Il 2022 è stato un anno record di vulnerabilità. Scopriamo quindi alcuni dei principali trend da considerare nel 2023 per un programma di Vulnerability Management efficace.

Da un recente sondaggio Ponemon su oltre 3.000 organizzazioni, il 60% dei data breach da esse subiti è attribuibile a vulnerabilità di sicurezza già note.
Il 2022 è stato un anno record di vulnerabilità: il National Vulnerability Database (NVD) ha registrato oltre 26mila nuove vulnerabilità, con un aumento di quasi il 60% rispetto al 2021 di quelle ad alta criticità. Con una media di un nuovo CVE ogni 20 minuti, è facile immaginare quanto sia complicato per gli esperti di sicurezza gestire efficacemente la valutazione, prioritizzazione e mitigazione delle vulnerabilità.
Queste difficoltà, destinate a crescere in maniera sempre più rapida e incontrollata, hanno portato le organizzazioni all’adozione di programmi di Vulnerability Management: processi ciclici e continui di identificazione, categorizzazione e gestione delle vulnerabilità di software e sistemi. Per la loro efficacia è però necessario un continuo monitoraggio e aggiornamento, che tenga conto dei mutamenti di uno scenario dinamico e variabile come quello della cyber security.

Quali sono, dunque, le principali evoluzioni che le organizzazioni dovranno prendere in considerazione? Scopriamolo insieme.

1. Superficie di attacco da proteggere sempre più ampia e patching sempre meno efficace

Negli ultimi anni, e in particolare dal 2020 con la pandemia, la rapida digitalizzazione dei modelli di business e modalità di lavoro delle aziende ha sensibilmente aumentato la “digital footprint” delle organizzazioni, offrendo ai cyber criminali una superficie più estesa su cui operare e, quindi, gravando i team di security di un numero maggiore di vulnerabilità da gestire.
Questa espansione è al primo posto tra i top trends nel 2022 di Gartner per la sicurezza informatica. Si stima che entro il 2026 la percentuale di superficie di attacco su cui non sarà possibile applicare patch crescerà da meno del 10% attuale a più della metà dell’esposizione totale dell’azienda. Sarà pertanto importante che i programmi di VM, andando oltre le attività di patching, assumano un approccio più esteso e basato sul rischio, integrando altri fattori che giocano un ruolo fondamentale nella visibilità di questa superficie in espansione, come la gestione delle configurazioni e l’aggiornamento dei software, supportato da tool di asset discovery e management.
Il VM andrà pertanto ad inserirsi sempre di più in un più ampio contesto di Exposure Management, per fornire una visione ancora più completa, trasversale e integrata sull’intera superficie di attacco, mettendo a fattor comune informazioni provenienti da diversi tool di assessment, come software di VA, OT, superficie di attacco esterna, configurazioni su public cloud e molte altre.

2. Prioritizzare la remediation in base al rischio, anche con l’aiuto dell’Artificial Intelligence

La crescita esponenziale delle vulnerabilità aggraverà una situazione già critica di gestione delle vulnerabilità e loro remediation. Questo renderà ulteriormente imprescindibile una prioritizzazione corretta delle attività di mitigazione, che consenta ai professionisti di sicurezza di comprendere, in modo rapido e preciso, l’ordine delle vulnerabilità da gestire, considerando il loro rispettivo livello di rischio potenziale.
In questo senso, oltre alla gravità della vulnerabilità, indicata dal CVSS, bisogna tener conto di altri due fattori fondamentali. Il primo è il contesto di business: è importante usare le informazioni di business e di IT per determinare quali vulnerabilità siano più rischiose per l’organizzazione e, quindi, le prime da rimediare. Tra queste: Registri di rischio, Change management Systems, CMDB, risultati dei penetration test, controlli di sicurezza di rete. Il secondo è la probabilità effettiva che una vulnerabilità sia sfruttata, al momento della sua rilevazione (dato già insito nel CVSS), e soprattutto, nel tempo. È quindi importante utilizzare, nella prioritizzazione, dati di Threat Intelligence, per comprendere quali siano le vulnerabilità sfruttate attivamente in un dato momento che, pertanto, necessitano di remediation più urgente rispetto ad altre apparentemente più critiche, ma al momento non sfruttate. Spesso, infatti, i cyber criminali sfruttano vulnerabilità di criticità media per aumentare le proprie possibilità di successo, sperando (il più delle volte con ragione) che la maggior parte degli sforzi dei team di sicurezza sia concentrata a rimediare vulnerabilità con CVSS più alto.
Per riuscire al meglio nella prioritizzazione delle remediation, e renderla più proattiva e predittiva, molte organizzazioni iniziano ad implementare logiche di intelligenza artificiale e machine learning. L’uso di algoritmi di predictive modeling consente di elaborare rapidamente enormi volumi di dati, arricchendo le informazioni di vulnerabilità con feed di intelligence provenienti da fonti diverse, e di determinare e prevedere, con miglior precisione, quali vulnerabilità hanno maggiori probabilità di essere sfruttate.

