Le patch non soddisfano più tutte le esigenze di sicurezza. Perché è necessario analizzarne i risultati.

pittogramma Zerouno

Prospettive

Le patch non soddisfano più tutte le esigenze di sicurezza. Perché è necessario analizzarne i risultati.

26 Giu 2020

di Marco Rottigni

La gestione delle vulnerabilità continua a essere uno dei modi migliori per mantenere la sicurezza. Secondo l’ultimo Data Breach Investigations Report di Verizon, solo il sei per cento circa degli attacchi di hacking sono causati dallo sfruttamento di una vulnerabilità. Un’applicazione efficace delle patch è quindi un modo semplice per evitare aggressioni ai sistemi IT.

Tuttavia, la gestione delle vulnerabilità continua a evolversi in parte per l’implementazione di nuovi sistemi IT e in parte a causa del notevole incremento dello smart working dovuto alla pandemia da Covid-19. Per i team di sicurezza, la gestione delle attività è divenuta molto più complessa rispetto al semplice controllo di desktop e sistemi operativi. Le aziende infatti si devono confrontare con un deciso incremento di utenti che lavorano da remoto oltre ai servizi cloud in uso, container software e dispositivi IoT che entrano a far parte della rete aziendale. Con tutti questi cambiamenti, come possono i team di sicurezza tenere testa alle vulnerabilità?

Più piattaforme, più problemi

Uno dei più grandi cambiamenti per le aziende è incentrato sul ruolo del software al loro interno, più specificamente sui container. Questi vengono utilizzati, infatti, per raccogliere tutti gli elementi necessari per l’esecuzione di un’applicazione, e niente di più. Questo approccio semplifica l’implementazione di nuovi servizi, ed è volto a supportare i cicli di sviluppo agile e il paradigma DevOps.

Tuttavia, i container non dispongono di un modello di sicurezza predefinito in base alla progettazione, e il processo per mantenerli aggiornati e protetti è diverso da quello che viene utilizzato per i server o le macchine virtuali più tradizionali. Ciò significa un incremento nel lavoro dei team di sicurezza, che devono eseguire analisi e controlli degli host dei container, dei repository e degli ambienti live runtime; e tutto questo può richiedere molto tempo.

Oltre a ciò, le aziende hanno ampliato l’uso dei servizi cloud per l’esecuzione delle applicazioni. Il monitoraggio dei servizi cloud e dei container è reso più difficile perché queste implementazioni possono cambiare rapidamente in base alla domanda. Con carichi di lavoro variabili come questi, le tradizionali metodologie di gestione e scansione divengono obsolete. È invece necessario un tracciamento più continuativo.

Il terzo grande cambiamento è il passaggio a un lavoro “più remoto”. Nessuno avrebbe potuto prevedere la discontinuità causata dal Covid-19, ma l’incremento del lavoro mobile era già in atto da anni. È la massiccia quantità di persone che improvvisamente e contemporaneamente lavorano da casa che crea una certa pressione, poiché la maggior parte dei dispositivi utilizzati viene gestita direttamente dagli utenti invece che dai team IT. L’applicazione degli standard di sicurezza e la garanzia che le patch siano effettivamente implementate su tutti i computer e dispositivi è sicuramente più difficile senza un’adeguata pianificazione.

Come risolvere i problemi

Per vincere la sfida della vulnerabilità, ci sono una serie di passi da seguire che possono semplificare il processo di sicurezza. Il primo è quello di ottenere una migliore visibilità su tutte le piattaforme e su tutte le risorse: dalle risorse IT classiche, come endpoint e server, a dispositivi diversi connessi in rete e in cloud, fino all’adozione di container. Sarà necessaria una combinazione di scansione attiva e passiva della rete, agenti sui dispositivi e scansione dei container.

Completato l’inventario iniziale, bisogna mantenerlo aggiornato. Tutti questi diversi gruppi di risorse devono essere monitorati e costantemente aggiornati, per quanto rapidamente cambino. In effetti, la scansione delle vulnerabilità deve essere continua, proprio perché i cambiamenti possono avvenire in qualsiasi momento. È necessaria la rilevazione delle attività dinamiche e critiche relative alla tecnologia operativa così come quella dei sistemi di controllo industriale che cambiano molto raramente. Questi dati servono a evidenziare quali rischi esistono e come assegnare la priorità.

Una volta ricavati, i dati possono essere inseriti all’interno dei processi e dei flussi di lavoro, migliorandone l’efficienza. Oltre a consentire un approccio specifico basato sulle priorità di rischio, è possibile utilizzare questi dati per informare i diversi team aziendali in merito ai cambiamenti e all’impatto che si è verificato. Con l’integrazione in flussi di lavoro standardizzati è possibile automatizzare alcuni dei passaggi che richiederebbero tempo per essere eseguiti dagli addetti alla sicurezza. Allo stesso modo, è possibile esaminare come comunicare queste informazioni tra divisioni, incorporando i dati dalla scansione delle vulnerabilità di sicurezza negli strumenti e nei cicli DevOps.

Infine, il cambiamento in atto deve essere parte del flusso di lavoro per tutti i team, non solo per la sicurezza. È più difficile fare in modo che il cambiamento avvenga quando è utile solo per un reparto. Per coloro che sono coinvolti nello sviluppo di software, semplificare la scansione su richiesta può essere utile per permettere agli sviluppatori di identificare potenziali problemi autonomamente, piuttosto che attendere l’intervento dei team di sicurezza. Idealmente, questa attività può essere standardizzata nella pipeline di integrazione continua/distribuzione continua (CI/CD) con l’inserimento degli strumenti di scansione tramite le API.

Garantire il futuro

Apportare questo cambiamento alla gestione delle vulnerabilità comporta un flusso di lavoro e una mentalità nuovi. Piuttosto che scansioni statiche e una tantum, le vulnerabilità vengono costantemente scoperte, rilevate e corrette. Ciò significa il passaggio da un insieme di attività autonome a un processo continuo e in perenne evoluzione che si rinnova costantemente, abbassando la pressione sul team che si occupa di sicurezza. Lo sviluppo di nuove metriche per tenere traccia dell’efficacia delle patch è quindi una soluzione valida.

Considerare il Tempo di Rimedio (TTR) può essere utile. TTR dovrebbe essere un sistema per valutare l’efficacia nella soluzione di problemi, sia che si tratti di patch semplici oppure di progetti più complessi che coinvolgono più applicazioni. Per le app che non possono essere aggiornate, si possono esaminare i controlli di compensazione e la frequenza con cui questi vengono testati e aggiornati. Una dashboard o una visualizzazione di queste attività permette di valutare l’operato del team e gli consente di migliorarsi.

Al fine di incrementare la sicurezza e gestire le vulnerabilità in modo efficace è fondamentale evolvere continuamente. Il volume delle vulnerabilità continua a salire di anno in anno – da 18.153 nel 2018 e 18.938 nel 2019 supererà i 20.000 se il tasso di diffusione delle vulnerabilità prosegue con l’andamento attuale, secondo i dati dell’US National Vulnerability Database. Il monitoraggio di questi problemi è impossibile manualmente, e la frequenza di scansione dovrà diventare continua per tenere il passo con il cambiamento. Andare oltre la gestione delle vulnerabilità adottando un processo patching più avanzato sarà essenziale. È solo ottenendo una migliore comprensione di come si sta operando che si può continuare a migliorare.

R

Marco Rottigni

CTSO EMEA di Qualys

Argomenti trattati

Approfondimenti

S
Software Container
Le patch non soddisfano più tutte le esigenze di sicurezza. Perché è necessario analizzarne i risultati.

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 3