Vulnerability Management

Il Vulnerability Assessment, spesso abbreviato in VA, è un’attività che in ambito aziendale viene solitamente svolta a seguito della messa in produzione di un gruppo specifico di sistemi per l’erogazione di un servizio, o successivamente ad un aggiornamento consistente degli stessi (di solito per rispettare policy di sicurezza interne o imposte da un ente certificatore).
Il compito viene spesso assegnato ad un professionista esterno e si conclude con la generazione di un report in cui si elencano le vulnerabilità software potenzialmente sfruttabili da un attore malevolo.
Questo report verrà poi conservato come “dimostrazione” dell’esecuzione di un test di sicurezza, ma poca attenzione viene data a tutto ciò che avviene successivamente.

Il Vulnerability Management consiste invece in un processo più complesso, e si differenzia dal Vulnerability Assessment nel raggio d’azione (l’intera infrastruttura IT e non un gruppo ristretto di sistemi), la reiterazione (ottenendo una visione continua della situazione e non una fotografia relativa ad un dato momento) e l’obiettivo finale (non la consegna di un semplice report, ma il sanare le problematiche riscontrate).
Un processo di Vulnerability Management implementato correttamente va strutturato in un ciclo di quattro macro-fasi: la prima fase di Identification combacia con quella di un Vulnerability Assessment, dove tramite un Vulnerability Scanner si sondano i sistemi per individuare i servizi in ascolto e i software installati, nonché la versione e configurazione degli stessi da cui dedurre la presenza di vulnerabilità note. Nella seconda fase di Analysis and Prioritization viene contestualizzata la reportistica della scansione e data una priorità specifica alle singole vulnerabilità.

Il Vulnerability Scanner assegnerà già a priori una severità ad ogni singola vulnerabilità trovata, ottenuta misurando diversi fattori come i requisiti per poterla sfruttare e l’impatto che può avere sul sistema. Sarà comunque necessario contestualizzare la criticità della vulnerabilità in base all’importanza del singolo asset per l’azienda e alla presenza o meno di altri elementi al di fuori del singolo sistema, utili a mitigare il rischio (segregazione della rete, firewall o altri sistemi a protezione dello stesso).
di vulnerabilità più critiche da prendere in considerazione, passiamo quindi alla fase di Remediation. Qui vengono comunicate ai responsabili dei singoli sistemi le vulnerabilità di loro pertinenza, insieme alla richiesta di mitigazione delle stesse. Per farlo, viene dato loro supporto sulla specifica attività da svolgere, come ad esempio applicare una patch di sistema o una configurazione apposita.
Infine, la fase di Reassessment, forse la più importante per assicurarsi che l’intero processo funzioni a dovere. Questa consiste nel rifare nuovamente l’analisi degli stessi sistemi alla ricerca delle vulnerabilità già identificate in precedenza, dopo che sono state applicate le misure suggerite in fase di Remediation. Da questa seconda scansione ci si aspetta di avere un esito negativo.
Purtroppo, può anche succedere che le patch rilasciate dai vendor non siano efficaci sulla specifica configurazione dell’asset, o che l’eventuale modifica non sia stata apportata in maniera appropriata. In tal caso la nuova scansione segnalerà nuovamente la vulnerabilità non sanata, e sarà necessario contattare il responsabile ed indagare sulla motivazione
Oltre che descrivere come viene strutturato il processo, è altrettanto importare evidenziare i requisiti necessari per poterlo implementare efficacemente e di conseguenza ottenere dei buoni risultati.
Ciò è necessario per assicurare la funzionalità delle scansioni e l’attendibilità dei risultati, ma anche per evitare effetti indesiderati sulle performance della rete e dei sistemi in generale, dovuti al traffico generato dagli scanner.

In seconda battuta è bene identificare tutti gli stakeholder da coinvolgere: i responsabili della sicurezza dei sistemi, che dovranno sovrintendere l’intero processo e gestirlo in maniera tale che le varie fasi vengano portate avanti come prestabilito; gli analisti incaricati di effettuare le scansioni e di analizzare il loro risultato; infine i responsabili e gestori dei singoli sistemi, che dovranno sanare le vulnerabilità a loro notificate.
Ultimo requisito è avere una chiara visione della propria infrastruttura che sarà oggetto delle scansioni. È importante indirizzare le scansioni sugli asset che si vuole analizzare, senza dimenticare parti della rete che verrebbero escluse dal processo, o magari evitando accuratamente zone specifiche particolarmente sensibili che potrebbero risentire del carico computazionale causato dalle scansioni (ad es. sistemi di controllo industriale).
Il Vulnerability Management così strutturato abilita un’organizzazione ad avere una panoramica continua e puntuale della propria superficie d’attacco – la somma di tutte le vulnerabilità presenti sui propri sistemi – e quindi poterne mitigare il rischio ad essa associato in maniera tempestiva.