Il contesto è sovrano: dalla gestione delle vulnerabilità alla gestione dell'esposizione

La gestione delle vulnerabilità rimane il fondamento della sicurezza informatica preventiva, tuttavia le organizzazioni hanno ancora difficoltà con l'eccesso di vulnerabilità e le minacce sofisticate. La nuova funzionalità Exposure Signals di Tenable offre ai team di sicurezza contesto completo per poter passare dalla gestione delle vulnerabilità alla gestione dell'esposizione e dare efficacemente priorità alle esposizioni ad alto rischio nella superficie di attacco complessa.

È stata scoperta una vulnerabilità critica e gli autori di attacchi la sfruttano attivamente "in the wild". Il team che si occupa della gestione delle vulnerabilità entra in azione e determina che la vulnerabilità è presente in centinaia degli asset dell'organizzazione. Quali ripari per primi? Come stabilisci la priorità per le correzioni? Quali criteri usi? Il tempo stringe. Gli hacker sono in agguato.

Tradizionalemente, il team di gestione delle vulnerabilità farebbe affidamento sui punteggi di gravità come la classificazione VPR (Vulnerability Priority Rating). Si tratta di un ottimo inizio, ma fornisce solo un indicatore del rischio. Per assegnare la priorità alle correzioni in modo preciso ed efficace, è necessario considerare vari criteri: il tipo, il responsabile e la funzione di un asset vulnerabile; i privilegi e il livello di accesso dell'asset; e i percorsi di attacco critici nell'ambiente.

Questo tipo di contenuto olistico e completo consente di assegnare la priorità in modo appropriato, ma per ottenerlo è necessario un approccio diverso che va oltre la tradizionale gestione delle vulnerabilità. Si tratta della gestione dell'esposizione. 

Con la gestione dell'esposizione, il team che gestisce le vulnerabilità sarà in grado di individuare il sottoinsieme di asset interessati dalla nostra vulnerabilità ipotetica che, ad esempio, sono accessibili esternamente, dispongono di privilegi a livello di dominio e fanno parte di un percorso di attacco critico. In tal modo, saprà dove si trova il rischio maggiore e cosa deve correggere prima. Disporre di informazioni dettagliate, contesto e visibilità trasforma l'equazione di valutazione del rischio e consente al team che gestisce le vulnerabilità di muoversi in modo risoluto, veloce e strategico.

In questo blog, illustriamo perché è fondamentale per i team di gestione delle vulnerabilità passare a una mentalità di gestione dell'esposizione e spieghiamo come Tenable può essere di aiuto.

La gestione delle vulnerabilità necessita di contesto di esposizione più ampio per individuare quelle più a rischio 

Nel panorama di sicurezza informatica odierno in continua evoluzione, la gestione delle vulnerabilità rimane una parte fondamentale della strategia di difesa proattiva dell'organizzazione. Tuttavia, i team incontrano ancore delle difficoltà nell'affrontare il livello crescente di rischi posti dall'aumento continuo di vulnerabilità ed esposizioni più comuni (CVE) e altri difetti.

Molti team di sicurezza sono spesso sopraffatti dall'enorme volume di vulnerabilità, con risorse limitate per poterle gestire in modo efficace. Gli attori di minacce agiscono in modo sempre più sofisticato e veloce, infatti dispongono di maggiori punti di ingresso e utilizzano nuove tattiche, tecniche e procedure per accedere ad altre aree critiche del business, dimostrando che gli attacchi non sono solo più lineari ma sfacettati.

È comune per i team di sicurezza avere difficoltà con:

• Eccesso di vulnerabilità: questo problema persiste e sta peggiorando. I team di sicurezza hanno sempre più difficoltà a passare al vaglio la valanga di CVE e identificare le aree aziendali più esposte al rischio.
   
•  Mancanza di contesto dell'espisizione per la prioritizzazione: i team devono prendere decisioni senza disporre dei livelli di contesto. L'intelligence sulle minacce e la gravità delle vulnerabilità sono un ottimo inizio, ma non sono sufficienti per fornire il contesto completo per un'adeguata prioritizzazione. 
   
• Intervento di correzione lento: i team di sicurezza, sia proattivi che reattivi, dedicano enormi quantità di tempo a rispondere alle vulnerabilità critiche. Le risorse hanno troppo da fare, pertanto è più che mai importante per i team identificare con certezza le esposizioni più a rischio quando consigliano le attività di correzione.

La necessità di passare da una mentalità di vulnerabilita a una di esposizione

Sapere quali difficoltà devi affrontare oggi può aiutarti a individuare i vantaggi della gestione dell'esposizione. L'anello mancante tra una vulnerabilità e un'esposizione sono i livelli aggiuntivi di contesto. Il contesto multidimensionale ti consente di comprendere non solo le stesse vulnerabilità, ma anche il loro impatto sulla superficie di attacco più ampia. Questo approccio fornisce una visione più completa della postura di sicurezza di un'organizzazione, prendendo in considerazioni fattori come l'intelligence sulle minacce, le indentità e gli accessi, oltre ad altri pezzi di contesto. Grazie a queste informazioni aggiuntive, passi molto meno tempo a ordinare grandi quantità di vulnerabilità simili e puoi concentrarti a identificare i problemi chiave che rappresentano un rischio: le esposizioni.