3. Criticità e gestione degli Asset avranno un ruolo sempre più importante nei processi di Vulnerability Management

Per l’efficacia di un programma di VM è importante comprendere “cosa” si vuole proteggere, oltre che “da cosa” (le minacce). Questo “cosa” è costituito dall’insieme di asset aziendali: complesse interconnessioni di device mobili e desktop, server, installazioni in cloud, applicazioni, IoT e molto altro, la cui configurazione e quantità cambiano continuamente.
Affinché questo non comporti un’espansione incontrollata della superficie di attacco, le organizzazioni devono gestire e mantenere un inventario di tutti gli asset, delle loro rispettive caratteristiche (identificative, di proprietà, posizione, presenza di informazioni sensibili e potenziale impatto sul business), e i diversi livelli di criticità. Maggiore è il livello di criticità dell’asset, tanto più è urgente che eventuali vulnerabilità che insistono su di esso vengano rimediate.
Avere informazioni complete ed aggiornate in depositi strutturati come i CMDB, consente di arricchire il proprio programma di VM con una serie di processi quali Change Management, Incident Response e Configuration Management, a beneficio di una migliore gestione delle remediation.
Dalle analisi di Gartner emerge che l’Asset Management e l’Attack Surface Management sono destinati progressivamente a convergere tra di loro. Infatti, si stanno facendo strada tools e capabilities di Cyber Asset Attack Surface Management (CAASM), integrati con i CMDB, in grado di raccogliere vulnerabilità da fonti diverse e sovrapporvi informazioni e dipendenze di asset. A tendere, si prevede che i CAASM andranno a loro volta a costituire in misura sempre maggiore parte integrante dei processi di VM, consentendo una collaborazione più serrata tra i gruppi IT e quelli di Security nella gestione degli incidenti di sicurezza.

4. Il Vulnerability Management come funzione “As A Service”

La modalità di delivery “As a service” ha già coinvolto moltissime aree dell’IT e della Sicurezza Informatica. Il VM, che si fa carico della gestione e armonizzazione di persone, tecnologie e processi lungo l’intera struttura di gestione delle Vulnerabilità, non fa certo eccezione. La mole di vulnerabilità e la complessità della superficie di attacco da proteggere ne rendono la gestione un compito a dir poco titanico per organizzazioni di tutte le dimensioni, da quelle meno strutturate, che hanno a disposizione un numero più ridotto di risorse umane e tecnologiche, alle imprese più grandi con architetture spesso molto complesse. Per questo motivo sempre più aziende decidono di affidarsi a partner in grado di fornire loro servizi gestiti e completi di VM.

Consapevoli di questo crescente bisogno, Alfa Group ha strutturato un servizio gestito di Vulnerability Management. Un gruppo di esperti, coadiuvati da tecnologie proprietarie e leader di mercato in ambito Vulnerabilità e Gestione della Cyber Exposure, supportano il Cliente nell’implementazione di un framework per la gestione di tutte le fasi del processo di Gestione delle Vulnerabilità, dalla scansione, alla prioritizzazione, al tracciamento del flusso di remediation, al reporting, con i seguenti benefici:

• Rafforzare la Cyber Security Posture mediante un Approccio proattivo basato sul rischio
• Maggiore collaborazione tra i team IT, Applications e Security
• Riduzione significativa delle attività manuali e del costo totale di proprietà
• Riduzione della Cyber Exposure attraverso una risposta più rapida

Scopri di più sulle soluzioni Alfa Group in ambito Vulnerability Management