Un quesito che spesso si pone chi si occupa di sicurezza all’interno di un’azienda è: quanto siamo attaccabili? Quanto è vulnerabile la nostra infrastruttura? L’unico modo per avere una risposta è effettuare un vulnerability assessment, un monitoraggio delle vulnerabilità.
Per altro, si tratta di un’attività che ormai è un passaggio consolidato di molte strategie di sicurezza, al punto che il GDPR e la certificazione ISO 27001 prevedono l’esecuzione di un vulnerability assessment almeno una volta all’anno. Ma secondo Luca Bonora, Head of Business Developer Manager di Cyberoo ed esperto di prevenzione del furto di dati, un solo vulnerability assessment nell’arco di 12 mesi non basta per assicurare un efficace monitoraggio delle vulnerabilità. Vediamo perché.
Indice degli argomenti
Cos’è il monitoraggio delle vulnerabilità
Il vulnerability assessment tipicamente indirizza le falle che i prodotti o i software in generale possono avere e quindi essere sfruttati per possibili attacchi. “Tuttavia, il vulnerability assessment è per sua natura fallace – afferma Bonora – perché fa una fotografia in un preciso momento delle vulnerabilità note dei sistemi. È vero che questo consente di rimediare alla situazione con una patch, un aggiornamento o a volte addirittura un cambio di una configurazione. Però le aziende sono caratterizzate da estrema dinamicità. Quindi il fatto di poter installare nuovi software, attivare un nuovo prodotto, una nuova soluzione porta a modificare continuamente le configurazioni. E questo comporta che si possano creare vulnerabilità”.
Da non sottovalutare, poi, il fatto che nuove vulnerabilità vengono individuate quotidianamente da chi si occupa di sicurezza. Il 2021 Year End Vulnerability QuickView Report di Risk Based Security ha stimato che lo scorso anno ne siano state individuate 28.695 in sistemi operativi, applicazioni e dispositivi. Questo significa che se un’azienda avesse fatto un vulnerability assessment il 31 dicembre 2020 e il successivo il 31 dicembre 2021 potenzialmente per tutto il 2021 potrebbe avere avuto 28.695 vulnerabilità senza saperlo, risultando perciò altamente esposta ad attacchi che avrebbero potuto causare importanti danni.
“È un processo completamente da cambiare” sostiene Bonora. “Il vulnerability assessment ha assolutamente senso, ma non deve essere fatto una volta l’anno quanto invece con continuità. Il monitoraggio delle vulnerabilità di cui parlo è un’attività attiva, fatta su sistemi, servizi, indirizzi IP o applicazioni che si può eseguire sia dall’interno sia dall’esterno dell’azienda. Noi abbiamo un MDR che ha due soluzioni, Cyper e CSI. Cypeer esegue un continuous scanning, cioè un vulnerability assessment, attraverso sia una scansione di tutta la rete all’interno dell’infrastruttura sia un agente che può risiedere sulle singole postazioni di lavoro. Questo perché alcuni software non mostrano il loro bug in rete. Magari è identificato con un CWE (Common Weakness Enumeration, un sistema di categorizzazione delle vulnerabilità di software e hardware), ma in realtà lo si individua solo con un’analisi mirata. Il continuous scanning impiega qualche ora per effettuare un assessment quindi può essere effettuato tutti i giorni per verificare se sono sorte nuove o state scoperte nuove vulnerabilità”.
Individuate le vulnerabilità, cosa si deve fare?
Stabilire se all’interno della rete sono presenti delle vulnerabilità è un’attività che richiede un tempo limitato. Un discorso del tutto diverso si deve invece fare per i tempi necessari a risolvere tali vulnerabilità, perché gli interventi possono implicare metodi molto differenti. “A volte può bastare una procedura semplice come l’installazione di una patch o di un aggiornamento” precisa Bonora.