Per coloro che non hanno mai sentito parlare di gestione dell'esposizione o sono solo all'inizio, questa disciplina offre molti vantaggi. Quando si tratta dell'approccio di Tenable, adottiamo quella stessa mentalità con la nostra piattaforma di gestione dell'esposizione. L'obiettivo è semplice: la gestione dell'esposizione consente alle organizzazioni di prioritizzare le attività di correzione in modo più efficace. Fa emergere informazioni che aiutano a sviluppare delle strategie per affrontare sia le stesse vulnerabilità sia la comparsa di esposizioni che potrebbero portare a violazoni significative.

Il passaggio dalle vulnerabilità all'esposizione

Per ridurre le distanze tra la gestione delle vulnerabilità e la gestione dell'esposizione è necessario connettere il contesto in tutta la superficie di attacco. La gestione delle vulnerabilità fornisce contesto per prevedere la probabilità di un attacco e visualizza i fattori chiave, l'età delle vulnerabilità e le fonti delle minacce. Questi attributi sono utili, ma possiamo andare parecchio oltre per migliorare l'efficacia della prioritizzazione. Questo richiede visibilità più ampia e informazioni più approfondite sulla superficie di attacco, in modo da comprendere il quadro generale delle esposizioni.

In particolare, i team di sicurezza necessitano di contesto aggiuntivo su:

• Contesto degli asset: ci sono molti livelli di un asset che possono che possono aiutare nelle decisioni di prioritizzazione. È vitale capire la criticità di un asset per quanto riguarda il tipo, la funzione, il nome di chi lo possiede e la sua relazione con gli altri asset. Inoltre, sapere se l'asset è accessibile da Internet o meno può determinare il modo in cui sarà data priorità alle correzioni.
   
• Contesto delle identità: le identità rappresentano la base degli attacchi di successo, pertanto è fondamentale contestualizzarle per la gestione delle esposizioni. Comprendere i livelli di privilegi, i diritti e le informazioni degli utenti può aiutare a impedire l'escalation dei privilegi e il movimento laterale da parte di utenti malintenzionati. Concentrare le attività di prioritizzazione sugli asset vulnerabili con privilegi a livello di dominio e amministratore rappresenta una best practice critica per ridurre le probablità di una violazione.
   
• Contesto delle minacce: per assegnare priorità alle esposizioni, è anche importante disporre di diversi livelli di contesto della minaccia. Sappiamo che le minacce cambiano nel tempo, pertanto sfruttare i punteggi dinamici come VPR o AES (Asset Exposure Score ) può mostrare gli indicatori di rischio. Possiamo anche introdurre contesto dalla modellazione dei percorsi di attacco per influenzare le decisioni sulle correzioni basate sul punto di vista di chi effettua attacchi, comprendendo il numero di percorsi di attacco critici o chokepoint nell'ambiente.

Quando gli analisti della sicurezza dispongono di queste informazioni aggiuntive, possono realmente capire l'ampiezza e la profondità dell'esposizione. Questo è il modo in cui si assegna la priorità in questo nuovo mondo di gestione dell'esposizione.

La nuova funzionalità Exposure Signals

Per facilitare il passaggio alla mentalità di gestione dell'esposizione, abbiamo sviluppato una nuova capacità di prioritizzazione chiamata Exposure Signals. Disponibile in Tenable One, la piattaforma di gestione dell'esposizione di Tenable, Exposure Signals consente ai team di sicurezza di disporre di maggiore contesto completo in modo centralizzato, per una visualizzazione mirata del rischio. 

Esistono due modi per usare Exposure Signals. Il primo è quello di accedere a una libreria completa di segnali predefiniti ad alto rischio. Facili da consultare, questi segnalano il rischio potenziale nell'ambiente e creano un eccellente punto di partenza per cominciare con la gestione dell'esposizione. Ad esempio, puoi facilmente visualizzare e consultare: 

• Il gruppo di amministratori del dominio su host esposti a Internet con vulnerabilità critiche
• I dispositivi esposti a Internet tramite RDP con un account di identità associato a una password compromessa
• Gli asset cloud con risultati di gravità critica e con un punteggio di esposizione superiore a 700

Exposure Signals ti consente di tenere traccia del numero di violazioni che segnalano uno scenario ad alto rischio nel tuo ambiente. Visualizza l'elenco regolarmente per vedere come cambia nel tempo con l'eccezionale linea di tendenza. Assumi il controllo del processo di ricerca visualizzando l'asset interessato e le informazioni contestuali nel nostro Inventory Module. 

Il secondo modo di usare Exposure Signals prevede la creazione di tuoi segnali tramite un generatore di query o una ricerca con l'elaborazione di un linguaggio naturale (NLP) basata su ExposureAI. In questo modo, puoi applicare l'ampiezza o la precisione in base alle esigenze. Ad esempio, supponiamo che ci sia una nuova vulnerabilità zero-day che si sta diffondendo nel settore, simile a Log4Shell. Puoi facilmente creare un segnale mirato per gli asset che presentano la vulnerabilità, sono connessi a Internet e hanno privilegi di livello amministratore. Stiamo colleganto questi elementi insieme in modo da capire il rischio reale e gestire meglio le attività di prioritizzazione.

Per ulteriori informazioni su Tenable One e Exposure Signals, guarda la nostra demo interattiva: