Continuous Vulnerability Management: cos’è e come gestirla

In questo articolo

L’integrazione di una strategia di Continuous Vulnerability Management è spesso uno degli aspetti più critici all’interno di un programma di sicurezza informatica, nonostante sia riconosciuto come un approccio vincente atto a ridurre la superficie di attacco, anche per quelle tipologie di attacchi informatici con una maggior percentuale di successo.

Quando si parla di sicurezza informatica, la differenza principale tra una gestione delle vulnerabilità più “tradizionale” e un Continuous Vulnerability Management è che nel primo caso le vulnerabilità vengono scansionate periodicamente e risolte manualmente, mentre un approccio di Continuous Vulnerability Management fornisce invece un monitoraggio 24/7 di un ambiente IT e grazie alle automazioni, si riduce sia il carico sui team di sicurezza IT che il tempo medio di risoluzione, con un ritorno d’investimento maggiore in cybersecurity.

Adottare una strategia di cyber security più “tradizionale”, con assessment e scansioni periodiche, può esporre, inoltre, a gap di sicurezza tra una sessione e l’altra, che gli aggressori possono facilmente sfruttare.

Le tecnologie di gestione delle vulnerabilità informatiche di nuova generazione semplificano le attività, riducono i costi e aumentano il ritorno sull’investimento in sicurezza (ROSI) di un programma di sicurezza informatica.

Possiamo definire Continuous Vulnerability Management l’insieme dei processi automatizzati che supportano il monitoraggio in tempo reale delle vulnerabilità informatiche e la mitigazione degli stessi, all’interno dell’intera rete di un’azienda.

L’automazione nella gestione delle minacce informatiche:

• riduce il tempo medio per intervenire;
• fornisce dati sulle minacce, arricchiti di consigli per la loro risoluzione;
• supporta la gestione dei rischi assegnando automaticamente priorità alle vulnerabilità in base al livello di rischio.

La gestione continua delle vulnerabilità riduce inoltre al minimo il tempo di esposizione alle vulnerabilità, limita la finestra di opportunità per gli aggressori ed è uno dei requisiti per soddisfare le migliori pratiche e le conformità in termini di sicurezza IT tra i controlli di sicurezza critici CIS.

I vantaggi della gestione dei rischi cyber sono evidenti: le infrastrutture semplicemente non possono essere protette senza processi che mirano alla loro risoluzione.

Tuttavia, la gestione più “tradizionale” delle vulnerabilità è ormai un vecchio paradigma, che non riduce in modo efficiente ed efficace il tempo di esposizione o la superficie di attacco.

Se i criminali informatici utilizzano infatti strumenti in grado di monitorare continuamente le aree di attacco del loro obiettivo per individuare nuove falle di sicurezza, le aziende devono indirizzare i loro sforzi su tecnologie di gestione delle vulnerabilità di nuova generazione.

Le scansioni periodiche e le valutazioni delle vulnerabilità non sono infatti sufficienti, considerato il fatto che l’infrastruttura IT aziendale è in costante mutamento, con aziende che implementano tecnologie sempre nuove in diversi ambiti, ad esempio per aumentare la loro produttività oppure per monitorare e gestire gli impianti produttivi come accade in ambito industria 4.0.

L’implementazione costante di nuove tecnologie implica infatti che nuove vulnerabilità vengano aggiunte all’ambiente IT, e nemmeno valutazioni trimestrali o mensili sono sufficienti a garantire un elevato grado di protezione, dal momento che la finestra di esposizione tra le scansioni periodiche si rivela un’opportunità aperta per gli attaccanti nello stare al passo con l’infrastruttura dei difensori.

Su base giornaliera, gli attaccanti cercano di scoprire e rivelano infatti nuove falle nei sistemi IT, e persino una sola vulnerabilità potrebbe offrire un punto d’ingresso ad un utente malintenzionato, mettendo a rischio l’intera azienda.

La gestione tradizionale della sicurezza informatica crea solo un risk assessment “point in time” all’interno di un ambiente IT. Questo approccio genera un “exposure time”, ossia un punto cieco, mentre il vero rischio all’interno dell’infrastruttura IT di un’azienda non è visibile.

La gestione continua e automatizzata delle vulnerabilità aggrega e analizza i dati sulle criticità nell’intero ambiente IT in tempo reale e li combina in una Cyber Threat Intelligence (CTI).

Un processo di Continuous Vulnerability Management di nuova generazione fornisce invece ai team di sicurezza IT una serie di informazioni sulle vulnerabilità con priorità di rischio, oltre a procedure e consigli per una risoluzione tempestiva, grazie alla capacità di intraprendere azioni immediate.

Il Cyber Threat Intelligence (CTI) è un flusso costante di nuove informazioni, alert di sicurezza e processi correttivi.

