Strategie per dare supporto a Security e Operations nella gestione del rischio IT.
ITAM è una condizione essenziale per garantire protezioni efficaci agli asset IT: vediamo quali sono le competenze e la tecnologia alla base del successo di un progetto ITAM e in che modo i team di Security e Operations potrebbero trarre beneficio nella gestione del rischio.
Con l’avvicinarsi della scadenza per adeguarsi alle prescrizioni del regolamento DORA sulla resilienza operativa digitale (gennaio 2025), gli enti finanziari hanno, tra i vari obblighi, la necessità di dotarsi di un piano di gestione del rischio ICT.
Lo scopo del piano è descrivere nel dettaglio tutti gli elementi messi in atto – quindi strategie, policy, protocolli e strumenti ICT – per proteggere debitamente e adeguatamente il patrimonio informativo e informatico dell’organizzazione.
Una delle condizioni essenziali per garantire protezioni efficaci è disporre di inventari aggiornati degli asset IT: come si può infatti identificare e dare priorità agli asset più critici e sensibili, applicare criteri di sicurezza o patch e individuare usi impropri senza informazioni sugli asset stessi che si dovrebbe proteggere?
L’IT Asset Management è un valido alleato nella gestione del rischio informatico (ne abbiamo parlato in maniera approfondita qui) perché ci permette di sapere:
- quali asset si muovono all’interno della rete (compreso lo shadow IT)
- dove sono ubicati
- chi li possiede e come li sta utilizzando
- come sono configurati
- in quale stato si trovano
- quali vulnerabilità presentano
ITAM: da dove iniziare
Con l’ITAM è facile tentare di “far bollire l’oceano” quando si inizia. Senza un esercito di colleghi o un budget infinito, si scopre presto che si fa fatica a star dietro a tutto fin dal primo giorno.
Ogni organizzazione ha più hardware di quanto si possa fisicamente contare, e poi c’è anche il lato software dell’ITAM. Inoltre, ci sono i servizi basati sul cloud, come gli abbonamenti software-as-a-service (SaaS) e i dispositivi Internet of Things (IoT). A ciò si aggiunge l’espansione incontrollata guidata dallo shadow IT, dal Bring Your Own Device (BYOD) e da altre tendenze fuori dal controllo IT.
Il primo step, che rientra nelle best-practices ITAM, è l’IT asset discovery: ovvero identificare in modo completo gli asset IT e fornire informazioni aggiornate sul loro stato e utilizzo. Ma i dati che ci restituiscono gli inventari automatici ci fanno già capire che è una battaglia che non possiamo vincere: milioni e milioni di righe in un calderone che include intestazioni multiple, aggiornamenti, setup, driver.
Per elevarci al di sopra e non combattere contro i mulini al vento, il SAM (Software Asset Management) è quello che può dare rapidamente risultati significativi nella mitigazione dei rischi di sicurezza. C’è, infatti, un principio detto di Pareto (conosciuto anche come legge 80/20) che dice che il 20% delle cause provoca l’80% degli effetti.
Nella maggior parte dei casi è proprio così: l’80% dei rischi di sicurezza risiede in appena il 20% del proprio parco software. Quindi concentrarsi sui principali vendor software per spesa o sui prodotti più strategicamente importanti o critici (a livello di sicurezza) per l’organizzazione permetterebbe di fare un investimento ITAM che massimizzerebbe i benefici disponibili.
Focalizzarsi sul software, inoltre, ha un impatto anche sul resto del proprio patrimonio informatico: la scoperta del software permette di individuare anche l’hardware su cui è in esecuzione e trarre le opportune considerazioni sul suo utilizzo.
Come ridurre la complessità
Come avevamo già anticipato, la scansione (discovery) e l’inventario di tutti gli asset all’interno del proprio dominio ci restituiscono più complessità di quella che possiamo gestire.
