Come si fa a tutelarsi dal rischio informatico nell’era dell’Everywhere Workplace? Perché bisogna prestare una rinnovata attenzione al tema della Workplace Security?
Ben il 70% dei dipendenti preferirebbe poter lavorare da qualsiasi luogo piuttosto che ricevere una promozione. Lo dice l’Everywhere Workplace Report di Ivanti.
Per garantire la flessibilità richiesta dal lavoro agile, le aziende hanno cominciato a integrare all’interno della loro infrastruttura anche dotazioni tecnologiche destinate all’uso privato (i BYOD — Bring Your Own Device), aumentando allo stesso tempo la loro esposizione agli attacchi informatici.
La gestione del rischio informatico sembra essere ancora legata a vecchi schemi che male si coniugano con l’agilità richiesta dalla trasformazione digitale e dal lavoro agile: uno dei temi più spinosi, nel vasto catalogo dell’enciclopedia della sicurezza, è la gestione delle vulnerabilità.
Secondo i report del National Institute of Standards (NIST), nel 2020 sono state registrate oltre 18mila vulnerabilità e il numero in aumento è anche conseguenza di un dataset allargato. Tra queste, oltre 10mila (il 57%), sono state classificate con punteggi di “severity high/critical”.
Rischio informatico: si può fare qualcosa?
Il programma di gestione delle vulnerabilità di un’organizzazione deve essere contestualizzato in base all’analisi del proprio ambiente di rischio, tenendo conto di ogni aspetto: dai dispositivi esatti e dall’accessibilità della rete all’analisi del flusso di lavoro e alle interazioni con le applicazioni.
Tuttavia, per valutare se una specifica vulnerabilità è pericolosa per l’organizzazione e la sua infrastruttura, il primo step è innanzitutto sapere che esiste.
- inventariazione e monitoraggio
La prima cosa da fare è aumentare la visibilità, ovvero definire in maniera puntuale gli asset che accedono alle applicazioni e ai dati aziendali. L’inventario delle risorse deve essere completo e dinamico: in un contesto digitale agile e in costante evoluzione non è più possibile gestire cataloghi in modo manuale. È giunto il momento di salutare i fogli Excel e ricorrere a strumenti di inventariazione automatica.
I programmi di gestione delle vulnerabilità, che prendono le mosse da operazioni ricorrenti di scansione degli inventari forniti, non possono limitarsi a un’unica fonte di dati, anche se autorevole e aggiornata come il NVD (National Vulnerability Database).
Secondo l’esperto Abhinav Tiwari, questo database pubblico di vulnerabilità note (CVE o Common Vulnerabilities Exposure) che attualmente interessano applicazioni, software e hardware, non copre il 20% delle esposizioni possibili. Ma non è solo il NVD a mancare di pezzi critici nel puzzle delle vulnerabilità. Il Ransomware Spotlight Report 2022 ha rilevato che tre dei più popolari scanner di vulnerabilità — Nessus, Quals e Nexpose — hanno individuato solo il 77% di tutte le vulnerabilità sfruttabili nel 2021.
Quindi si consiglia di integrare diverse fonti di vulnerabilità — molteplici database (NVD, CISA, MITRE, Exploit Database e Packet Storm ecc.), test di penetrazione umani, autorità dei numeri CVE (CNA) e persino comunità online — per un monitoraggio il più possibile completo.
- prioritizzazione delle vulnerabilità
Non è detto che ogni vulnerabilità debba essere rimediata in quanto critica! Un’adeguata prioritizzazione delle risorse e dell’implementazione delle patch (le “pezze” rilasciate per la correzione dei problemi del software) è fondamentale per ogni strategia di cybersecurity.
Da un lato si potrebbe essere tentati di correggere e sanare tutte le vulnerabilità garantendo la massima copertura al proprio ambiente, ma le segnalazioni rischiano di eccedere la capacità di intervento dei reparti IT delle aziende e di sprecare in modo inefficiente il budget destinato alla sicurezza. D’altra parte, sistemare solo le vulnerabilità ad alto rischio ci lascerebbe esposti ad altre vulnerabilità.
La sfida è trovare il giusto bilanciamento tra le diverse opzioni a partire da un’analisi di quelle che sono le risorse business-critical.
- automazione degli interventi di rimediazione
Dato che il rischio zero è praticamente impossibile, con la corretta definizione delle priorità e il supporto dell’automazione, i team IT possono mantenere le vulnerabilità a un livello gestibile e prendersi cura di quelle che presentano il maggior rischio per l’organizzazione.
Esistono, infatti, strumenti che applicano automaticamente gli aggiornamenti e le patch a sistemi e dispositivi vulnerabili che possono essere un valido supporto. Per quelle vulnerabilità per le quali le patch non sono applicabili, l’automazione permette al personale di concentrarsi sulla stesura di piani di mitigazione per minimizzare le possibilità che possano essere sfruttate.
La gestione uniforme della sicurezza delle postazioni
Con un uso sempre più diffuso e sofisticato di dispositivi in mobilità, è difficile garantire la distribuzione di criteri di accesso e sicurezza rigorosi: il tema della sicurezza delle postazioni digitali (Workplace Security) è di importanza fondamentale.
Bisogna riuscire a distribuire un insieme comune di criteri di identità e accesso per tutti i device utilizzati da ciascun dipendente. Le sfide sono molte: perimetro allargato, sistemi di gestione differenti, criteri applicati a macchia di leopardo.
L’approccio più semplice è quello di centralizzare la gestione della sicurezza in un’unica piattaforma di gestione dei device: in questo modo qualsiasi modifica allo stato dell’utente o ai diritti di accesso non richiede più interventi, con un maggiore dispendio di risorse e una maggiore probabilità di errori.
Il vantaggio principale è quello di poter assicurare l’aderenza delle configurazioni e dei criteri di accesso alle policy di sicurezza definiti dall’azienda, riducendo l’esposizione agli attacchi.
*L’articolo, a firma Camilla Bottin, è stato originariamente pubblicato su Catobium – Il Magazine dei Writers di Catobi.
