Vulnerability Management: come gestire e monitorare il proprio livello di esposizione
A cura di Raffaele Ascoli, Senior Director
La continua scoperta di nuove e pericolose vulnerabilità, spesso riferite a tecnologie e servizi largamente diffusi ed utilizzati, il costante evolvere del panorama delle minacce cyber così come l’inesorabile e persistente incremento in termini di complessità ed eterogeneità delle infrastrutture ICT, potenziali target di tali minacce, ha reso sempre più sfidante per una qualsiasi organizzazione garantire una gestione efficace e sostenibile del livello di esposizione della proprio superficie di attacco, sia essa riferita ad asset IT pubblicamente visibili piuttosto che ad asset IT interni.
Esistono diverse ragioni che hanno reso nel tempo il problema della gestione delle vulnerabilità e il monitoraggio del proprio livello di esposizione una priorità assoluta per qualsiasi organizzazione. Di seguito ne riportiamo solo alcune a titolo puramente esemplificativo, sebbene la lista possa essere lunga a piacere:
- il continuo incremento in termini di complessità ed eterogeneità degli asset IT da proteggere ed il conseguente aumento di ampiezza della superficie esposta (asset infrastrutturali o applicativi, asset on premise o cloud, asset IoT, asset basati su AI, ecc.);
- la numerosità delle vulnerabilità da gestire (sia in termini di tipologia, sia in termini di occorrenze per singola tipologia), che ovviamente cresce sia in funzione del numero di asset IT in perimetro sia del numero di tecnologie adottate;
- la frequente e diffusa mancanza di un solido processo di asset inventory/asset management;
- le carenze degli attuali processi di gestione delle cosiddette “obsolescenze”, con particolare riferimento ai sistemi prossimi o già in condizione di End of Life o End ofSupport;
- l’elevata difficoltà con cui vengono indirizzate le azioni di rimedio, spesso causata dalla mancanza di una strategia strutturata alla base ed ulteriormente aggravata da modalità di interazione tra Security e IT scarsamente efficienti e prive di adeguato coordinamento;
- la spesso insufficiente sensibilizzazione del personale (in particolare quello che opera in ambito IT) e limitata consapevolezza di quali rischi può comportare la presenza di una vulnerabilità critica non correttamente gestita e risolta.
Il disegno di un corretto processo di gestione delle vulnerabilità deve necessariamente tenere conto di questi ed altri aspetti e non può inoltre prescindere da alcuni concetti chiave di seguito illustrati.
Approccio Risk-Based (RBVM): come prioritizzare correttamente le vulnerabilità
La numerosità delle vulnerabilità da gestire e il limitato effort a disposizione sia lato security sia lato IT per poterle sanare rende quanto mai necessaria la definizione di una adeguata ed efficiente strategia di remediation, che non può prescindere dall’adozione di una logica di prioritizzazione delle vulnerabilità che, superando i limiti legati alla staticità dell’informazione relativa al parametro “CVSS” (Common Vulnerability Scoring System), si basi su informazioni di tipo dinamico e legate al contesto della specifica organizzazione target. L’obiettivo di un approccio alla gestione delle vulnerabilità di tipo Risk-Based è proprio quello di identificare ed etichettare come “prioritarie” quel set di vulnerabilità che, se risolte, permettono di massimizzare il livello di abbattimento del rischio. Questo non significa trascurare le restanti vulnerabilità considerate meno prioritarie (nei limiti del possibile anch’esse devono essere risolte), ma semplicemente cercare di focalizzare la maggior parte degli sforzi nella direzione che massimizzi il risultato finale che si intende perseguire.
Diversi sono gli elementi che possono contribuire ad una corretta prioritizzazione delle vulnerabilità e conseguente adozione di un approccio risk-based:
- Vulnerability intelligence
Un processo di vulnerability management maturo e correttamente disegnato non può prescindere da un’integrazione con i feed di intelligence disponibili all’interno dell’organizzazione. Tale integrazione consente di arricchire le informazioni fornite da un qualunque tool di scansione con una serie di informazioni aggiuntive che, fornendo una misura del grado di probabilità con la quale una specifica vulnerabilità potrebbe essere sfruttata da un potenziale attaccante, contribuiscono alla corretta prioritizzazione della stessa. - Asset scoring
La rilevanza per il business dello specifico asset affetto dalle vulnerabilità è un elemento essenziale di una qualunque strategia di remediation e quindi della corretta adozione di un approccio risk-based. - Validation
Esistono da tempo e stanno sempre più acquisendo interesse tool cosiddetti “BAS” (Breach Attack Simulation), capaci di valutare l’effettivo grado di sfruttabilità di una qualunque vulnerabilità riferita ad uno specifico asset, fornendo una preziosa informazione di contesto molto utile nella definizione di una qualunque strategia di prioritizzazione e remediation.