Questa tipologia di approccio e l’enorme quantità di dati generati, rendono la gestione tradizionale della sicurezza informatica un processo dispendioso in termini di tempo e risorse umane, che può portare i membri del team di cyber security a livelli di affaticamento importante.

Le soluzioni di Continuous Vulnerability Management automatizzate, non solo aiutano a rendere i processi più veloci ed efficienti rispetto alle scansioni tradizionali, ma rendono anche il programma di gestione delle vulnerabilità più efficace riducendo il potenziale di errore umano.

Gli strumenti di sicurezza informatica di nuova generazione, consentono al personale IT di dedicare meno attenzione all’analisi dell’ambiente e delle minacce e più risorse nel migliorare la sicurezza dell’infrastruttura di rete, correggendo le vulnerabilità a monte grazie all’utilizzo dei dati.

Sei interessato ad una consulenza sulla Cyber Security?

Se molte PMI non dispongono di un team IT interno e altre, nonostante siano più strutturate, non hanno nel proprio organico figure IT specializzate in sicurezza informatica come i CISO, un Continuous Vulnerability Management è un’opportunità per le aziende, sia per semplificare le task quotidiane che per rafforzare la resilienza operativa e ottenere garanzie più solide sui rischi informatici.

Alcune aziende maturano la necessità di passare a scenari di gestione continuativa dei rischi cyber in momenti specifici nei quali vogliono, ad esempio:

• Migliorare il ritorno sull’investimento in sicurezza (ROSI)
• Semplificare e ottimizzare il programma di gestione della sicurezza informatica

Altre specificità possono emergere quando un’azienda opera in un settore con un rischio cyber molto alto oppure in un momento storico nel quale sta crescendo rapidamente in termini di dimensioni e tecnologie.

ROSI significa “Return On Security Investment“, e questo acronimo identifica il lavoro di valutazione dei potenziali vantaggi di un investimento in sicurezza, in particolare in sicurezza informatica.

Il ROSI valuta, inoltre, le proiezioni delle perdite finanziarie che l’investimento in cyber security può prevenire, facendo un calcolo del valore della riduzione del rischio in termini monetari.

Tra le motivazioni degli investimenti sulla sicurezza troviamo:

• Contenere il rischio operativo: ridurre il livello di rischio operativo legato alla gestione IT
• Garantire la compliance: rispondere ai requisiti imposti dalle normative vigenti, il cui mancato adempimento può comportare delle sanzioni
• Proteggere la reputazione aziendale: ridurre il rischio di un impatto negativo sull’immagine aziendale
• Aumentare l’efficienza dei processi: maggior efficienza sia nella gestione IT che nei processi di business, riduzione di tempi e costi nell’esecuzione delle attività

L’approccio Continuous Vulnerability Management riduce il rischio e i costi potenziali di un attacco informatico, identificando immediatamente le vulnerabilità non appena si presentano all’interno dell’ambiente IT di un’impresa.

Le tecnologie automatizzate che supportano questa attività, forniscono ai membri del team di sicurezza IT dati preziosi sulle minacce cyber. Grazie a database elaborati da aziende specializzate in cyber security e all’assegnazione di un punteggio, in relazione al livello di priorità del rischio e calcolato in base alle caratteristiche aziendali uniche in ciascuna azienda.

Questa metodologia riduce il rischio di errori umani e consente al personale IT di dedicare maggiori risorse ad attività con un valore aggiunto più elevato.

Le aziende, di qualsiasi dimensione, stanno provvedendo ad aumentare le loro risorse per la sicurezza informatica in risposta a:

• Nuove normative e requisiti di conformità
• Minacce cyber che aumentano esponenzialmente in termini di frequenza e costi di ogni violazione che sono sempre più alti

Le tecnologie di gestione delle vulnerabilità informatiche di nuova generazione sono più efficaci rispetto ai metodi tradizionali, e permettono di accedere a competenze e conoscenze di professionisti della sicurezza IT in tutto il mondo. Forniscono inoltre analisi quantitative per la definizione delle priorità basate sui dati e la visibilità del rischio, riducendo il tempo medio per l’applicazione delle patch.

Dal report CLUSIT 2023 relativo alla distribuzione delle vittime di attacchi cyber in Italia, la categoria merceologica per cui si rileva un maggior numero di attacchi è di tipo “Government” (20% del totale), seguita a breve distanza da “Manufacturing” (19%).

La ripartizione è significativamente diversa rispetto a quella del campione a livello mondiale, in cui le due categorie raccolgono rispettivamente il 12% e il 5% degli attacchi (terza e settima posizione).

