Una presa di coscienza sull’importanza fondamentale della cyber security e del processo di vulnerability assessment è arrivata anche dalla Casa Bianca. Il 16 novembre 2018 il presidente degli Stati Uniti Donald Trump ha firmato la legge (“Cyber security and Infrastructure Security Agency Act of 2018”) che ha sancito la creazione della CISA – Cyber security and Infrastructure Security Agency.
Si tratta di una costola del dipartimento di Homeland Security creata appositamente per migliorare la security a tutti i livelli di governo, coordinare i programmi di sicurezza informatica con gli stati “amici” e, in particolare, per migliorare il livello di cyber resilience del Governo a stelle e strisce contro gruppi di criminal hacker privati o sponsorizzati da altre nazioni.
Questa decisione è sicuramente frutto del percettibile innalzamento del livello di rischio a cui sono sottoposti i network governativi del Paese. In particolare, una delle preoccupazioni era relativa alla mancanza di sorveglianza interna sul livello di cyber security dei vari dipartimenti federali, dove analisi campione avevano, tra le altre cose, rilevato una forte reticenza al tenere i sistemi aggiornati.
Indice degli argomenti
L’importanza di aggiornare
È innegabile come oggi, soprattutto abituati come siamo al “right here, right now”, gli aggiornamenti di sistema ci possono sembrare una grossa perdita di tempo e questo sentimento non può che essere amplificato nei meandri del pubblico impiego.
In realtà questa reticenza è uno dei primi motivi per cui si creano falle nei sistemi di sicurezza: ogni aggiornamento, infatti, porta in dote misure di sicurezza o azioni di remediation a falle individuate precedentemente.
Ogni volta che uno di questi viene ignorato i rischi di essere vittime aumentano di n volte.
Per questo motivo, negli Stati Uniti, uno dei primi atti della neonata CISA è stato quello di ordinare a tutte le sue consorelle governative di risolvere con la massima urgenza le criticità più alte derivanti dall’assenza della versione corretta del firmware sui propri sistemi e di aggiornare conseguentemente entro 15 giorni dalla prima rilevazione tutte le macchine e tutti i sistemi interessati.
L’Agenzia, che effettua l’attività di monitoraggio settimanalmente attraverso dei vulnerability assessment, per facilitare questo compito fornisce ai vari dipartimenti e uffici la reportistica con tutte le criticità individuate classificate in base allo score CVSSv2.
La decisione di imporre il limite ultimo di 15 giorni per effettuare l’attività di remediation può sembrare draconiana, soprattutto se si considerano i tempi operativi degli enti pubblici, ma è stata frutto dalla drastica diminuzione del delta tra scoperta e sfruttamento della vulnerabilità da parte dei criminal hacker e il generale innalzamento del livello di complessità degli assalti.
I cyber security firms
Ma se il governo americano può beneficiare di un’agenzia preposta per far sì che le criticità di cyber security siano identificate e seguite; ai privati – dalla PMI al grande gruppo d’impresa – cosa resta?
Fortunatamente il servizio di vulnerability assessment non è un’esclusiva delle agenzie governative, anzi sul mercato sono presenti Cyber security firms specializzate nel testare a fondo sistemi e network e per scovare le criticità più nascoste che lì si annidano.
Questo servizio è indubbiamente, come testimonia l’impegno del Governo americano, qualcosa di necessario che permette al dipartimento IT – se si tratta di un’azienda per esempio – di avere un quadro completo della situazione e di venire a conoscenza dello stato dell’esposizione dei sistemi alle vulnerabilità.
Per effettuarlo, gli esperti di cyber security hanno creato strumenti altamente specializzati appositi. Questi tools effettuano controlli approfonditi su ogni sistema o applicazione e riconoscono le criticità di sicurezza presenti.
In dettaglio: il vulnerability assessment
Ma in concreto come opera un vulnerability assessment? Si tratta di un’analisi di sicurezza che ha come obiettivo, come accennato, l’identificazione di tutte le vulnerabilità potenziali dei sistemi e delle applicazioni.
Come? Spottando e valutando il danno potenziale che l’eventuale criminal hacker può infliggere all’unità produttiva (risk analysis).
A seguito della fase di risk analysis ha inizio, grazie all’apporto di esperti nel campo, il periodo di integrazione e verifica dei risultati ottenuti.
Questo avviene attraverso una meticolosissima attività di document review che ha lo scopo di rifinire la ricerca per evidenziare eventuali errori emersi durante il processo automatizzato di analisi.
L’apporto dato dagli esperti di cyber security rafforza uno dei cardini su cui si basa il vulnerability assessment: l’isolamento tempestivo delle criticità “reali”.
Non è da sottovalutare neppure un altro aspetto come la velocità di scansione. Uno dei KPI (Key Performance Indicator) del servizio è proprio questo: la rapidità con cui i tools rendono possibile l’analisi di un perimetro molto ampio in un periodo di tempo relativamente breve (oltre a fornire un livello di dettaglio ottimale per effettuare successivamente l’attività di remediation).
Il vulnerability assessment non è solo un’ottima misura di prevenzione – per suggerire la giusta attività di remediation – ma è anche una pietra fondamentale nella costruzione di un framework di sicurezza saldo ed efficiente.
Con un buono strumento di questo genere l’utente finale avrà a disposizione una panoramica aggiornata e completa del livello di sicurezza di tutti i suoi asset informatici.
E se prima potevamo non essere sicuri della necessità di queste misure, adesso a testimonianza del loro ruolo chiave c’è anche l’uomo più potente del mondo.
