Gestione dell'esposizione: la nostra visione per la sicurezza della moderna superficie di attacco

La sicurezza degli ambienti IT moderni, complessi e dinamici, deve riunire la gestione delle vulnerabilità, la sicurezza delle applicazioni web, la sicurezza del cloud, la sicurezza dell'identità, l'analisi dei percorsi di attacco e la gestione della superficie di attacco esterna per poter comprendere appieno l'estensione e la profondità dell'esposizione.

In qualità di Chief Technology Officer di Tenable, mi trovo in prima linea relativamente alle sfide più importanti che i professionisti della sicurezza informatica affrontano a livello globale per ridurre il rischio informatico e migliorare il profilo di sicurezza informatica. I dati provenienti dai nostri clienti sono alla base di ogni decisione tecnologica che prendiamo in Tenable. Questi dati ci ispirano nella visione di un futuro in cui la gestione delle vulnerabilità e altri strumenti preventivi di sicurezza informatica collaborano in un nuovo paradigma, che chiamiamo gestione dell'esposizione.

La sicurezza della superficie di attacco moderna dipende dalla comprensione di tutte le condizioni significative negli ambienti complessi e dinamici di oggi. Un programma di gestione dell'esposizione unisce tecnologie quali gestione delle vulnerabilità, sicurezza delle applicazioni web, sicurezza del cloud, sicurezza dell'identità, analisi dei percorsi di attacco e gestione della superficie di attacco esterna, per consentire all'azienda di comprendere l'estensione e la profondità dell'esposizione nel modo più completo e intraprendere le azioni necessarie per ridurla tramite flussi di lavoro di correzione e risposta agli incidenti.

Perché la gestione dell'esposizione è così importante? Perché quando gli attori delle minacce osservano una superficie di attacco non pensano in termini di silo aziendali. Cercano la giusta combinazione di vulnerabilità, configurazioni errate e identità che consentono loro di raggiungere gli obiettivi.

La domanda da porsi è questa: se la superficie di attacco non è composta da silo, perché il programma di sicurezza è configurato invece in quel modo? In parte è perché il settore della sicurezza nel suo complesso si è concentrato sulla creazione di soluzioni mirate, progettate per aspetti molto specifici della sicurezza informatica. Il risultato? Un miscuglio di tecnologie, ognuna con una funzione specifica, che però non consentono alle aziende di avere visibilità complessiva sul rischio informatico.

Un programma di gestione dell'esposizione efficace richiede l'abbattimento dei silo. Tenable One Exposure Management Platform, lanciata all'inizio del mese, è pensata per offrire una visione olistica della superficie di attacco, per avere la stessa visibilità di un aggressore. In questo blog parleremo della attuali funzionalità di Tenable One, nonché della nostra visione di come un approccio basato su piattaforma per la gestione dell'esposizione possa trasformare il modo in cui le aziende affrontano la sicurezza informatica preventiva.

Tenable One: gestione dell'esposizione per la superficie di attacco moderna

In passato ci sono stati prodotti creati per provare a unire tutta la tecnologia più varia utilizzata in un ambiente di sicurezza informatica. Extended detection and response (XDR) ne è un esempio: raccoglie dati da prodotti mirati nel tentativo di identificare gli attacchi mentre sono in atto. Un simile approccio è ottimale per la sicurezza basata sulle attività, ma non si presta alla pratica per la sicurezza informatica preventiva. Né concentrarsi esclusivamente sui dati delle attività può fornire alle aziende una panoramica completa del profilo di sicurezza.

Al giorno d'oggi vedo molte aziende che tentano di quantificare i rischi misurando esclusivamente la risposta dei team del Security Operation Center (SOC) ai dati basati sulle attività. Serve anche un modo per valutare l'efficacia dei programmi di prevenzione per poter avere una visione completa dell'esposizione: in sostanza il contrario di XDR.

Non c'è dubbio che i dati generati da strumenti di sicurezza preventiva siano la soluzione migliore per misurare l'esposizione. Il problema è sempre stato che tali strumenti forniscono infinite informazioni, che evidenziano ogni singolo problema all'interno del silo valutato. Un'azienda non è in grado di affrontare una simile quantità di informazioni. A causa di tutti questi dati generati da vari strumenti, spesso l'unica alternativa è quella di trasformarli in fogli di calcolo, rendendo ironicamente Excel lo strumento di sicurezza più usato al mondo.

Negli ultimi anni, alcuni strumenti hanno aggregato i dati, nel tentativo di assegnare priorità ai compiti più importanti per la sicurezza. Ma questi strumenti sono davvero efficaci nel supportare la riduzione dei rischi per le aziende? Non proprio. Di nuovo, il motivo è che tali strumenti offrono solamente una copertura limitata rispetto alla portata del problema. Ad esempio, potrebbero aggregare solo dati di vulnerabilità dei software da un determinato numero di strumenti diversi senza ulteriore contesto e generare una formula per la priorità di patch dei vari software. Identificare le vulnerabilità dei software e applicare relative patch è fondamentale per una corretta integrità informatica, ma non può rappresentare l'unica modalità di misurazione e correzione del rischio.

