Come individuare e valutare continuamente gli asset sull'intera superficie di attacco

Per eliminare i punti ciechi della rete e acquisire una conoscenza approfondita dell'intera superficie di attacco, è essenziale determinare quali strumenti di rilevamento e valutazione sono necessari per ciascun tipo di asset.

Se lavori nell'ambito della sicurezza già da vari anni, hai senza dubbio assistito all'evoluzione della rete, che è passata dal contenere asset IT on-premise rigorosamente tradizionali all'includere ambienti sia on-premise sia cloud costituiti da una miriade di risorse diverse, tra cui piattaforme virtuali, servizi cloud, container, app Web, tecnologia operativa (OT) e Internet of Things (IoT). Sebbene l'evoluzione stessa della rete sia ben compresa dai professionisti della sicurezza, molti hanno ancora difficoltà quando si tratta di apportare i necessari cambiamenti che consentiranno di rilevare e valutare correttamente l'ampia varietà di moderni asset digitali che la compongono.

In passato, quando le reti non erano altro che raccolte omogenee di asset IT fisici e on-premise, per lo più situati all'interno del datacenter ben controllato dell'organizzazione e dello spazio degli indirizzi IP, era sufficiente eseguire una scansione delle vulnerabilità della rete per capire quali asset erano presenti e dove esistevano delle vulnerabilità. Era prassi comune adottare un approccio in cui non si lasciava niente di intentato nel valutare le aree potenzialmente a rischio di attacchi che sfruttavano le vulnerabilità. Con l'attuale varietà di tipi di asset di oggi, c'è bisogno tuttavia di strumenti più specifici per ottenere visibilità sull'intera superficie di attacco in modo più preciso e sicuro e acquisire una conoscenza approfondita dello stato di sicurezza di ogni asset, qualunque sia la sua collocazione nell'ambiente.

La maggior parte degli asset moderni richiede una metodologia e/o un set di strumenti specifici per un rilevamento e una valutazione corretti. Ecco alcuni esempi:

• Connettori cloud: poiché gli ambienti cloud non sono fisicamente collegati alla rete, è necessario un connettore per mantenerli in contatto con la piattaforma di gestione delle vulnerabilità.

• Agenti: asset come i computer portatili vengono spesso disconnessi dalla rete durante le scansioni di routine, causando una perdita di visibilità sulle loro vulnerabilità per lunghi periodi di tempo. L'installazione di agenti in locale sull'host può risolvere questo problema mediante un monitoraggio e reporting continuo dei risultati ogni volta che la risorsa è collegata alla rete.

• Sensori di query attive per i dispositivi OT: la maggior parte degli asset negli ambienti OT e IoT sono sistemi appositamente costruiti che operano in modo molto diverso dagli asset IT tradizionali. Per questo motivo, è meglio valutarli con sensori in grado di eseguire query (NON scansioni) su questi dispositivi utilizzando il loro linguaggio di comando nativo per determinare se esistono vulnerabilità o configurazioni errate. Ciò consente un monitoraggio costante non solo di potenziali attacchi, ma anche di configurazioni errate nelle impostazioni e nelle soglie.

• Scanner delle app web: le app Web hanno un aspetto e un comportamento diverso rispetto alle risorse IT tradizionali per una serie di motivi. Inoltre, le loro vulnerabilità sono generalmente classificate come Common Weakness Enumerations (CWE) invece di Common Vulnerabilities and Exposures (CVE). Di conseguenza, è necessario uno strumento di scansione appositamente creato per individuare e valutare le app web e conoscere il loro profilo di sicurezza.

• Sicurezza dei container: le moderne risorse digitali, come le immagini dei container, non possono essere valutate utilizzando i metodi tradizionali. I dispositivi di sicurezza realizzati appositamente per i container possono archiviare e acquisire le immagini dei container man mano che vengono create; possono inoltre fornire funzioni di rilevamento di vulnerabilità e malware, insieme al monitoraggio e alla convalida continui delle immagini dei container.


Uno dei principali problemi che i professionisti della sicurezza devono affrontare oggi è che si trovano davanti a molte più vulnerabilità di quante ne possano mai gestire. Adottare un approccio in cui non si lascia niente di intentato semplicemente non è fattibile per la maggior parte delle organizzazioni, a causa dei limiti di risorse e tempo. Invece, occorre determinare quali vulnerabilità rappresentano effettivamente il rischio maggiore per i sistemi più critici, per essere in grado di dare la giusta priorità alle azioni di correzione.

Per definire le priorità delle vulnerabilità in modo efficace, è necessario analizzare i dati di sicurezza per comprendere appieno ogni vulnerabilità nel contesto. Il problema è che probabilmente si hanno già troppi dati da analizzare e che vengono analizzati tutti manualmente. Inoltre, ciascuno degli strumenti di sicurezza indicati sopra genera ancora più dati, aggravando così il problema. Ecco perché è necessaria una piattaforma completa di gestione delle vulnerabilità in grado di acquisire tutti i tipi di dati di sicurezza e utilizzare l'automazione per elaborarli e analizzarli immediatamente. In questo modo, è possibile ottenere tutte le informazioni sulla sicurezza di cui si ha bisogno alla velocità desiderata.

In breve, l'abbinamento dei giusti strumenti di rilevamento e valutazione con ciascun tipo di asset consente di acquisire una conoscenza approfondita e completa dell'intera superficie di attacco eliminando i punti ciechi nella rete. L'utilizzo di uno strumento di gestione delle vulnerabilità in grado di acquisire input da ciascuno di questi strumenti consente inoltre di valutare i vari asset in una vista unificata in modo da poter assegnare correttamente la priorità alle azioni di correzione delle vulnerabilità.

Scopri di più

• Vuoi saperne di più su come individuare i sensori e i metodi giusti per scoprire e valutare l'intera superficie di attacco ― e poi come gestire efficacemente l'enorme quantità di dati che deriva dall'aumento di visibilità? Guarda il webinar: It May Be Time to Stop Freaking Out About Too Many Vulnerabilities
• Scopri come eseguire la migrazione da una VM legacy a una VM basata sul rischio, inclusi gli strumenti, i prodotti e le integrazioni dei partner consigliati per ogni fase della procedura. Leggi il white paper: Reference Architecture: Gestione delle vulnerabilità basata sul rischio
• Scopri perché è necessaria una piattaforma VM unificata per valutare e difendere in modo dinamico l'intera superficie di attacco. Leggi il white paper: Overcoming Challenges Created by Disparate Vulnerability Management Tools