Il Vulnerability Management a Processo

A cura di:Mattia Fierro Ore

Creare un processo di Vulnerability Management senza supportarlo equivale a non averlo affatto.
Usare un tool che non considera il processo può illudere di essere sicuri.

Le ragioni che possono spingere le aziende a prendere in seria considerazione la tematica del Vulnerability Management sono molteplici: dagli obblighi contrattuali (v. dominio #6 dello standard PCI DSS “Develop and maintain secure systems and application”) alle policy dettate dalla propria parent company, senza dimenticare la necessità di ridurre il rischio di data breach, per contenere eventuali danni d’immagine e possibili sanzioni dovute al GDPR. Non bisogna infine trascurare il fattore psicologico: in questo senso possono giocare un ruolo rilevante gli attacchi, tentati o riusciti, nei confronti della propria azienda o di realtà dello stesso settore, così come un’accresciuta consapevolezza del rischio, reale o anche solo percepito, in merito a un possibile attacco.

Indipendentemente dalle motivazioni alla base, le aziende che necessitano di gestire le vulnerabilità IT possono andare incontro a numerose difficoltà, diverse tra loro solo in apparenza, e a risultati spesso non soddisfacenti.

Nella maggior parte dei casi, il fattore debilitante è la mancanza di cultura aziendale in termini di Information Security che, in combinazione con uno scarso commitment da parte del top management, porta a sottovalutare la tematica e a limitare fortemente il budget a disposizione, l’avvio dei progetti e, di conseguenza, i risultati ottenibili. L’efficacia delle attività già in corso può essere minacciata da conflitti di competenza tra sicurezza e reparti IT, che vogliono evitare impatti sulla normale operatività.

In altre situazioni, invece, si notano aziende sprovviste di reparti dedicati alla sicurezza, ma che dispongono di reparti IT discretamente predisposti e sensibili ad alcuni temi di Information Security. In questi casi vi sono tentativi di aggiornare i sistemi e gli apparati, di intervenire sulle configurazioni, di gestire l’obsolescenza e altre attività che molto spesso si traducono in semplici azioni destrutturate e poco organizzate, quasi di “volontariato”, per correre al riparo da potenziali attacchi (dimenticando o ignorando, tra le altre cose, la parte di Application Security). Una prassi comune in questo tipo di scenario consiste nel lanciare una scansione generica, con un tool già a disposizione, su un perimetro parziale o non ben definito, per poi intervenire tecnicamente secondo tempistiche fortemente legate alle urgenze di business e alla casualità. Nemmeno questo è un approccio corretto, in quanto rischia di essere poco continuativo e stabile.

In entrambi i casi, i problemi alla radice sono simili: mancanza di un approccio basato sul rischio, di analisi preventive (si dovrebbe parlare anche di threat modelling), di gestione degli asset, ma soprattutto l’incapacità di trovare soluzioni che soddisfino le reali esigenze e di individuare corrette strategie di gestione. Il risultato? Una confusione diffusa che genera senso di smarrimento e distoglie l’attenzione dai problemi reali.

Una volta conseguita la consapevolezza sul tema del Vulnerability Management, è fondamentale che questa si traduca nel commitment necessario per proseguire con le fasi successive. In questo senso, la consapevolezza del rischio è, al pari di un budget adeguato, assolutamente propedeutica alle azioni da intraprendere – in primo luogo, la scelta di professionisti accreditati e con comprovata esperienza sul campo.

A valle di un primo assessment sullo stato dell’arte, si dovrebbe quindi procedere con la creazione, formalizzazione e messa in opera di un processo che, benché spesso venga visto soltanto come un adempimento normativo, un documento “da avere da qualche parte” atto a definire “chi fa cosa” o, peggio, una vera e propria scocciatura, è in realtà la giusta base di partenza per organizzarsi adeguatamente e giustificare le relative necessità di staffing, definendo ruoli e responsabilità, attività, tempistiche e flussi di comunicazione. In realtà, la definizione del processo può essere relativamente semplice, mentre la sua applicazione risulta essere la parte più complessa; basti pensare alla predisposizione di un ambiente di test in cui verificare le patch prima della messa in produzione, così come a garantire che il processo stesso tenga sempre conto del rapporto costi/benefici.