“Altre volte, invece, può essere necessario modificare dei certificati software e questo può vuol dire di pianificare un progetto articolato. Perché se ci si accorge di aver risposto a un servizio con dei certificati che non sono pubblici o magari non adeguati si deve mettere in atto una serie di processi che permettano, per esempio, di risistemare la catena di certificazione. Così, se ci si possono impiegare poche ore per effettuare un vulnerability assessment, possono invece servire diversi giorni, alle volte anche mesi, per risolvere il problema individuato”.
Vulnerability assessment anche della supply chain
Nel caso di aziende che hanno consentito l’accesso alla propria rete a clienti e fornitori si pone il problema delle vulnerabilità che possono essere presenti nelle reti dei propri partner. Considerato che non è possibile eseguire attività “attive” su indirizzi IP o servizi esposti da qualcun altro senza esserne opportunamente autorizzati, si può comunque avere un’indicazione del livello di rischio che possono far correre fornitori e clienti.
“Si può infatti operare in modo passivo – sottolinea Bonora – quindi senza avere una scansione diretta di IP e servizi, cercando di informarsi all’interno del dark web per capire se c’è attività malevola nei confronti di un determinato fornitore o cliente. Questa è l’attività che svolge la funzione supply scanner della soluzione CSI (Cyber security intelligence) del nostro MDR, una sorta di continuous scanning effettuato però dall’esterno”.
Vulnerabili, ma non attaccati
Un aspetto importante da ricordare è che sapere di avere la vulnerabilità non vuol dire essere sotto attacco. “Ecco perché il valore del continuous scanning è così alto” aggiunge Bonora. “Infatti, permette a un’azienda di scoprire le proprie vulnerabilità e pianificare di sistemarle in tempi comodi. Il fatto di poter anticipare i cyber attaccanti sta proprio in questo, cioè scoprire tramite un assessment che esiste una vulnerabilità nella rete non vuol dire che anche i cyber criminali sappiano della sua esistenza. Lo possono scoprire solo se anche loro fanno una scansione.
Ma questo significa che l’azienda era già oggetto di attenzione e quindi praticamente sotto attacco. In altre parole, se non si è sotto attacco, nessuno sa dell’esistenza della vulnerabilità e quindi si ha tutto il tempo di installare la patch”.
Maggiore sicurezza per sistemi e applicazioni critiche
Il continuous scanning può essere eseguito con grande frequenza per stabilire se ci sono nuove vulnerabilità nella rete. Però, ci possono essere applicazioni o sistemi strategici per i quali è necessario un controllo più approfondito perché non devono poter essere attaccati e quindi il livello di protezione deve essere particolarmente elevato. In questo caso si può affiancare al monitoraggio delle vulnerabilità anche il penetration test. Si tratta di una verifica dall’esterno della difesa eretta effettuata tramite gli stessi attacchi che lancerebbero i cyber criminali.
“Il penetration test richiede una procedura più lunga e impegnativa rispetto al vulnerability assessment” evidenzia Bonora. “Un assessment è un’attività che prevede per il 70% impiego di software e il 30% attività professionale. Al contrario, il penetration test implica per il 90% attività professionali e solo per il 10% utilizzo di software. Per questo non si può fare in automatico e nemmeno ha senso farlo su tutta la rete, richiederebbe tempi lunghissimi e comporterebbe costi enormi. Ma per una specifica applicazione che è alla base del core business il penetration test può essere un buon modo per stabilirne la solidità agli attacchi”.
Meglio un video di una fotografia
Il vulnerability assessment esegue una fotografia dello stato della rete. È un’immagine statica che dopo alcuni giorni può essere superata dagli eventi.
Affinché sia efficace il monitoraggio delle vulnerabilità dovrebbe essere il più frequente possibile: anziché una fotografia dovrebbe essere una sorta di video dello stato della rete. Solo in questo modo si riesce a essere davvero aggiornati sui punti deboli, avendo perciò la possibilità di intervenire prima che qualcuno li scopra e sferri un attacco.
Contributo editoriale sviluppato in collaborazione con Cyberoo
