Tra gli strumenti di prevenzione, il vulnerability management viene considerato una sorta di “chiave di volta” per qualsiasi strategia di cyber security. Il motivo è intuitivo: l’individuazione e la correzione delle vulnerabilità permette, infatti, di ridurre enormemente la superficie d’attacco di cui possono approfittare i pirati informatici. L’adozione di sistemi di vulnerability management è il primo passo per garantire la sicurezza dei sistemi. La prevenzione degli attacchi informatici passa infatti da un’attenta e accurata analisi delle vulnerabilità presenti.
Vulnerability management: intervenire prima dell’attacco
Quando si parla di vulnerability management, il fattore tempo è certamente fondamentale per numerosi motivi. Il primo, e più ovvio, è che individuare una falla di sicurezza prima dei pirati informatici consente di “chiudere” il varco prima che qualcuno possa approfittarne. Questo vale soprattutto per le vulnerabilità dovute a elementi strutturali, come la presenza di servizi esposti su Internet o l’assenza di procedure di autenticazione per l’accesso a determinate funzionalità o risorse. Il secondo motivo è invece legato alla gestione degli aggiornamenti di sicurezza, che consentono di eliminare bug e vulnerabilità nei software aziendali, permettendo così di prevenire eventuali attacchi che utilizzino exploit basati su vulnerabilità note. Un aspetto che, purtroppo, ancora oggi viene troppo spesso sottovalutato e rappresenta invece un elemento fondamentale nella predisposizione di un sistema di cyber security efficace.
Dietro le quinte del vulnerability management
La filiera degli aggiornamenti di sicurezza è piuttosto complessa. Oltre all’attività degli sviluppatori interni, le aziende che producono software (anche a livello di firmware per la gestione dei dispositivi) si avvalgono dell’aiuto di numerosi esperti di sicurezza che partecipano a una sorta di “caccia alle vulnerabilità”. Lo strumento utilizzato è quello del bug bounty, cioè di un programma che prevede delle ricompense in denaro per i ricercatori che individuano una vulnerabilità nel software del produttore. Questo processo, ormai considerato un sistema estremamente “rodato”, si svolge per tappe e si basa sul concetto di responsible disclosure, cioè di una comunicazione da parte del ricercatore che si impegna a mantenere riservate le informazioni riguardanti la vulnerabilità fino a quando non sarà disponibile l’aggiornamento che la corregge. Se tutto va liscio (molti ricercatori impongono un termine di 60 o 90 giorni per pubblicare la patch, trascorsi i quali rendono comunque pubblici i dettagli della falla di sicurezza) le informazioni sulla vulnerabilità diventano accessibili a tutti solo quando è disponibile l’aggiornamento. In teoria, quindi, gli utenti hanno modo di proteggersi prima che un cyber-criminale abbia la possibilità di sviluppare un exploit basato su quella specifica vulnerabilità e sfruttarlo per un attacco.
Sistemi di vulnerability management: cosa serve
È evidente, di conseguenza, che ridurre al minimo necessario i tempi necessari per l’applicazione delle patch è una di quelle “buone pratiche” che consente di migliorare il livello di sicurezza di tutti i sistemi. Adottare quindi un sistema di vulnerability management che preveda un sistema “automatico” per correggere le falle di sicurezza è assolutamente indispensabile. Per farlo, oltre ad affidarsi a un sistema gestito, è indispensabile stabilire policy e procedure che consentano di ottimizzare la collaborazione tra il team di sicurezza e gli amministratori IT, in modo da tagliare i “tempi morti” e rendere più rapida l’implementazione degli aggiornamenti. Un’attività di vulnerability management per essere efficace, inoltre, deve prevedere anche la predisposizione di tutti i sistemi di protezione (a livello, per esempio, di controllo di traffico e impostazione dei sistemi) che consentono di mitigare il rischio di un attacco nell’arco di tempo precedente all’applicazione delle patch, quando cioè vengono eseguiti i test per verificare la compatibilità a livello IT dei software aggiornati. Si tratta di tecniche spesso definite come virtual patching, che richiedono in ogni caso un intervento mirato da parte di esperti di sicurezza (per esempio a livello di Security Operation Center) che siano in grado di valutare sia il livello di rischio collegato alle vulnerabilità, sia la soluzione più efficace per bloccare eventuali attacchi.
