La gestione dell'esposizione è il futuro della sicurezza proattiva
Ogni lunedì, la Tenable Exposure Management Academy fornisce consigli pratici e basati sulla realtà per passare dalla gestione delle vulnerabilità alla gestione dell'esposizione. In questo post, Jorge Orchilles, Senior Director di Readiness and Proactive Security presso Verizon, offre uno sguardo sui motivi che lo hanno portato a passare alla gestione dell'esposizione. Puoi leggere tutta la serie dell'Exposure Management Academy qui.
In Verizon, man mano che passiamo a una gestione dell'esposizione proattiva, stiamo consolidando i team e gli strumenti perché si concentrino sui rischi sfruttabili del mondo reale. Con l'allineamento delle funzioni di sicurezza all'interno di una strategia unificata, prioritizzando le minacce sfruttabili e promuovendo la collaborazione, spostiamo l'attenzione oltre le correzioni basate sulla confomità, ossia a quelle basate sul rischio.
La storia la conosci: Per quelli di noi che si occupano di sicurezza informatica la posta in gioco è alta, come giocare ad "acchiappa la talpa" (Whac-a-mole®) ogni giorno. Passiamo le giornate a inseguire le vulnerabilità e a emettere (o rispondere a) ordini come "Patch entro 30 giorni" o "Codice rosso, installare la patch subito"
Ma come la superficie di attacco si amplia e gli attori di minacce operano in modo sempre più sofisticato, questo approccio reattivo non è più adeguato.
In Verizon, ci rendiamo conto che, con un panorama eterogeneo che deve soddisfare le diverse esigenze di aziende, retail, tecnologie mobili e altro ancora, la soluzione migliore non era un'altra raccolta di tecnologie diverse. Ci serviva un'unica piattaforma di gestione consolidata che potesse coprire ogni angolo dell'azienda. Il percorso per arrivarci ha abbattuto silos e cambiato la mentlità da basata sulla conformità al focus basato sul rischio.
Soprattutto, prima di prendere in considerazione la nuova tecnologia, abbiamo dovuto allineare più team, ognuno con i propri strumenti e le proprie priorità and priorities, a una strategia condivisa.
Unire gli strumenti separati in uno solo
I team di sicurzza hanno sempre gestito un miscuglio di strumenti: Strumenti separati per gestire la superficie d'attacco, la visibilità degli asset, la scansione delle vulnerabilità, l'esposizione dell'identità e la sicurezza del cloud. Nella maggior parte delle aziende, team diversi si occupano delle soluzioni e ognuna richiede una serie di competenze specifiche. L'intento della frammentazione è assicurare che le persone con le competenze giuste correggano gli errori appropriati.
L'approccio in silo rallenta i tempi di risposta e crea punti ciechi che possono tralasciare vulnerabilità critiche semplicemente perché non rientrano all'interno dell'area di competenza di un team. Non è possibile eseguire l'analisi del percorso d'attacco in silo
Non voglio ristrovarmi in un lavor in cui devo solo spuntare caselle.
Dovevamo mettere insieme un programma di sicurezza che assegnasse la priorità ai rischi reali, pituttosto che a ogni vulnerabilità. Nell'intento di farlo, è chiaro che i vantaggi di un approccio integrato era maggiore di quello delle funzionalità di nicchia.
Pertanto, per affrontare queste sfide, abbaimo deciso di consolidare su un'unica piattaforma: Tenable One.
La chiave per gestire il cambiamento: un po' di Dale Carnegie
Sebbene la piattaforma giusta faccia la differenza, implementare la gestione dell'esposizione non è un processo puramente tecnico. È organizzativo. Avviare un programma di gestione dell'esposizione significa trasferire la responsabilità delle funzionalità chiave di sicurezza in silo, questo richiede la collaborazione dei team in un modo mai fatto prima.
Ad esempio, in Verizon, la gestione della superficie d'attacco prima era gestita da un team separato. Adesso, quelle persone sono parte del mio team. Il team di Active Directory, che esegue gli strumenti di esposizione dell'identtà come Bloodhound, rimane indipendente, ma collaboriamo a stretto contatto così vedono le inforazioni sulla sicurezza come valide piuttosto che punitive.
Gli specialisti dell'IoT (internet of things) e dell'OT (operational technology)che prima usavano una serie di strumenti diversi ora lavorano tutti nello stesso framework.
I team di sicurezza abituati a lavorare in silo adesso devono condividere i dati e il processo decisivo e adattarsi a questo può essere difficile. Ho scoperto che per superare questa difficoltà sono essenziali trasparenza e partnership.
Infatti, leggendo regolarmente un po' di Dale Carnegie può essere tanto importante quanto una dose giornaliera di Brian Krebs.
Quindi, per semplificare la transizione, piuttosto che imporre mandati dall'alto verso il basso, cui siamo concentrati sull'allineamento dei team attraverso degli obiettivi condivisi, una chiara comunicazione e la dimostrazione dei vantaggi all'inizio del processo. Coinvolgendo le parti interessate dall'inizio, in aree come la sicurezza dell'identità, le operazioni IT e la sicurezza del cloud, assicuriamo che il cambiamento non è qualcosa fatto a loro, ma qualcosa che loro influenzano e supportano.
