Cos’è il Vulnerability Management?
A cura di Andrea Della Siria, Executive Manager e Luca Di Giuseppe, Expert Cybersecurity Technical Assessor
Il Vulnerability Management (VM) è uno dei processi utilizzati per garantire la sicurezza delle informazioni di un'organizzazione. Le attività che ne fanno parte, consentono di identificare, valutare e gestire la mitigazione delle vulnerabilità rilevate nei sistemi, nelle applicazioni e nei processi aziendali. Tuttavia, nonostante la crescente attenzione verso tematiche di security, le organizzazioni continuano a subire attacchi informatici, con conseguenti danni finanziari e reputazionali. In questo contesto, il Red Team può svolgere un ruolo fondamentale nel supportare il processo di Vulnerability Management, fornendo un'analisi più approfondita delle vulnerabilità e preparando l'organizzazione ad essere più preparata nell'individuare le minacce e rispondere a possibili attacchi.
Vulnerability Management, un processo in 3 fasi
Il processo di Vulnerability Management si articola in tre fasi principali: identificazione delle vulnerabilità, valutazione del rischio e mitigazione.
Nella prima fase, le vulnerabilità vengono identificate attraverso tecniche di scansione automatizzata o attività manuali volte ad analizzare i software presenti sui sistemi e le loro configurazioni. Nella seconda fase, viene valutato il rischio associato a ciascuna vulnerabilità in termini di impatto e probabilità di sfruttamento da parte di un attaccante, in tal modo è possibile associare a ciascuna problematica una priorità per indirizzare i successivi interventi. Infine, nella terza fase, vengono adottate le misure di mitigazione più opportune al fine di ridurre il rischio associato ad un possibile sfruttamento delle vulnerabilità identificate.
Quali criticità si possono incontrare nel Vunerability Management?
Il processo di Vulnerability Management può incontrare diverse criticità. In primo luogo, la scansione e l'analisi dei sistemi possono essere incomplete o imprecise, a causa di configurazioni errate o di mancanza di conoscenza delle vulnerabilità individuate. Inoltre, la valutazione del rischio può essere influenzata da diversi fattori, come la mancanza di informazioni dettagliate sulla vulnerabilità o la difficoltà nel valutare l'efficacia delle contromisure adottate. Infine, la mitigazione delle vulnerabilità può richiedere tempi lunghi o essere impedita da limitazioni tecniche o organizzative.
Red Teaming: cos’è e come può aiutare il Vulnerability Management
Il Red Team è un gruppo di specialisti di sicurezza informatica che simula degli scenari in cui dei malintenzionati, interni o esterni all’organizzazione, utilizzano tecniche di hacking e social engineering per testare la sicurezza dei sistemi e delle applicazioni. L'attività di Red Team è finalizzata a identificare le vulnerabilità e le lacune di sicurezza che potrebbero essere effettivamente sfruttate dagli attaccanti, con l'obiettivo di fornire un'analisi dettagliata dei rischi per l'organizzazione e delle contro misure prioritarie da mettere in campo.
Il Red Team può supportare il processo di Vulnerability Management fornendo una visione più completa e realistica delle vulnerabilità presenti nei sistemi. L'attività di Red Teaming può identificare vulnerabilità che altrimenti potrebbero non emergere attraverso le tecniche di scansione e le analisi tradizionali, eventualmente anche sfruttando una sequenza o combinazione di vulnerabilità al fine di ottenere un impatto effettivo. Inoltre, l'attività di Red Teaming può simulare gli attacchi informatici reali, testando l'efficacia delle contromisure adottate riuscendo ad ottenere un quadro completo anche rispetto alle azioni implementate dall'organizzazione in tempo reale contro attacchi informatici, potendo valutare in modo più obiettivo la capacità di reazione dell'organizzazione.
Come organizzare un’attività di Red Teaming: l'esperienza di NTT DATA
NTT DATA ha effettuato attività di Red Team in diversi contesti italiani, in ambiti Telco, presso grandi gruppi bancari e per aziende leader della Gdo, contesti in cui risultava essere presente e attivo anche un processo di Vulnerability Management.
Il gruppo di Red Teaming ha condotto una valutazione approfondita dei sistemi e delle applicazioni aziendali, simulando gli attacchi informatici che potrebbero essere portati a temine da attaccanti reali. In particolare, sono state simulate le possibili attività di un attacco ransomware, con il fine di verificare la risposta ad una compromissione sia dal punto di vista tecnologico che umano. Anche i dipendenti infatti sono stati coinvolti all'interno del perimetro, nelle attività di Red Teaming è infatti fondamentale che vengano considerati come uno dei vettori di attacco.
Il Red Team, oltre a vulnerabilità afferenti al mondo IT, ha identificato carenze nella preparazione a possibili attacchi, evidenziando la necessità di migliorare i processi di risposta agli incidenti e le policy di sicurezza aziendali. Le fasi successive hanno determinato una stretta collaborazione con i clienti per la definizione di un piano di mitigazione mirato. Questo piano ha coinvolto la correzione delle configurazioni errate, l'aggiornamento delle applicazioni e dei sistemi e il rafforzamento delle politiche di sicurezza. Sono state valutate anche l'implementazione di misure di difesa avanzate, tra cui la messa a terra di sistemi di rilevamento delle intrusioni e la formazione del personale per il miglioramento della consapevolezza dei dipendenti sui temi della security.
In conclusione, l'esperienza di NTT DATA ha evidenziato come l'integrazione di attività di Red Teaming all'interno del processo di Vulnerability Management possa portare a risultati significativi in termini di miglioramento della sicurezza informatica. Questo approccio fornisce una visione più approfondita delle vulnerabilità e prepara meglio l'organizzazione a possibili attacchi, contribuendo a mitigare i rischi e a proteggere i dati aziendali.