Cos'è la gestione delle vulnerabilità?

Con gestione delle vulnerabilità vengono indicati i processi di sicurezza IT che permettono l'identificazione, la valutazione e la correzione delle falle di sicurezza dei dispositivi, nelle reti e nelle applicazioni, in modo da contenere i rischi di attacchi informatici e violazioni della sicurezza.

Secondo i professionisti della sicurezza, la gestione delle vulnerabilità è una componente importante dell'automazione della sicurezza. È inoltre una funzionalità necessaria nelle attività di ISCM (Information Security Continuous Monitoring), secondo la definizione dello statunitense NIST (National Institute of Standards and Technology). 

Le vulnerabilità vengono registrate nel database Common Vulnerabilities and Exposures (CVE), un sistema utilizzato per catalogare le falle individuate dai ricercatori e dai fornitori di servizi IT. Poiché l'emergere di nuove CVE è continuo, la gestione delle vulnerabilità deve essere un processo ininterrotto. Un programma di gestione delle vulnerabilità aiuta i team che si occupano di sicurezza ad automatizzare le procedure di rilevamento e correzione, che prevedono, tra l'altro, la scansione delle vulnerabilità e l'applicazione di patch.

Le procedure di gestione delle vulnerabilità puntano a ridurre il rischio di attacchi informatici e a proteggere l'infrastruttura IT. Queste procedure permettono di limitare la superficie d'attacco di un'organizzazione identificando e rimuovendo problemi di sicurezza e configurazioni errate potenzialmente utilizzabili dagli hacker, gestendo l'applicazione delle patch di sicurezza, e mitigando gli attacchi che sfruttano le vulnerabilità. Tali procedure contribuiscono a garantire che su ogni componente, dai dispositivi endpoint ai server, alle reti, alle risorse cloud siano applicate la patch e la configurazione corrette.

Possiamo immaginare la gestione delle vulnerabilità come un insieme di 5 flussi di lavoro che si sovrappongono: 

• Analisi. Questo flusso di lavoro controlla le risorse IT di un'organizzazione alla ricerca di vulnerabilità note e potenziali.
• Categorizzazione e assegnazione delle priorità. Questo flusso di lavoro classifica le vulnerabilità identificate e assegna le priorità in base al livello di gravità e al rischio effettivo. Ad esempio, una vulnerabilità molto grave rilevata in un dispositivo che può essere sfruttata solo se il dispositivo è connesso a Internet non presenta alcun rischio se quel dispositivo non viene mai connesso a Internet. 
• Risoluzione. Questo flusso di lavoro risolve le vulnerabilità con la correzione (risolvendo ogni eventuale problema della vulnerabilità), la mitigazione (ovvero rendendo difficile lo sfruttamento della falla o riducendone l'impatto), o l'accettazione (ovvero scegliendo di non risolvere la vulnerabilità se ha un basso punteggio di rischio).
• Rivalutazione. Questo flusso di lavoro esegue nuove valutazioni per verificare che le attività precedenti abbiano funzionato senza introdurre nuove vulnerabilità.
• Creazione di report. Questo flusso di lavoro definisce le metriche di base per la gestione delle vulnerabilità e ne monitora le prestazioni nel tempo.

Come componente della sicurezza informatica, la gestione delle vulnerabilità supporta le stesse funzioni. Nel contesto del framework di sicurezza informatica definito dal NIST, queste funzioni includono:

• Identificazione. Il termine indica l'analisi dei sistemi, delle persone, delle risorse, dei dati e delle funzionalità.
• Protezione. È la capacità di limitare o contenere l'impatto di un potenziale evento di sicurezza informatica. 
• Rilevamento. Permette l'individuazione tempestiva degli eventi di sicurezza informatica.
• Risposta. È la capacità di intraprendere azioni adeguate quando viene rilevato un incidente di sicurezza.
• Ripristino. Un piano per la resilienza e per il ripristino delle funzionalità o dei servizi interessati dall'incidente.

Le vulnerabilità nella sicurezza IT vengono catalogate e registrate nell'elenco CVE, una risorsa di settore supervisionata dalla MITRE Corporation e supportata dalla CISA, Agenzia per la sicurezza informatica e delle infrastrutture che fa capo al Dipartimento della sicurezza interna degli Stati Uniti. Le falle di sicurezza inserite nell'elenco CVE possono essere individuate e segnalate da ricercatori, fornitori e membri della community open source.

I professionisti della sicurezza possono trovare altri dettagli tecnici sulle vulnerabilità in altri database, come lo statunitense National Vulnerability Database (NVD), il CERT/CC Vulnerability Notes Database e altri elenchi specifici per prodotto gestiti dai fornitori.