Essendo questo processo verosimilmente scritto a più mani, il risultato può essere scadente a prescindere da altri fattori. Uno dei problemi più gravi che si possono riscontrare nel neonato processo di Vulnerability Management è la carenza di armonia con i processi già esistenti, come il processo di Patch Management (con il quale ha diversi punti di contatto) e quello di Incident Management. Per far sì che questo non accada, occorre miscelare le best practice di settore, le competenze specialistiche e il contesto aziendale, non solo dal punto di vista organizzativo, ma anche considerando le possibilità economiche. Questo garantisce un processo formale, completo e su misura.

Una volta creato (o corretto) il processo di Vulnerability Management, è tuttavia necessario applicarlo e supportarlo con risorse adeguate. Affinché funzioni, occorre verificare la predisposizione ad interventi tempestivi mediante l’allocazione di figure tecniche di Security a presidio degli asset tecnologici. Occorrono anche figure gestionali in grado di facilitare il processo, interfacciandosi ad esempio con le altre funzioni aziendali per contrastare ritardi e segnalare criticità, sulla falsa riga di quanto avviene quotidianamente nell’ambito di un classico project management. In certi contesti, questo tipo di figura può coincidere con il profilo del Vulnerability Analyst, che, in estrema sintesi, è uno specialista che si occupa di analizzare e segnalare le vulnerabilità, per poi produrre la reportistica per i Security Manager di riferimento. Non può mancare ovviamente un incaricato al monitoraggio dell’intero processo che, in ambienti strutturati, è spesso collocato nella funzione del CISO.

Sono altrettanto necessari strumenti avanzati di Vulnerability Management a supporto dell’omonimo processo che, se dotati delle giuste caratteristiche, possono fare la differenza nel passaggio da semplici attività passive di Vulnerability Scanning (anch’esse da identificare, valutare, programmare ed eseguire secondo regole specifiche) al più efficace, efficiente e proattivo Vulnerability Management, di cui le scansioni rappresentano solo una fase. In realtà strutturate, infatti, non è più sufficiente l’utilizzo di un semplice scanner, ma è consigliabile l’utilizzo di uno strumento che sia compatibile con i principali scanner (di rete ed applicativi), centralizzando la gestione degli output che ne derivano per ottenere un totale controllo del perimetro e per un monitoraggio più efficace dei progressi.

Supportare il Vulnerability Management dal punto di vista del tool significa anche facilitare – o persino automatizzare – certi tipi di valutazioni del rischio associato ad ogni istanza di vulnerabilità, tenendo traccia in maniera strutturata di tutte le informazioni relative a remediation, mitigation e accettazione del rischio. Sarebbe auspicabile avere a disposizione anche feature che consentano la gestione delle priorità, la pianificazione di tutte le attività e la produzione di reportistica di sintesi. I principali benefici ottenibili con questo approccio sono l’ottimizzazione dell’operatività e il supporto alle decisioni, che portano ad un notevole risparmio in termini di risorse e ad una maggiore efficacia del processo. Non può nemmeno essere trascurata la necessità dei clienti di adattare il modello prestabilito alle proprie logiche di gestione, senza che queste generino conflitti o loop inaspettati una volta a regime.

Bl4ckswan lavora da anni a supporto di aziende di primaria importanza per inserire e mettere in opera tutte queste caratteristiche in J4rvis, una piattaforma che si propone come soluzione “vendor neutral” a supporto del processo di Vulnerability Management.

