Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

La gestione dell'esposizione è il futuro della sicurezza proattiva



Immagine Edi xposure Management Forum con Jorge Orchilles.

Ogni lunedì, la Tenable Exposure Management Academy fornisce consigli pratici e basati sulla realtà per passare dalla gestione delle vulnerabilità alla gestione dell'esposizione. In questo post, Jorge Orchilles, Senior Director di Readiness and Proactive Security presso Verizon, offre uno sguardo sui motivi che lo hanno portato a passare alla gestione dell'esposizione. Puoi leggere tutta la serie dell'Exposure Management Academy qui.

In Verizon, man mano che passiamo a una gestione dell'esposizione proattiva, stiamo consolidando i team e gli strumenti perché si concentrino sui rischi sfruttabili del mondo reale. Con l'allineamento delle funzioni di sicurezza all'interno di una strategia unificata, prioritizzando le minacce sfruttabili e promuovendo la collaborazione, spostiamo l'attenzione oltre le correzioni basate sulla confomità, ossia a quelle basate sul rischio.

La storia la conosci: Per quelli di noi che si occupano di sicurezza informatica la posta in gioco è alta, come giocare ad "acchiappa la talpa" (Whac-a-mole®) ogni giorno. Passiamo le giornate a inseguire le vulnerabilità e a emettere (o rispondere a) ordini come "Patch entro 30 giorni" o "Codice rosso, installare la patch subito"

Ma come la superficie di attacco si amplia e gli attori di minacce operano in modo sempre più sofisticato, questo approccio reattivo non è più adeguato. 

In Verizon, ci rendiamo conto che, con un panorama eterogeneo che deve soddisfare le diverse esigenze di aziende, retail, tecnologie mobili e altro ancora, la soluzione migliore non era un'altra raccolta di tecnologie diverse. Ci serviva un'unica piattaforma di gestione consolidata che potesse coprire ogni angolo dell'azienda. Il percorso per arrivarci ha abbattuto silos e cambiato la mentlità da basata sulla conformità al focus basato sul rischio. 

Soprattutto, prima di prendere in considerazione la nuova tecnologia, abbiamo dovuto allineare più team, ognuno con i propri strumenti e le proprie priorità and priorities, a una strategia condivisa.

Unire gli strumenti separati in uno solo

I team di sicurzza hanno sempre gestito un miscuglio di strumenti: Strumenti separati per gestire la superficie d'attacco, la visibilità degli asset, la scansione delle vulnerabilità, l'esposizione dell'identità e la sicurezza del cloud. Nella maggior parte delle aziende, team diversi si occupano delle soluzioni e ognuna richiede una serie di competenze specifiche. L'intento della frammentazione è assicurare che le persone con le competenze giuste correggano gli errori appropriati. 

L'approccio in silo rallenta i tempi di risposta e crea punti ciechi che possono tralasciare vulnerabilità critiche semplicemente perché non rientrano all'interno dell'area di competenza di un team. Non è possibile eseguire l'analisi del percorso d'attacco in silo

Non voglio ristrovarmi in un lavor in cui devo solo spuntare caselle. 

Dovevamo mettere insieme un programma di sicurezza che assegnasse la priorità ai rischi reali, pituttosto che a ogni vulnerabilità. Nell'intento di farlo, è chiaro che i vantaggi di un approccio integrato era maggiore di quello delle funzionalità di nicchia.

Pertanto, per affrontare queste sfide, abbaimo deciso di consolidare su un'unica piattaforma: Tenable One.

La chiave per gestire il cambiamento: un po' di Dale Carnegie 

Sebbene la piattaforma giusta faccia la differenza, implementare la gestione dell'esposizione non è un processo puramente tecnico. È organizzativo. Avviare un programma di gestione dell'esposizione significa trasferire la responsabilità delle funzionalità chiave di sicurezza in silo, questo richiede la collaborazione dei team in un modo mai fatto prima.

Ad esempio, in Verizon, la gestione della superficie d'attacco prima era gestita da un team separato. Adesso, quelle persone sono parte del mio team. Il team di Active Directory, che esegue gli strumenti di esposizione dell'identtà come Bloodhound, rimane indipendente, ma collaboriamo a stretto contatto così vedono le inforazioni sulla sicurezza come valide piuttosto che punitive. 

