione potrebbe essere ancora più pronunciata di quanto i dati lascino intendere, poiché il sondaggio si focalizza sui professionisti della sicurezza. Studi più ampi, che includano i team DevOps, potrebbero rivelare situazioni ancora ben peggiori di mancata collaborazione, con impatti negativi sulla sicurezza del cloud.
Conclusione
I risultati del report di CSA mettono in luce vari ambiti critici che richiedono un miglioramento in termini di strategie di mitigazione dei rischi informatici.
La valutazione dell’efficacia degli strumenti di sicurezza e della loro capacità di minimizzare le vulnerabilità non può limitarsi al semplice conteggio degli strumenti in possesso dell’organizzazione, bensì mettono in evidenza la necessità di focalizzarsi su una gestione integrata e su un’azione di risoluzione che comprenda codice, applicazioni, cloud e infrastrutture.
Di fatto, la riduzione del carico di lavoro manuale nel processo di gestione delle vulnerabilità, attraverso l’automazione e l’analisi incrociata dei dati, potrebbe notevolmente abbreviare i tempi di reazione, diminuire la frequenza di insorgenza dei problemi e incrementare l’efficienza operativa.
Inoltre, i dati scaturiti dal sondaggio sottolineano ancora una volta l’importanza di prioritizzare le vulnerabilità di maggiore criticità e di intervenire sulle cause primarie dei difetti ricorrenti, al fine di assicurare una solida sicurezza sul lungo termine.
Ancora, è essenziale intensificare la cooperazione e l’integrazione dei flussi di lavoro tra i team di sicurezza e quelli di sviluppo, per promuovere una gestione della sicurezza più incisiva, con un occhio di riguardo verso la sicurezza del cloud.
Le organizzazioni, a fronte dell’evoluzione continua delle minacce informatiche, sono chiamate a ricercare una maggiore trasparenza all’interno del loro ecosistema, esplorando strategie per abbreviare i cicli di risoluzione dei problemi, oltre a potenziare la cooperazione interna e ottimizzare i processi per affrontare i rischi in maniera efficace.
In ultima analisi, si tratta di comprendere i contesti, riconoscere i punti deboli e orchestrare armoniosamente la cyber resilience come intersezione dei principi di gestione del rischio, continuità operativa e sicurezza informatica.