 

Articolo a cura di Mattia Fierro

Profilo Autore
Mattia Fierro

Dopo diverse esperienze nel settore IT, nel 2017 entra a far parte del team Bl4ckswan in qualità di Information Security Consultant.  Oggi supporta quotidianamente i clienti nel raggiungere gli obiettivi di sicurezza aziendali, soprattutto dal punto di vista della gestione delle vulnerabilità.

Condividi sui Social Network:

Articoli simili

Giacomo Araldi – Intervista al Cyber Crime Conference 2016

Giacomo Araldi – Intervista al Cyber Crime Conference 2016

A cura di:Redazione Ore Pubblicato il

Giacomo Araldi Security Product Specialyst, Computer Gross Italia Domande: Chi è Computer Gross e quali soluzioni ha per la sicurezza informatica? Qual è il ruolo del distributore e quale valore aggiunto pone nella security? Come si evolverà il ruolo del distributore negli scenari futuri?

Dì NO al ransomware: l’esclusiva serie di webinar Trend Micro

Dì NO al ransomware: l’esclusiva serie di webinar Trend Micro

A cura di:Redazione Ore Pubblicato il

In che modo puoi proteggerti contro il ransomware? Grazie al nostro programma webinar esclusivo sul Ransomware, potrai ottenere maggiori informazioni su: Evoluzione del ransomware e situazione attuale Modalità di diffusione e di infezione delle macchine da parte del ransomware In che modo Trend Micro può aiutarti contro gli attacchi ransomware: Cosa fare adesso e come…

10 linee guida per garantire sicurezza alle realtà che gestiscono infrastrutture critiche

10 linee guida per garantire sicurezza alle realtà che gestiscono infrastrutture critiche

A cura di:Redazione Ore Pubblicato il

Nell’80 per cento dei casi, gli incidenti di sicurezza in ambito industriale nascono da problematiche interne non volontarie Fortinet, leader globale nelle soluzioni di cybersecurity ad alte prestazioni, evidenzia come quasi l’80 per cento degli incidenti di sicurezza in ambito industriale siano causati da problematiche interne non volontarie, come errate configurazioni software o protocolli di…

Predire in modo accurato gli attacchi contro un sistema

Predire in modo accurato gli attacchi contro un sistema

A cura di:Fabrizio Baiardi e Federico Tonelli Ore Pubblicato il

Si possono definire due approcci, quello predittivo e quello reattivo, per la difesa di un sistema rispetto ad attaccanti intelligenti e con obiettivi predefiniti. Parliamo di un approccio reattivo quando la sicurezza è basata sulla capacità del sistema di scoprire qualsiasi attacco contro il sistema per fermare gli attaccanti prima che essi raggiungano il loro obiettivo….

12 Maggio 2016, Stadio Olimpico di Roma “SCENDE IN CAMPO” L’RSA SUMMIT

12 Maggio 2016, Stadio Olimpico di Roma “SCENDE IN CAMPO” L’RSA SUMMIT

A cura di:Redazione Ore Pubblicato il

Di fronte a minacce informatiche sempre più evolute, il fallimento non è contemplabile! Al via anche quest’anno, RSA Summit – 12 maggio 2016 – Roma Stadio Olimpico -, l’evento di RSA – la divisione di sicurezza di EMC –  per condividere informazioni con i massimi esperti in ambito security e toccare con mano le soluzioni…

Cybersecurity: dalla Privacy all’Internet of Things (IoT)

Cybersecurity: dalla Privacy all’Internet of Things (IoT)

A cura di:Crescenzio Gallo, Michele Perilli e Michelangelo De Bonis Ore Pubblicato il

Il tentativo di proteggere la Privacy oltre i confini dello stato Il 25 maggio 2018 entrerà in vigore il GDPR (General Data Protection Regulation), regolamento 679/2016 dell’Unione Europea [1] che, in quanto tale, non necessita di alcuna legislazione applicativa degli stati membri, diventando subito realtà alla sua scadenza di attuazione. E’ il primo tentativo per…