Nell’attuale panorama di business occorre tenere conto dei possibili impatti relativi a cybercrime e pressioni normative. Un programma di Vulnerability Management caratterizzato da un buon livello di maturità rappresenta un’arma efficace per abbassare i rischi
Il tema della classificazione e della gestione delle vulnerabilità di sicurezza è sicuramente centrale per le organizzazioni: se si consultano autorevoli rapporti quali “ENISA Threat Landscape 2017” e “OWASP Top 10 vulnerabilities 2017” si trovano un certo numero di minacce (attacchi web, ransomware, data breach, exploit) che possono essere portate a compimento sfruttando vulnerabilità tecniche. Un caso eclatante, riportato dai media di tutto il mondo il 7 settembre 2017, è accaduto alla compagnia americana Equifax, che opera nel mercato della valutazione del rischio creditizio, e che quindi conduce attività di profilazione della clientela: attraverso i suoi sistemi informativi sono trattati i dati di circa 900 milioni di soggetti e in tale data, l’organizzazione ha reso pubblico che i dati sensibili di circa 143 milioni di soggetti sono stati probabilmente sottratti al suo controllo. Gli attaccanti, tuttora ignoti, hanno potuto sfruttare una vulnerabilità di un componente del framework applicativo di cui era stata pubblicata la soluzione nel mese di marzo 2017, ovvero ben quattro mesi prima. Episodi simili anche se di minor risonanza mediatica sono all’ordine del giorno e le conseguenze sia in termini di danno di immagine, che di conformità normativa, che di possibili richieste risarcitorie possono avere impatti rilevanti, per cui è fondamentale che nell’articolazione delle attività di gestione della sicurezza informatica sia presente un processo strutturato di Vulnerability Management.
Gli obiettivi che ci si prefigge sono la presa di conoscenza da parte dell’organizzazione della presenza oggettiva di vulnerabilità nell’ambito del sistema informativo (infrastruttura classica di server e applicazioni software, mobile, cloud e sistemi di controllo industriale) attraverso l’esecuzione di specifici test strumentali. I risultati vengono poi utilizzati come input per eseguire campagne di rimedio con la finalità di risolvere o minimizzare le vulnerabilità scoperte; poiché le nuove vulnerabilità pubblicate annualmente sono circa 14.000, è determinante dotarsi di strumenti in grado di monitorare in modo continuo la presenza delle stesse onde per poter attuare le opportune misure di mitigazione. Questi tool di analisi automatica sono in grado di verificare vulnerabilità indotte dalla mancanza di aggiornamenti software, da errate configurazioni o dalla presenza di servizi non fondamentali e consentono ai responsabili di comprendere il livello generale di sicurezza, con possibile focalizzazione su gruppi omogenei di asset informatici, supportandoli nella pianificazione delle azioni di mitigazione.
L’utilizzo sistematico di programmi di Vulnerability Management e l’applicazione contestuale dei controlli di sicurezza può rappresentare un valido supporto per dimostrare il rispetto della compliance normativa generale e di settore, almeno per quanto concerne il tema delle verifiche tecniche. Attraverso il raggiungimento di un buon livello di maturità sarà quindi possibile definire un programma evolutivo che contempli non solo le attività operative necessarie alla conduzione delle verifiche e alla risoluzione delle vulnerabilità rilevate, ma anche di gestirne la priorità di pianificazione, oltre all’assegnazione di responsabilità agli attori coinvolti nel processo. È poi auspicabile la definizione di indicatori di performance funzionali al monitoraggio continuo dell’efficacia del processo di Vulnerability Management, con l’obiettivo di un miglioramento qualitativo e di contribuire a mantenere a un livello ragionevolmente basso il rischio informatico. Tornando all’analisi degli impatti della notizia riportata in apertura dell’articolo: nell’attuale contesto un’organizzazione deve dedicare risorse aziendali nell’attuazione di un programma di Vulnerability Management, ma il ritorno degli investimenti nel panorama ”vulnerabile” attuale è assicurato.
Roberto Obialero membro del Comitato Tecnico Scientifico di Clusit