Anche se scegliamo di concentrarci solo sul software, i numeri sono ancora vertiginosi. In un’azienda con 5000 computer, solitamente in media un inventario automatico restituisce quasi 50K di diversi titoli software per un totale di 100K di voci.
In questo processo è fondamentale appoggiarsi a tecnologie che da un lato fanno discovery in tutto il perimetro continuamente per scoprire nuove installazioni, ma che dall’altro sono in grado di mettere a fattor comune tutti i dati che arrivano. C’è bisogno di normalizzazione: Snow Software permette di farlo grazie a uno dei più grandi database di riconoscimento software ottenuti grazie a un training ML avanzato.
Le regole di detection native in Snow permettono di ridurre il numero di voci a un catalogo gestibile (da 100K a 800 voci) con dashboard già normalizzate per vendor, utenti, dispositivi. Comprese le relative informazioni sulla sicurezza e sulla conformità.
Un altro passo avanti per gestire al meglio il catalogo è legato alla conoscenza approfondita delle regole di licensing dei principali vendor software, dato che cambiano molto spesso.
Come il SAM è utile alla sicurezza
La sicurezza richiede che il perimetro sia in controllo a partire da una base dati affidabili: sul principio del “garbage in, garbage out” insiste anche la ISO 19770, su cui si fondano le best-practices ITAM. Se non abbiamo una base dati unica, completa e normalizzata sul software in esecuzione non abbiamo nemmeno consapevolezza delle vulnerabilità da prioritizzare e rimediare.
WEGG ha maturato un’esperienza decennale sulle metodologie ITAM: è necessario impostare i processi corretti che abbiano come risultato dei report di qualità elevata sull’uso in tempo reale del software facilmente condivisibili con altri strumenti.
L’integrazione può essere vantaggiosa su più fronti: con il software ITSM per migliorare il service desk, con gli strumenti per la gestione degli endpoint, il CMDB, ma soprattutto con i protocolli di gestione degli incidenti.
Il 99% degli exploit di sicurezza, infatti, utilizza vulnerabilità note da oltre un anno, ma le organizzazioni fanno fatica a starci dietro. Avere una base dati ITAM affidabile e collegata ai database nazionali sulle vulnerabilità come il NDV (National Database Vulnerability), con i relativi punteggi di gravità, dà indicazioni anche sui vettori di attacco.
In base al livello di gravità rilevato e alla probabilità che si verifichi un exploit, i team di Security e Operations possono impostare dei processi automatizzati per rimediarle.
Vediamo altri scenari in cui il SAM è utile alla sicurezza:
- la conoscenza delle installazioni e degli utenti permette di individuare il software non autorizzato, disattivare gli account superflui (a maggiore rischio) ma anche di coordinare il blocco dell’accesso ai file infetti in caso di incidenti o ransomware
- la conoscenza di tutte le versioni software installate e del ciclo di vita del software aiuta i team che si occupano di gestione delle patch a impostare piani di rimediazione ma anche a supportare Operations nella pianificazione di upgrade o migrazioni (in caso di software vicino alla fine supporto)
La razionalizzazione intelligente
La conformità alle prescrizioni del regolamento DORA è prioritaria per gli enti finanziari. Un altro modo per ridurre la superficie di rischio è anche quello di operare attraverso la razionalizzazione intelligente.
Infatti, non tutti gli asset che risiedono all’interno del perimetro servono davvero.
Partendo da questo principio, è possibile incrociare tutte le informazioni a disposizione (quindi dati su assegnazioni, utilizzo etc.) per fare pulizia: si potrebbero avere molte sorprese. Parliamo di licenze assegnate ma non utilizzate, piani di utilizzo superflui… tutti elementi che vanno ad allargare una superficie di attacco già molto ampia.
Impostare processi di ottimizzazione continua delle licenze è utile per sfrondare i rami utili e avere più controllo sul perimetro. In WEGG ci occupiamo anche di razionalizzazione della tecnologia ai fini della sicurezza.
