La corretta gestione delle patch è una componente importante dell’igiene della sicurezza informatica. Se le organizzazioni non applicano le correzioni ai bug del software in modo tempestivo, rischiano di esporsi a una varietà di minacce. Ma cercare di correggere i bug identificati dal programma Common Vulnerabilities and Exposures (CVE) non è una soluzione completa. Le organizzazioni devono fare molto di più.
I programmi CVE e CVSS sono componenti essenziali dei sistemi di gestione della sicurezza delle informazioni (ISMS) nella maggior parte delle organizzazioni, ma hanno chiaramente dei problemi. Il programma CVE offre un riferimento per le vulnerabilità e le esposizioni pubblicamente note. CVSS fornisce un modo per catturare le principali caratteristiche di una vulnerabilità e produrre un punteggio numerico che ne rifletta la gravità. Tra le molte sfide con questi programmi, CVSS non è una vera indicazione del rischio che un CVE rappresenta per un’organizzazione. Questo perché tenta di prendere in considerazione l’ambiente, ma ha solo un successo limitato.
La quantità di rischio per un’organizzazione dipende interamente dalle sue condizioni commerciali, non dal punteggio CVSS. Inoltre, il modello matematico alla base dei CVE è imperfetto, in parte perché i punteggi CVE bassi sono sottorappresentati nei dati. Un CVE basso potrebbe essere proprio la vulnerabilità che colpisce la tua azienda. (Ulteriori dettagli sui problemi con la matematica possono essere trovati qui al Theory of Predictable Software, che esegue un’approfondita analisi della matematica alla base del CVE punteggi per”capire come funziona, cosa fa bene e cosa no.”)
Inoltre, ogni giorno vengono pubblicati più di 50 CVE. È irragionevole aspettarsi che un team di sicurezza li esamini tutti e, anche se lo facessero, non tutti i CVE contengono tutte le informazioni di cui il team ha bisogno per applicare efficacemente le patch. Il team può dare la priorità ai CVE importanti, ma non è sempre chiaro quali presentino effettivamente il rischio maggiore per un dato ambiente. Prendi in considerazione i plug-in di terze parti, ad esempio. Se un’organizzazione utilizza una piattaforma come WordPress, una gestione delle patch efficace e tempestiva dovrebbe garantire la sicurezza dell’applicazione principale. Ma con WordPress, come molte altre piattaforme, la maggior parte degli utenti fa affidamento su plug-in e componenti aggiuntivi per migliorare le applicazioni che crea. In molti casi, questi plug-in non sono coperti da processi formali di segnalazione.
Esecuzione di un approccio proattivo alla sicurezza completa
Le organizzazioni devono essere più proattive. La gestione reattiva delle patch avrà sempre un posto importante in una strategia di sicurezza completa. Ma il tempo di permanenza tra il momento in cui viene identificata una vulnerabilità e il momento in cui i malintenzionati possono sfruttare il difetto si è ridotto. Ciò rende la superficie di attacco troppo difficile da gestire semplicemente cercando di tenere il passo con le patch alle vulnerabilità man mano che vengono identificate. In realtà, la maggior parte delle organizzazioni non riesce a tenere il passo con la gestione delle patch.
A recente sondaggiomostra che il 76% delle vulnerabilità attualmente sfruttate è noto da prima del 2020. Le aziende sono chiaramente sopraffatti e non in grado di correggere efficacemente le vulnerabilità che effettivamente incidono sulla loro attività. Le aziende devono considerare la gestione delle patch nel contesto di soluzioni di sicurezza informatica olistiche.
Ciò di cui le aziende hanno bisogno per affrontare le odierne sfide di sicurezza scoraggianti è un test di penetrazione continuo che fornisca una gestione completa della superficie di attacco esterno (EASM).
Un programma EASM solido e completo risponde a quattro domande fondamentali:
Quali risorse Internet ha l’organizzazione? Quali vulnerabilità o anomalie presenta e in che modo incidono sull’ambiente che stai proteggendo? Dove dovrebbe concentrare la sua attenzione il team di sicurezza? Come può il team correggere eventuali vulnerabilità o rischi esistenti?
Negli ultimi anni, le organizzazioni sono passate rapidamente al cloud, con diversi gruppi aziendali che hanno lanciato una varietà di servizi cloud che non sono sempre gestiti centralmente. Ciò ha creato problemi di sicurezza perché i team IT e di sicurezza potrebbero anche non essere a conoscenza delle risorse cloud che potenzialmente espongono i dati tramite Internet. Questo è il motivo per cui è importante che il programma EASM rilevi tutte le risorse prima che i malintenzionati abbiano la possibilità di eseguire strumenti automatizzati per rilevare e monitorare la superficie di attacco dell’organizzazione.
La scoperta delle risorse può essere ottenuta mediante la costante ricerca di nuovi sottodomini per scoprire nuovi servizi non appena diventano disponibili. Una volta scoperte le risorse digitali, scansionale per trovare vulnerabilità e anomalie. La chiave è utilizzare strumenti che eseguono le stesse attività di ricognizione che un criminale informatico utilizzerebbe per attaccare l’organizzazione.
Il passaggio successivo consiste nell’assegnare la priorità alle vulnerabilità e alle anomalie, dalla più alla meno critica. In questo modo, i team di sicurezza possono concentrare immediatamente i propri sforzi su ciò che rappresenta il rischio maggiore per loro. Come parte della definizione delle priorità, i team possono raggruppare le risorse in base a una serie di criteri preimpostati. Il passaggio finale consiste nel correggere eventuali vulnerabilità che devono essere risolte. Poiché molte organizzazioni non dispongono delle risorse o delle competenze per fornire correzioni, è importante utilizzare processi e strumenti che forniscano consigli pratici su come risolvere una vulnerabilità. Ad esempio, assicurati di fornire ai team informazioni come l’URL della richiesta, il payload utilizzato per identificare la vulnerabilità, i frammenti di codice e gli screenshot quando sono disponibili.
Gli attuali metodi per trovare e correggere le vulnerabilità, basati su CVE e CVSS, hanno i loro meriti. Ma alla fine, si tratta di soluzioni imperfette che non forniranno il livello di sicurezza di cui le organizzazioni hanno bisogno oggi. Stanno potenzialmente lasciando le aziende esposte a livelli di rischio più elevati di quanto probabilmente si rendano conto. Le aziende devono disporre di strategie e soluzioni che forniscano le competenze e l’automazione necessarie per aiutare i team di sicurezza ad affrontare le vulnerabilità nel modo più efficiente possibile. In questo modo, le organizzazioni possono essere più proattive con la sicurezza.
Credito immagine: Rawpixel /depositphotos.com
Rickard Carlsson è CEO e co-fondatore di Detectify .