Una visione incentrata solo sui CVE rende le organizzazioni vulnerabili agli attacchi

I CWE (Common Weakness Enumeration) e altre vulnerabilità richiedono un unico dashboard per una valutazione completa del rischio informatico. 

Un numero crescente di professionisti della sicurezza informatica sta potenziando i programmi tradizionali di gestione delle vulnerabilità in modo da integrare la definizione delle priorità per le azioni di correzione, in base alle vulnerabilità che rappresentano il rischio maggiore per l'azienda. Sebbene questo sia certamente un passo nella giusta direzione, per la maggior parte delle aziende significa concentrarsi esclusivamente sulle vulnerabilità e gli exploit comuni (Common Vulnerabilities and Exploits, o CVE). 

La stragrande maggioranza dei professionisti del settore della sicurezza informatica ritiene che CVE e vulnerabilità siano la stessa cosa, e che i termini si possano utilizzare in modo intercambiabile. Ma "vulnerabilità" può essere la definizione di molte realtà: una debolezza di un sistema informativo, procedure di sicurezza del sistema, controlli interni, o un'implementazione che potrebbe essere sfruttata o innescata da una fonte di minaccia. In altre parole, una vulnerabilità è in realtà qualsiasi cosa che renda un'organizzazione suscettibile a un attacco informatico. 

Sebbene un CVE senza patch si adatti perfettamente a questa definizione, non è l'unico elemento che vi corrisponde. Agli avversari non interessa in che modo riescono ad accedere a un sistema, l'importante è entrare. Sceglieranno il percorso di minor resistenza per ottenere qualsiasi accesso disponibile. Un ladro potrebbe preferire la porta sul retro durante un'effrazione, ma utilizzerà volentieri una finestra aperta al piano terra se ne ha l'opportunità. Ecco perché è essenziale scoprire e comprendere tutte le vulnerabilità e quindi sviluppare un piano completo per affrontarle.

L'elenco seguente, pur non essendo esaustivo, include alcune delle principali vulnerabilità di cui tenere conto:

• CWE (Common Weakness Enumeration)
• Open Web Application Security Project (OWASP) - Top 10
• Vulnerabilità zero-day
• Configurazioni errate o errori di gestione degli accessi
• Configurazioni errate di rete/infrastruttura
• Configurazioni errate accidentali o intenzionali in ambienti industriali

Ciascuna di queste vulnerabilità, o difetti, si verifica in aree molto diverse della superficie di attacco. Ognuna di esse presenta una serie di sfide specifiche che richiedono abilità distinte per una gestione efficace. Le vulnerabilità sugli asset hardware negli ambienti IT tradizionali sono più comunemente CVE che sono stati precedentemente identificati e definiti; i professionisti della sicurezza possono determinare il livello di rischio che ognuno presenta per l'organizzazione e l'IT può mettersi subito al lavoro per neutralizzare la minaccia con le patch appropriate e altri metodi di correzione prescritti.

I CWE, d'altra parte, sono la vulnerabilità prevalente nelle app web personalizzate, nelle applicazioni compilate e nell'hardware. I CWE rappresentano il tipo o la categoria di una vulnerabilità, piuttosto che un'istanza specifica. In effetti, ogni istanza di un CWE è in genere univoca, il che significa che le azioni di correzione devono essere personalizzate per ogni istanza. I CWE basati su app sono di gran lunga meno numerosi dei CVE basati su hardware, ma un CWE può richiedere molto più tempo e risorse per una mitigazione efficace.

Teniamo presente però che i due esempi indicati sono solo alcuni dei numerosi tipi di vulnerabilità che le organizzazioni devono affrontare. Se si aggiungono le minacce zero-day e l'ampia varietà di configurazioni errate che probabilmente esistono su un'intera superficie di attacco, il numero di vulnerabilità aumenta a dismisura fino a rendere impossibile una gestione efficace da parte dei team di sicurezza. La gestione è particolarmente difficile poiché la maggior parte dei team di sicurezza utilizza strumenti diversi per ogni tipo di vulnerabilità e per molte viene eseguita una valutazione manuale.

Forse l'aspetto più difficile di una gestione adeguata di tutte le vulnerabilità è in primo luogo effettuarne il rilevamento e la valutazione. Poiché ogni tipo di vulnerabilità è unico, in genere sono necessari strumenti specializzati per una corretta identificazione. Gli strumenti di gestione delle vulnerabilità sono perfetti per i CVE, mentre è necessario uno scanner di applicazioni per le app web. Allo stesso modo, gli ambienti industriali richiedono strumenti appositamente progettati per quel contesto. Inoltre, le configurazioni errate variano notevolmente, in base all'ambiente o al gruppo di asset oggetto di valutazione.

Vista l'enorme quantità di dati eterogenei provenienti da più aree della superficie di attacco, è quasi impossibile valutarli tutti manualmente e assegnare loro le priorità in base a quali presentano il rischio immediato maggiore per l'organizzazione. Per una valutazione efficace, i team hanno bisogno di un'unica piattaforma in grado di unificare tutti questi dati e valutarli insieme, utilizzando algoritmi di apprendimento automatico, intelligenza contestuale e analisi predittiva per stabilire le priorità sulle correzioni da effettuare per prime.

Una piattaforma completa che rileva e valuta i dati di sicurezza dell'intera organizzazione ti consente di:

• guardare oltre i CVE per comprendere con precisione l'intero ambiente 
• vedere tutte le vulnerabilità nel contesto per prendere decisioni più efficaci sulla mitigazione del rischio
• allineare meglio gli sforzi del team di sicurezza con le esigenze degli utenti aziendali non tecnici, dimostrando così una maggiore rilevanza per l'organizzazione
• migliorare i processi di sicurezza per essere più proattivi e strategici

Sebbene la valutazione e la correzione dei CVE siano sicuramente un passaggio essenziale per ridurre il rischio informatico, una strategia di sicurezza completa richiede che si affrontino tutti i punti deboli.

Scopri di più

• Guarda il webinar: Vulnerabilities Beyond CVEs.Which are You Missing? https://www.tenable.com/webinars/vulnerabilities-beyond-cves-which-are-you-missing
• Scarica il whitepaper: Overcoming Challenges Created by Disparate VM Tools: https://www.tenable.com/whitepapers/overcoming-challenges-created-by-disparate-vulnerability-management-tools
• Leggi Gartner: The Essential Elements of Effective Vulnerability Management: https://www.tenable.com/analyst-research/gartner-the-essential-elements-of-effective-vulnerability-management