Da evidenziare che gli incidenti rivolti al “Manufacturing” rilevati in Italia, rappresentano il 27% del totale degli attacchi censiti a livello globale nei confronti di questo settore.

Questa categoria è caratterizzata da imprese con alti valori finanziari e da un perimetro IT tra i più difficili da difendere perché le aziende di questo settore sono competitive, a crescita veloce e adottano continuamente nuove tecnologie per aumentare la produttività.

Per aziende di questo tipo non è una questione di “se” saranno attaccate ma piuttosto di “quando”, con attacchi informatici che si evolvono quotidianamente.

Per garantire solide garanzie sui rischi cyber, le difese informatiche devono adeguarsi al ritmo delle attività degli aggressori e colmare il gap di sicurezza nell’intero ambiente IT di un’impresa.

Ogni azienda ha un obiettivo di crescita e la maggior parte dell’attenzione è focalizzata direttamente sull’aumentare, ad esempio, la propria base clienti, i ricavi e i margini di profitto.

Tuttavia, la crescita comporta anche un aumento del rischio. Quando un’azienda amplia i propri servizi, spesso gestisce una quantità maggiore di dati sensibili e diventa più attraente per gli aggressori.

La crescita della sicurezza IT dovrebbe quindi essere direttamente proporzionale alla crescita dell’azienda per adeguarsi allo sviluppo complessivo.

Implementare un approccio di Continuous Vulnerability Management comporta sfide nuove per un team IT. Esaminiamo alcune criticità e benefici di cui tenere conto quando si vanno ad integrare processi automatizzati in un progetto di Continuous Vulnerability Management.

Il rischio può essere definito come la probabilità che si verifichi un incidente e il potenziale danno che potrebbe causare. Il rischio non è distribuito uniformemente all’interno di un’impresa, ma è contestuale alla tipologia e alla natura delle operazioni aziendali.

Pertanto, ogni azienda ha il proprio setup di sistemi e settori critici, con una potenziale superficie di attacco diversa per ciascuna risorsa.

Un efficace programma di gestione delle vulnerabilità dipende dalla corretta identificazione del rischio all’interno dell’azienda e dall’infrastruttura IT, e si basa su una valutazione complessiva del rischio.

Per realizzare un progetto di Continuous Vulnerability Management è quindi necessaria una classificazione accurata di device e servizi della propria infrastruttura IT.

Impostare procedure corrette per un programma di gestione continua delle vulnerabilità è un’attività onerosa, ma l’implementazione tecnica delinea una sfida ancor più impegnativa.

Il setup delle tecnologie necessarie per il Continuous Vulnerability Management può infatti rappresentare un significativo miglioramento tecnico, in particolare per i team IT che non hanno esperienza nella gestione dei container.

I container sono pacchetti di software che contengono tutti gli elementi necessari per l’esecuzione in qualsiasi ambiente. In questo modo, i container virtualizzano il sistema operativo e sono eseguibili ovunque, da un data center privato al cloud pubblico o anche sul laptop di uno sviluppatore.

Integrare strumenti di Continuous Vulnerability Management nell’infrastruttura IT presente ed assicurarsi che gli scanner abbiano completa visibilità dell’intera rete, rappresenta un ulteriore step per la crescita del team IT.

I sistemi definiti legacy, ovvero sistemi informatici che per le più svariate ragioni continuano ad essere utilizzati, sono altamente vulnerabili agli attacchi cyber.

A volte i sistemi non possono essere aggiornati perché hanno raggiunto la fine del loro ciclo di vita e non ricevono più gli aggiornamenti di sicurezza.

I sistemi legacy aprono anche un altro scenario: con l’invecchiamento dei sistemi, le conoscenze e le competenze per difenderli diventano più difficili da trovare poiché la maggior parte dei tecnici IT sarà specializzata in tecnologie di nuova generazione.

I sistemi obsoleti possono essere difesi ma la strategia di sicurezza dovrà essere ancora più accurata e personalizzata, mentre policy e controlli scrupolosi saranno necessari per tenere gli aggressori fuori dal perimetro IT aziendale.

Vuoi implementare un sistema di Continuous Vulnerability Management all’interno della tua azienda? Scopri BeeCyber.

BeeCyber è la nostra Business Unit specializzata in servizi di sicurezza informatica che supporta le aziende nell’identificare e classificare il livello di rischio. Le aiuta nel processo di mitigazione continuativa, identificando il giusto punto di equilibrio tra investimento tecnologico e approccio consulenziale rispondendo alle reali esigenze di business.

Sei interessato ad una consulenza sulla Cyber Security e a capire come gestire al meglio il passaggio alla Continuous Vulnerability Management?

Vuoi restare aggiornato sulle ultime novità dal mondo della Cyber Security?

ISCRIVITI ALLA NEWSLETTER