Perché è importante conoscere il contesto
Per migliorare le strategie di correzione delle vulnerabilità, non è sufficiente conoscere l’impatto di una vulnerabilità sui sistemi aziendali, ma bisogna anche determinare la probabilità che venga sfruttata.
Solo così è possibile dare priorità alla gestione delle vulnerabilità in modo coerente: l’approccio tradizionale, che opera in modo massivo, rischierebbe di dare precedenza a vulnerabilità esistenti che non rappresentano un pericolo immediato per l’ambiente, a discapito di altre, ben più pericolose.
Il contesto di evoluzione delle minacce, infatti, è in rapido mutamento: quante vulnerabilità meno note sono diventate improvvisamente oggetto di exploit, anche in conseguenza dell’armamento di gruppi di hacker animati da interessi politici?
Prendiamo ad esempio CVE-2017-0144. Questa vulnerabilità è associata al ransomware WannaCry che nel 2017 ha infettato oltre 200mila dispositivi in 100 paesi nel mondo. Rientra nella Top 40 CWE e nella Top10 di OWASP (Open Web Application Security Project) con un punteggio base di High 8.1. Il suo alto profilo e la sua minaccia di exploit avrebbero richiesto una riclassificazione in Critical 10 per poter intervenire immediatamente.
Un approccio risk-based permetterebbe di aumentare la precisione degli interventi di rimediazione: la raccolta di informazioni e la valutazione del rischio attivo associato alla vulnerabilità consentirebbe di definire correttamente le priorità.
Il Vulnerability Risk Rating
Abbiamo detto che intelligence e assegnazione di priorità sono la chiave per essere sempre un passo avanti e mantenere il rischio a un livello gestibile per l’organizzazione.
Servono però indicatori di valutazione efficaci, in grado di colmare le lacune dei database “ufficiali” e misurare il rischio proattivamente e dinamicamente in tempo reale.
Per fornire un contesto aggiuntivo nel calcolo del rischio, noi ci affidiamo al VRR (Vulnerability Risk Rating), un algoritmo proprietario del nostro partner Ivanti che determina con precisione la probabilità di rischio.
Nell’immagine sottostante presa da Ivanti, si vede la differenza nel rilevamento di vulnerabilità tra CVSS v3 e VRR: ci sono incongruenze evidenti nei numeri di vulnerabilità critiche ed elevate che potrebbero portare a tralasciare minacce reali nella protezione dei propri ambienti.