Nell'ambito dei diversi sistemi, gli ID delle CVE forniscono agli utenti un modo affidabile per individuare vulnerabilità specifiche e coordinare lo sviluppo di strumenti e soluzioni per la sicurezza.

Il sistema CVSS (Common Vulnerability Scoring System) è uno standard di settore per la classificazione delle CVE. Lo standard applica una formula che tiene conto di diversi fattori correlati alla vulnerabilità, ad esempio se il potenziale attacco può essere perpetrato da remoto, la complessità dell'attacco, e se richiede l'intervento di un utente. Il CVSS assegna a ogni CVE un punteggio di base che va da 0 (nessun impatto) a 10 (impatto elevato).

Da solo, questo punteggio non offre una valutazione completa del rischio; un'analisi CSVV più approfondita prevede infatti anche una valutazione sul tempo e sull'ambiente. Il punteggio temporale aggiunge informazioni sulle tecniche di exploit correnti, sull'esistenza di attacchi che sfruttano la vulnerabilità o sulla disponibilità di patch o soluzioni alternative per correggere la falla. Il punteggio sull'ambiente aggiunge dettagli specifici utili all'organizzazione indicando i dati, i sistemi o i controlli mission critical potenzialmente esistenti nell'ambiente dell'utente finale che potrebbero incidere sull'impatto o sulla probabilità di riuscita di un attacco.

Oltre ai punteggi CVSS, i fornitori e i ricercatori possono avvalersi di altre classificazioni. Red Hat Product Security utilizza ad esempio una scala di gravità a quattro punteggi per aiutare gli utenti a valutare i problemi di sicurezza. I quattro punteggi indicano:

• Impatto critico: falle che possono essere facilmente sfruttate da un attaccante remoto e non autenticato, e causare la compromissione del sistema senza alcuna interazione dell'utente. 
• Impatto importante: falle che possono facilmente compromettere la riservatezza, l'integrità o la disponibilità delle risorse.
• Impatto moderato: falle che possono essere più difficili da sfruttare ma causare una moderata compromissione della riservatezza, dell'integrità o della disponibilità delle risorse in particolari circostanze.
• Impatto limitato: ogni altra problematica che può avere un impatto sulla sicurezza, incluse quelle il cui utilizzo da parte dell'attaccante richiede circostanze improbabili o per le quali l'exploit causerebbe conseguenze minime.

Con l'aumentare delle vulnerabilità, le aziende assegnano più personale e risorse alle attività di sicurezza, ma diventa anche importante dare la giusta priorità alle attività interessate. Nell'ambito del programma di gestione delle vulnerabilità, l'impiego di dati indeterminati e poco accurati sul rischio può portare a un'errata prioritizzazione di alcune vulnerabilità, aumentando la possibilità che un problema critico possa passare inosservato per lungo tempo.

La gestione della vulnerabilità basata sul rischio (RBVM) è un approccio recente con il quale si tenta di dare priorità alle azioni in base al rischio specifico che corre una determinata organizzazione. L'approccio RBVM tiene conto di alcuni dati sulla vulnerabilità specifica per la parte interessata, tra cui l'intelligence sulle minacce, la probabilità di exploit e l'importanza aziendale delle risorse eventualmente colpite. Per elaborare punteggi più accurati, è possibile includere funzionalità di intelligenza artificiale e machine learning. L'approccio RBVM punta inoltre a monitorare le vulnerabilità in tempo reale, con un'analisi continua e automatizzata.

Una valutazione delle vulnerabilità esamina le misure di sicurezza di un sistema IT per identificare le carenze. Può prevedere la raccolta di dati relativi a un sistema e alle sue risorse, un controllo delle vulnerabilità conosciute e un report che classifica i risultati ottenuti in base al rischio e identifica metodi di miglioramento. In sostanza si tratta di una verifica interna e di un'analisi dell'intera infrastruttura per controllare i problemi di sicurezza. Benché possa essere pianificata come parte di un normale processo, la valutazione delle vulnerabilità è in effetti un singolo evento che termina con un report che rappresenta una situazione in un determinato momento.

La gestione delle vulnerabilità, invece, è un'attività continua, automatizzata e praticata in modo costante, con funzioni continue, consecutive e sovrapponibili. Ciò permette di dare risposte tempestive alle vulnerabilità critiche, migliorando così la sicurezza complessiva.

In quanto leader del software open source, Red Hat mette al primo posto la trasparenza e la responsabilità verso i propri clienti e le community. Red Hat comunica le vulnerabilità molto frequentemente e nel 2022 è diventata una delle organizzazioni Root nell'ambito del programma CVE.

Red Hat offre alle organizzazioni gli strumenti necessari per creare, distribuire ed eseguire applicazioni cloud native. Scopri come puoi individuare e gestire al meglio le vulnerabilità degli ambienti Kubernetes con Red Hat Advanced Cluster Security for Kubernetes.