Fase vitale nella pianificazione di una strategia di sicurezza, il vulnerability management spesso è poco conosciuto, nonostante sia di fondamentale importanza. In cosa consiste? In che contesto va inserito e, soprattutto, che benefici apporta nei processi aziendali? Vediamo in questo articolo tutti i segreti del vulnerability management e il suo impatto sulla sicurezza.
Troppe vulnerabilità da considerare
“Oltre 19.000”: tante sono state le vulnerabilità rilevate solo lo scorso anno, spiega Lorenzo Bernini di HWG. E ovviamente si tratta solo di quelle scoperte e pubblicate. Una quantità enorme, che non può essere fisicamente gestita da ogni azienda. Una vulnerabilità, vale la pena ricordarlo, di solito è un errore di programmazione del software, o di cattiva configurazione, che apre brecce pronte per essere sfruttate dai criminali informatici per penetrare nei sistemi. Considerare ogni singola vulnerabilità scoperta, e questo è il vero messaggio, è impossibile. E, dunque, occorre fare una scelta.
Il vulnerability management come processo
“La vulnerability management è una baseline di sicurezza ed è inclusa nella maggior parte degli standard richiesti dal mercato”, racconta Bernini. Che aggiunge: “È sulle modalità del processo, adottate da molte aziende, che c’è da discutere”.
Si vuole quindi sottolineare che, sebbene le aziende siano a conoscenza del tema delle vulnerabilità, e di come queste rappresentino un problema di rilievo nella sicurezza informatica, la loro gestione rientra di rado nei processi di lavoro e analisi. Il vulnerability management, dunque, non è una pratica di routine, ed è su questo versante che si deve lavorare.
Conoscere gli asset dell’azienda
“Innanzitutto, occorre effettuare un assessment degli asset presenti in azienda”, continua Lorenzo Bernini. “Non posso mettere in sicurezza ciò che non conosco”, chiosa l’esperto. Spesso, infatti, si tende a sottostimare la quantità e diversificazione di tecnologie presenti nell’azienda. La sicurezza, insomma, non passa solo per quella informatica, ma anche per dispositivi come lettori di badge, tornelli e antifurti, per non parlare dell’Internet of Things (IoT). Il rischio è di ignorare la mole di vulnerabilità a cui sono soggette anche queste tecnologie. Ed è per questo che è utile effettuare un vulnerability assessment, anche se occorre distinguerlo bene dal vulnerability management.
Differenza tra vulnerability assessment e vulnerability management
“Un vulnerability assessment è una fotografia, in un certo momento, delle vulnerabilità di un sistema, e per questo non è inserito in un vero processo aziendale: si genera un report, quando va bene, senza tuttavia avere piena evidenza del rischio”, continua Bernini. Il vulnerability management, invece, è un processo e come tale va scadenzato, misurato nel tempo e deve avere un preciso ritorno di investimento. E soprattutto, deve avere lo scopo di dare priorità. Proprio perché non è possibile tenere conto di tutte le vulnerabilità, è necessario capire quali impattano di più su una determinata azienda. non è detto che una vulnerabilità considerata universalmente grave abbia un grande impatto in un determinato sistema.
Quali sono le vulnerabilità prioritarie?
Al contrario, una vulnerabilità valutata di basso livello potrebbe avere effetti devastanti. È proprio per questo che il vulnerability management deve entrare, di diritto, tra i processi aziendali. Solo così si possono monitorare le vulnerabilità sulla base di fonti diverse. Per esempio, individuando quelle più utilizzate dagli attaccanti in un dato periodo, o quelle più vendute nel Dark Web.
Il fine ultimo di un buon vulnerability management è sviluppare una strategia di mitigazione o eliminazione delle vulnerabilità sulla base del loro impatto in una specifica infrastruttura aziendale. Scoprendo, spesso, che le peggiori sono le più banali. Bernini, infatti, chiude raccontando di quelle che gli capitano più spesso di vedere nelle aziende italiane: “Sistemi obsoleti e scarsi aggiornamenti, ovviamente”.