I benefici dell’automazione del processo di Vulnerability Management
L’automazione rappresenta l’altro elemento imprescindibile per un qualunque processo di gestione delle vulnerabilità maturo e ben definito. Può riguardare la fase stessa di scansione (es. orchestrazione e gestione centralizzata dei diversi strumenti di scansione), ma nella maggior parte dei casi i benefici maggiori sono riferiti alle fasi di gestione “post-detection”, ossia le fasi di analisi iniziale delle vulnerabilità, di rimozione di eventuali duplicati, di arricchimento con le informazioni provenienti da altre fonti e conseguente prioritizzazione (come nel caso di adozione dell’approccio risk-based) ed infine indirizzamento delle relative azioni di remediation. L’introduzione di elementi di automazione nella gestione del ciclo di vita delle vulnerabilità (con la conseguente rimozione o limitazione dell’uso di strumenti scomodi e spesso inefficaci come email e fogli excel) tramite ad esempio l’introduzione di strumenti SOAR (Security Orchestration, Automation and Response) comporta indubbi benefici:
- gestione più efficiente ed efficace delle azioni di prioritizzazione e conseguente identificazione delle strategia di remediation;
- maggiore possibilità di identificare disallineamenti e/o rimuovere ridondanze (tema diventato ancora più critico con il continuo proliferare di strumenti di scansione e vulnerability detection all’interno delle organizzazioni);
- tracciamento puntuale e preciso di ogni azione svolta e di ogni stato intermedio attraversato dalle diverse vulnerabilità;
- interazione più efficiente ed efficace con i gruppi IT owner delle azioni di remediation;
- riduzione degli errori umani (tipici ad esempio nei casi in cui occorre gestire strumenti Excel costituiti da una miriade di righe);
- gestione più efficace e precisa di deroghe e liste di eccezioni;
- possibilità di implementare reporting più preciso e puntuale sia a livello tecnico sia a livello direzionale.
Le interazioni del Vulnerability Management con altri processi IT e di security
Un processo di gestione delle vulnerabilità maturo e correttamente disegnato deve interagire in modo efficace con gli altri processi IT e di security interni all’organizzazione. Di seguito alcuni esempi di interazioni:
- Security by design
L’esito delle attività di security by design su nuovi asset IT rilasciati in produzione è un input essenziale per qualsiasi processo di gestione delle vulnerabilità. Si pensi ad esempio alle attività di virtual patching effettuate in produzione per mitigare vulnerabilità che non è stato possibile rimediare prima del rilascio in produzione piuttosto che a deroghe concesse per la stessa ragione ed il cui piano di rientro deve essere a sua volta oggetto di monitoraggio da parte del processo di gestione delle vulnerabilità. - Valutazione dei rischi ICT e cyber
Il livello di esposizione degli asset IT è una delle variabili chiave per la valutazione dei rischi aziendali ICT e cyber. - Asset management
Il processo di vulnerability management può essere utilizzato in alcuni casi per sopperire all’assenza di un processo di asset management strutturato oppure, nella maggioranza dei casi, per monitorare la qualità di tale processo (ad es. rilevando incongruenze tra le informazioni acquisite tramite scansione e le informazioni presenti all’interno di un CMDB). - Patch management e configuration management
È essenziale che il processo di gestione delle vulnerabilità sia ben integrato con i processi IT aziendali che possono indirizzare la remediation o la mitigation delle vulnerabilità. - Early warning
Il processo di gestione delle vulnerabilità deve prevedere una corretta integrazione con le fonti dati esterne che possono segnalare improvvise e nuove situazioni di pericolo in sovrapposizione con quanto già segnalano gli strumenti di scansione, causando un brusco ed improvviso incremento del livello di esposizione che deve essere necessariamente gestito con adeguata tempestività (tipicamente nel caso di security bulletin che segnalano nuove vulnerabilità critiche in grado di impattare tecnologie presenti all’interno dell’organizzazione).
Conclusione: come definire all’interno di un’organizzazione un processo di gestione delle vulnerabilità corretto e maturo
Il monitoraggio della propria superficie di attacco e la valutazione / gestione del relativo livello di esposizione esistente è diventata una assoluta priorità oltre che una componente chiave nella definizione della strategia cyber di una qualunque organizzazione. In particolare, il disegno di un corretto e maturo processo di gestione delle vulnerabilità non può prescindere da due concetti chiave: approccio risk-based e automazione delle azioni di gestione e risposta.
L’introduzione di tali concetti fa sì che il disegno del processo debba necessariamente essere accompagnato dalla progettazione di una relativa architettura a supporto che, a sua volta, comporta l’attuazione all’interno dell’organizzazione di specifiche scelte tecnologiche e di prodotto che devono tenere conto del suo contesto organizzativo e tecnologico (dimensioni e complessità dell’infrastruttura ICT target, volumi in termini di numerosità delle vulnerabilità da gestire, assetto organizzativo e relative funzioni aziendali impattate, vincoli tecnologici esistenti, effort disponibile, budget disponibile, ecc.). Da questo punto di vista occorre sottolineare che il panorama delle tecnologie attualmente disponibili è estremamente ricco e diversificato (dagli strumenti di Attack Surface Management agli strumenti di Breach Attack Simulation, dagli strumenti di Vulnerabiilty Prioritization agli strumenti SOAR) e dà ad ogni organizzazione la possibilità di selezionare e definire la soluzione più adatta per il proprio specifico contesto tecnologico-organizzativo e i propri specifici obiettivi da perseguire.
Il processo definito e la relativa architettura a supporto implementata devono integrarsi con tutte le altre componenti che costituiscono l’ecosistema IT e cyber di una qualunque organizzazione. Da non trascurare infine il fattore umano. Come in ogni ambito cyber, è infatti fondamentale una corretta sensibilizzazione del personale (soprattutto, in questo caso, quello che opera in ambito IT), affinché sia consapevole dei rischi derivanti dalla presenza di una specifica vulnerabilità e del motivo per il quale risulta fondamentale spendere dell’effort per gestirla e risolverla una volta rilevata.