Una misurazione efficace del profilo di sicurezza non costituisce un'attività isolata. Sarebbe fuorviante da parte nostra, o di qualsiasi fornitore, suggerire che un programma di gestione dell'esposizione possa basarsi su una serie limitata di input. Esso richiede la raccolta di dati, provenienti da una varietà di strumenti, al fine di applicare l'estensione di analisi necessaria all'intero ambiente aziendale.

Questa è la realtà dei fatti: la sola osservazione delle vulnerabilità dei software non fornisce una panoramica completa del rischio informatico. Esattamente come risulta inutile osservare la superficie di attacco in modo isolato, lo è anche per quanto riguarda le vulnerabilità, le configurazioni errate e così via. Il contesto è rilevante. È necessario poter osservare l'intera superficie di attacco in modo olistico. Bisogna considerare tutte le vulnerabilità dei software, le configurazioni errate, quali utenti stanno usando un determinato sistema e i livelli di accesso complessivi, indipendentemente dal fatto che ciò si verifichi su un computer portatile, un container, un'applicazione o un controller logico programmabile (PLC).

Poniamo che, ad esempio, un'azienda abbia due computer portatili contenenti la vulnerabilità peggiore al mondo. Osservandoli con strumenti in silo, li si riterrebbero ugualmente dannosi e rischiosi per l'azienda e una riparazione urgente sarebbe considerata necessaria per entrambi.

In questo esempio, come si può sapere se l'azienda è davvero a rischio e quale portatile riparare per primo? E se si potesse sapere quale dei due viene usato dall'amministratore Salesforce della società e fosse inoltre evidente che non viene usata un'autenticazione a più fattori (MFA)? Consideriamo di essere anche a conoscenza del fatto che l'altro portatile viene usato da un utente all'ingresso, che controlla i documenti e non ha accesso ad altro. Immediatamente, con maggior contesto, si possono prendere decisioni informate sull'assegnazione delle priorità.

Si tratta di un esempio basilare della differenza tra gestione dell'esposizione e gestione delle vulnerabilità, che mostra le possibilità di un'azienda che inizia a unire, correlare, misurare e assegnare priorità ai dati provenienti da strumenti di sicurezza preventiva.

La gestione dell'esposizione è un cambiamento di paradigma nell'approccio alla sicurezza

Se si considera una superficie di attacco estesa e complessa, insieme alle migliaia di problemi e avvisi che si verificano quotidianamente e che richiedono decisioni costanti sulla priorità, diventa chiaro che un output conciso, significativo e di impatto è la chiave per usare al meglio tutte le abilità. Servono dati che mostrino l'intera estensione della superficie di attacco e la completa profondità di analisi.

La comprensione dell'intera estensione della superficie di attacco richiede visibilità e informazioni su:

• Risorse tradizionali oltre l'infrastruttura IT, tra cui la tecnologia operativa (OT) 
• In che modo le risorse cloud sono configurate e protette
• Cosa succede ai sistemi esposti a Internet e ai siti web 

La comprensione dell'intera profondità della superficie di attacco richiede visibilità e informazioni su:

• Utenti e privilegi di accesso
• Potenziali percorsi di attacco all'interno dell'azienda

Tutti gli elementi precedenti sono stati presi in considerazione per la valutazione delle acquisizioni effettuate da Tenable e riteniamo che tale mentalità porterà alla trasformazione dell'approccio alla sicurezza informatica di aziende di tutte le dimensioni. Tuttavia, la superficie di attacco è molto più complessa e un'efficace gestione dell'esposizione necessita di un'importazione di dati da altre soluzioni di sicurezza. In Tenable, ne siamo perfettamente a conoscenza e siamo felici dell'opportunità di collaborare con altri fornitori per trasformare la nostra visione in realtà.

Tenable One Exposure Management Platform rappresenta la naturale evoluzione della visione di Tenable. Si tratta di un approccio strategico e a lungo termine che trasformerà il modo in cui le organizzazioni di tutto il mondo gestiscono i rischi.

Scopri di più

• Scarica il white paper, 3 sfide del mondo reale per le organizzazioni che si occupano di sicurezza informatica: come può aiutare una piattaforma di gestione dell'esposizione
• Leggi il blog, Gestione dell'esposizione: ridurre i rischi nella superficie di attacco moderna
• Guarda il webinar, Analyst Roundtable: in che modo la gestione dell'esposizione permette di ottenere visibilità, prevenire gli attacchi e comunicare i rischi per prendere decisioni migliori