Voglio sottolineare che niente di questo è avvenuto da un giorno all'altro.
Ha richiesto consenso a livello elevato e pianficazione attenta. A questi team non è stato solo chiesto di usare un nuovo strumento to use a new tool, gli è anche stato chiesto di cambiare il loro modo di lavorare. L'unico modo di effettuare la transizione con successo è quello di mostrare ai membri del come questo approccio renda il loro lavoro più facile, non più difficile.
Smettere di cercare di correggere tutto
Il più grande cambiamento di mentalità nella gestione dell'esposizione è riconoscere che non ad ogni vulnerabilità deve essere applicata immediatamente una patch. Sicuramente può essere difficile da comprendere. Ma quando tutto è critico, nulla è critico. E quell'approccio porta a burnout, inefficienza e più esposizioni.
Invete, in Verizon, ci concentriam sulle vulnerabilità che sono realmente sfruttabili e parte di un percorso di attacco realistico.
Pertanto, se esiste una vulnerabilità critica in un'applicazione ma non è fattibile per gli autori di attacchi raggiungerla, dovrebbe essere consideratà una priorità? Al contrario, se una vilnerabilità offre un percorso diretto a un asset molto importante, dobbiamo affrontarlo immediatamente.
La chiave è la prioritizzazione basata su scenari reali based on real-world attack scenarios e non su punteggi di gravità arbitrari.
Collaborare con i dirigenti
Un altro vantaggio critico della gestione dell'esposizione è come cambia le conversazioni sulla sicurezza a livello dirigenziale. Invece di fornire lunghi elenchi di vulnerabilità che hanno ben poco significato per i responsabili non tecnici, possiamo fornire un quadro chiaro in pochi punti chiave:
- Cosa è a rischio?
- Come potrebbe accedervi un utente malintenzionato?
- Quali sono le priorità più urgenti da correggere?
E quando una importante vulnerabilità si presenta, non dobbiamo dimenarci per capire se siamo stati colpiti. Abbiamo i dati a portata di mano. Questo è il valore reale della gestione dell'esposizione: Velocità, chiarezza e l'abilità di agire prima che lo facciano gli utenti malintenzionati.
Il futuro della sicurezza informatica è la gestione dell'esposizione
Di base, la gestione dell'esposizione richiede un passaggio dalla sicurezza reattiva a quella proattiva. Non si tratta solo più di correggere le vulnerabilità, bensì di capire il rischio nel contesto aziendale.
Man mano che sempre più organizzazioni si muovono in questa direzione, la gestione dell'esposizione continuerà a evolversi.
Il consolidamento dei fornitori è continuo, si riorganizzano i team e i reposabili della sicurezza si rendono conto che applicare patch a tutto ovunque tutto in una volta è un'impresa impossibile.
Quindi, come Verizon, il settore deve concentrarsi su ciò che conta davvero: Prevenendo gli attacchi che potrebbero realmente portare a un compromesso.
E per quelli di noi che occupano un ruolo importante in questo, è necessario smettere di essere reattivi e cominciare a gestire l'esposizione come il reale rischio che rappresenta.
Jorge condivide su cosa concentrarsi
Scopri di più
- Leggi la Guida alla strategia di gestione dell'esposizione per i responsabili della sicurezza , un approccio strutturato, collaudato e pragmatico per definire un programma di gestione dell'esposizione, oltre a consigli per esaminarlo, coinvolgere le parti interessate e ottenere consenso.
Whac-a-Mole è un marchio registrato di Mattel Inc.
Jorge Orchilles
Senior Director of Readiness and Proactive Security, Verizon
Jorge Orchilles è un leader della sicurzza informatica e attualmente senior director presso Verizon alla guida del team Readiness and Proactive Security (gestione dell'esposizione e delle vulnerabilità, test di prenotazione, Red Team, e un team Purple dedicato). E l'autore di Purple Team Exercise Framework e il creatore del progetto C2 Matrix. Prima di Verizon, è stato CTO presso SCYTHE per tre anni e ha gestito il team Offensive Security presso Citi per oltre 10 anni.
Articoli correlati
Building a Cloud Security Strategy with AWS Native Tools
Are you an Amazon Web Services customer looking to build a cloud security strategy? If so, you’ve got an array of choices. Learn about their strengths and gaps — and why you need to augment them with a CNAPP like Tenable Cloud Security.
Frequently Asked Questions About Chinese State-Sponsored Actors Compromising Global Networks
An analysis of Tenable telemetry data shows that the vulnerabilities being exploited by Chinese state-sponsored actors remain unremediated on a considerable number of devices, posing major risk to the organizations that have yet to successfully address these flaws.
Your Map for the Cloud Security Maze: An Integrated Cloud Security Solution That’s Part of an Exposure Management Approach
Check out highlights from the IDC white paper “Bridging Cloud Security and Exposure Management for Unified Risk Reduction,” which explains how CNAPPs help security teams tame the complexity of multi-cloud environments by shifting from a reactive, alert-driven model to a proactive exposure…
- Exposure Management
- Exposure Management Academy