Gli specialisti dell'IoT (internet of things) e dell'OT (operational technology)che prima usavano una serie di strumenti diversi ora lavorano tutti nello stesso framework.

I team di sicurezza abituati a lavorare in silo adesso devono condividere i dati e il processo decisivo e adattarsi a questo può essere difficile. Ho scoperto che per superare questa difficoltà sono essenziali trasparenza e partnership. 

Infatti, leggendo regolarmente un po' di Dale Carnegie può essere tanto importante quanto una dose giornaliera di Brian Krebs. 

Quindi, per semplificare la transizione, piuttosto che imporre mandati dall'alto verso il basso, cui siamo concentrati sull'allineamento dei team attraverso degli obiettivi condivisi, una chiara comunicazione e la dimostrazione dei vantaggi all'inizio del processo. Coinvolgendo le parti interessate dall'inizio, in aree come la sicurezza dell'identità, le operazioni IT e la sicurezza del cloud, assicuriamo che il cambiamento non è qualcosa fatto a loro, ma qualcosa che loro influenzano e supportano.

Voglio sottolineare che niente di questo è avvenuto da un giorno all'altro. 

Ha richiesto consenso a livello elevato e pianficazione attenta. A questi team non è stato solo chiesto di usare un nuovo strumento to use a new tool, gli è anche stato chiesto di cambiare il loro modo di lavorare. L'unico modo di effettuare la transizione con successo è quello di mostrare ai membri del come questo approccio renda il loro lavoro più facile, non più difficile.

Smettere di cercare di correggere tutto

Il più grande cambiamento di mentalità nella gestione dell'esposizione è riconoscere che non ad ogni vulnerabilità deve essere applicata immediatamente una patch. Sicuramente può essere difficile da comprendere. Ma quando tutto è critico, nulla è critico. E quell'approccio porta a burnout, inefficienza e più esposizioni. 

Invete, in Verizon, ci concentriam sulle vulnerabilità che sono realmente sfruttabili e parte di un percorso di attacco realistico.

Pertanto, se esiste una vulnerabilità critica in un'applicazione ma non è fattibile per gli autori di attacchi raggiungerla, dovrebbe essere consideratà una priorità? Al contrario, se una vilnerabilità offre un percorso diretto a un asset molto importante, dobbiamo affrontarlo immediatamente. 

La chiave è la prioritizzazione basata su scenari reali based on real-world attack scenarios e non su punteggi di gravità arbitrari.

Collaborare con i dirigenti

Un altro vantaggio critico della gestione dell'esposizione è come cambia le conversazioni sulla sicurezza a livello dirigenziale. Invece di fornire lunghi elenchi di vulnerabilità che hanno ben poco significato per i responsabili non tecnici, possiamo fornire un quadro chiaro in pochi punti chiave:

E quando una importante vulnerabilità si presenta, non dobbiamo dimenarci per capire se siamo stati colpiti. Abbiamo i dati a portata di mano. Questo è il valore reale della gestione dell'esposizione: Velocità, chiarezza e l'abilità di agire prima che lo facciano gli utenti malintenzionati.

Il futuro della sicurezza informatica è la gestione dell'esposizione

Di base, la gestione dell'esposizione richiede un passaggio dalla sicurezza reattiva a quella proattiva. Non si tratta solo più di correggere le vulnerabilità, bensì di capire il rischio nel contesto aziendale. 

Man mano che sempre più organizzazioni si muovono in questa direzione, la gestione dell'esposizione continuerà a evolversi. 

Il consolidamento dei fornitori è continuo, si riorganizzano i team e i reposabili della sicurezza si rendono conto che applicare patch a tutto ovunque tutto in una volta è un'impresa impossibile. 

Quindi, come Verizon, il settore deve concentrarsi su ciò che conta davvero: Prevenendo gli attacchi che potrebbero realmente portare a un compromesso.

E per quelli di noi che occupano un ruolo importante in questo, è necessario smettere di essere reattivi e cominciare a gestire l'esposizione come il reale rischio che rappresenta.

Jorge condivide su cosa concentrarsi 

 

Scopri di più

Whac-a-Mole è un marchio registrato di Mattel Inc.


Novità sulla sicurezza informatica

Inserisci l'e-mail per non perderti avvisi tempestivi e indicazioni sulla sicurezza da parte degli esperti di Tenable.