Una delle maggiori sfide di cybersecurity per un’organizzazione consiste nella gestione delle vulnerabilità. Negli ultimi 20 anni, questo processo si è esteso dalla gestione delle patch di base alla gestione dell’intera configurazione. Oggi è quindi diventato necessario un programma integrato e unico, per affrontare qualsiasi tipo di vulnerabilità si possa presentare, nelle persone, nei processi e nella tecnologia.
Senza un programma di vulnerability management efficace ed efficiente, le organizzazioni sono a forte rischio di compromissione e di danni significativi.
Esiste però il modo per migliorare la gestione delle vulnerabilità, sia che esista già un programma, sia che si stia pensando di avviarne uno partendo da zero. Il suo processo di sviluppo, in ogni caso, si può dividere nelle seguenti cinque fasi fondamentali.
1. Determinare i tipi di vulnerabilità che rientrano nell’ambito di applicazione
Sebbene la gestione delle patch e delle configurazioni sia al centro della maggior parte dei programmi, è meglio adottare un approccio olistico che comprenda ogni tipo di vulnerabilità. Ciò significa includere la garanzia che i sistemi, i servizi e il software sviluppato internamente dall’organizzazione siano sicuri by design, per impostazione predefinita. Le organizzazioni dovrebbero poi pianificare in modo proattivo come affrontare le vulnerabilità future, soprattutto quelle che si possono nascondere nelle tecnologie giunte al termine del loro ciclo di vita, quelle per cui non si può più contare sul supporto del fornitore.
2. Conoscere le risorse tecnologiche
La gestione degli asset continua a essere una sfida importante per la maggior parte delle organizzazioni. Il numero e la varietà di tecnologie fisiche e virtuali in uso stanno aumentando vertiginosamente, soprattutto da quando sono entrati in scena i servizi cloud-based e le tecnologie che rientrano nella categoria dello shadow IT. Migliorare la propria capacità di inventario delle risorse aiuta a supportare e migliorare i programmi di gestione delle vulnerabilità.
3. Stabilire processi continui per l’intera gestione delle vulnerabilità
Esistono diverse metodologie e cicli di vita per la gestione delle vulnerabilità, tutti includono i seguenti passaggi:
- Identificazione delle vulnerabilità.
- Valutazione del rischio
- Strategia per affrontare le vulnerabilità.
- Esecuzione delle azioni pianificate.
- Conferma che le vulnerabilità siano state affrontate.
Adottare un processo coerente per tutti i tipi di vulnerabilità aiuta a garantire che quelle a più alto rischio siano sempre note e che nessuna categoria venga trascurata. È importante infatti tenere presente che non tutte le vulnerabilità devono essere per forza eliminate. Per alcune, il rischio può essere sufficientemente mitigato attraverso controlli compensativi, come l’isolamento delle risorse vulnerabili all’interno di segmenti di rete appositamente protetti.
4. Implementare tecnologie per l’identificazione automatica di nuove vulnerabilità
Un tempo ci si affidava principalmente alla scansione delle vulnerabilità, ora non più. Sebbene tale processo sia ancora utile, resta solo un metodo per l’identificazione delle vulnerabilità, ma uno dei tanti a disposizione.
Oggi è meglio esaminare tutte le varie operazioni in corso, per capire dove vengono raccolte informazioni sulle vulnerabilità. Inoltre, serve diffondere una cultura del miglioramento continuo, non solo per quanto riguarda le tecnologie, ma anche le persone e i processi: anche in questi ambiti emergono delle vulnerabilità.
5. Affidarsi al processo decisionale automatizzato
La chiave per tenere il passo con le vulnerabilità è pianificare le azioni in anticipo. In questo caso, gioca un ruolo fondamentale la tecnologia: la si può sfruttare per raccogliere le informazioni necessarie su ciascuna vulnerabilità, oltre che per selezionare e avviare automaticamente l’azione appropriata.
La gestione delle vulnerabilità non deve più essere percepita come inutile e dirompente. Al contrario, va intesa come una forma di manutenzione preventiva che aiuta a gestire i problemi futuri affrontandoli alla radice. La guida del NIST (National Institute of Standards and Technology) sulla gestione delle patch sostiene il punto di vista della manutenzione preventiva. È stato infatti uno tra i primi soggetti a sostenere che la gestione delle patch, la gestione della configurazione e altri componenti della gestione delle vulnerabilità sono costi necessari per l’utilizzo della tecnologia.
