L’importanza di affidarsi a scoring come il Vulnerability Risk Rating
Con 214,2K vulnerabilità rilevate dal NDV, il database di riferimento per la gestione delle vulnerabilità, i team IT intervistati dal nostro partner Ivanti hanno lamentato la complessità (il 71%) e la mancanza di tempo (il 45%) nel dare seguito agli interventi di bonifica.
L’NDV, che a sua volta è alimentato dalle liste CVE (Common Vulnerabilities and Esposure) con informazioni sulle correzioni, i punteggi di gravità e le valutazioni di impatto, insieme alla CWE (Common Weakness Enumeration) è una delle basi comuni utilizzate dalle aziende per la gestione del rischio.
Ma la maggior parte dei casi delle vulnerabilità rilevate non ha una minaccia associata alla scoperta. Se andiamo a vedere un report RiskSense del 2021, vediamo che di queste 214mila vulnerabilità, circa 25mila di esse sono armate, 6mila presentano la possibilità di esecuzione remota di codici o escalation di privilegio, 243 sono legate a un ransomware ma solo 158 di esse sono legate a un trend di sfruttamento attivo.
Per migliorare le strategie di correzione delle vulnerabilità, non è sufficiente conoscere l’impatto di una vulnerabilità sui sistemi aziendali, ma bisogna anche determinare la probabilità che venga sfruttata.
Solo così è possibile dare priorità alla gestione delle vulnerabilità in modo coerente: l’approccio tradizionale, che opera in modo massivo, rischierebbe di dare precedenza a vulnerabilità esistenti che non rappresentano un pericolo immediato per l’ambiente, a discapito di altre, ben più pericolose.
Il contesto di evoluzione delle minacce, infatti, è in rapido mutamento: quante vulnerabilità meno note sono diventate improvvisamente oggetto di exploit, anche in conseguenza dell’armamento di gruppi di hacker animati da interessi politici?
Prendiamo ad esempio CVE-2017-0144. Questa vulnerabilità è associata al ransomware WannaCry che nel 2017 ha infettato oltre 200mila dispositivi in 100 paesi nel mondo. Rientra nella Top 40 CWE e nella Top10 di OWASP (Open Web Application Security Project) con un punteggio base di High 8.1. Il suo alto profilo e la sua minaccia di exploit avrebbero richiesto una riclassificazione in Critical 10 per poter intervenire immediatamente.
Un approccio risk-based permetterebbe di aumentare la precisione degli interventi di rimediazione: la raccolta di informazioni e la valutazione del rischio attivo associato alla vulnerabilità consentirebbe di definire correttamente le priorità.
Abbiamo detto che intelligence e assegnazione di priorità sono la chiave per essere sempre un passo avanti e mantenere il rischio a un livello gestibile per l’organizzazione.
Servono però indicatori di valutazione efficaci, in grado di colmare le lacune dei database “ufficiali” e misurare il rischio proattivamente e dinamicamente in tempo reale.
Per fornire un contesto aggiuntivo nel calcolo del rischio, noi ci affidiamo al VRR (Vulnerability Risk Rating), un algoritmo proprietario del nostro partner Ivanti che determina con precisione la probabilità di rischio.
Nell’immagine sottostante presa da Ivanti, si vede la differenza nel rilevamento di vulnerabilità tra CVSS v3 e VRR: ci sono incongruenze evidenti nei numeri di vulnerabilità critiche ed elevate che potrebbero portare a tralasciare minacce reali nella protezione dei propri ambienti.
Approfondiremo l’importanza di un approccio risk-based nella gestione delle vulnerabilità e il funzionamento del VRR nel webinar “Diamo priorità al rischio” in programma per il 27 ottobre.
Vedremo in particolare come creare una base informativa dinamica e associarla correttamente alla gestione del rischio per poter intervenire rapidamente, anche con il supporto dell’automazione.
Approfondimenti
I NOSTRI UFFICI
I NOSTRI UFFICI
PADOVA
Via Arnaldo Fusinato 42, 35137
MILANO
Viale Enrico Forlanini 23, 20134
ROMA
Viale Giorgio Ribotta 11, 00144
Copyright © 2022 WEGG S.r.l. • P.I 03447430285 • C.F. 02371140233 • REA 311023
Azienda certificata ISO 9001:2015