Nell'ultimo anno le notizie di attacchi informatici hanno dominato i titoli giornalistici, anche della stampa non specializzata, producendo un bollettino quotidiano su violazioni di privacy, furti di dati e cybercrimine. Si sente spesso parlare di vulnerabilità, un problema trasversale a molte tecnologie, e che si insidia all'interno di hardware obsoleto, software non aggiornato, errate configurazioni e, ancora, policy aziendali e flussi di lavoro non corretti dal punto di vista della sicurezza.
Marco Rottigni, chief technical security officer di Qualys, ci spiega alcune delle ragioni dell'abbondanza di vulnerabilità nei sistemi It e suggerisce una strategia in più step, con cui poter ridurre notevolmente il rischio.
La sicurezza degli endpoint nelle aziende è sempre più critica. L’informatica è onnipresente e si è verificata una moltiplicazione inarrestabile degli strumenti usati dagli utenti sia a fini personali sia professionali. In particolare, il rischio sicurezza degli endpoint presenta una duplice minaccia: da un punto di vista tecnico, perché la varietà e il volume degli endpoint fanno sì che i perimetri aziendali si dissolvano, e da un punto di vista culturale, poiché i collaboratori non amano seguire linee di comportamento adeguate. Inoltre, le aziende stanno adottando nuovi modelli legati alla trasformazione digitale, rendendo ancora più difficile il controllo di tutti i servizi di cui oggi possono servirsi. Non ultima, la crescita del cloud ha aggiunto un’ulteriore criticità quando si impiegano piattaforme di molteplici provider, ognuno con le proprie policy di sicurezza.
Come ci si difende dagli attacchi, se non si sa quali dispositivi It siano in uso in azienda? I passaggi importanti per garantire la sicurezza degli endpoint in azienda sono molteplici. Il primo passo consiste nel valutare ciò che esiste all'interno dell'organizzazione, disponendo un elenco accurato degli endpoint, come i Pc, stampanti, dispositivi IoT e tutti gli altri. Questo favorisce la messa in atto di un programma di rapido rimedio a potenziali compromissioni o breach. Certo è, però, che ogni soluzione tecnologica adottata deve essere accompagnata da un programma di consapevolezza della sicurezza in atto, che mantenga tutto il personale aggiornato su ciò a cui fare attenzione e che testi il team di sicurezza e la sua strategia di risposta agli incidenti.
Oggi gli hacker continuano a prendere di mira gli endpoint perché, per un insieme di fattori, sono ottimi veicoli di attacchi informatici. L'endpoint è il punto in cui ogni falla di sicurezza è più facile da sfruttare, sia attraverso i nuovi canali social sia con virus nascosti all'interno di documenti o con altre vulnerabilità collegate ai browser. Inoltre, gli utenti spesso ritardano l’installazione di patch se sono fuori ufficio o stanno lavorando in mobility. Questo cattivo comportamento crea una superficie esposta e vulnerabile in ambienti le cui le misure di sicurezza sono spesso minime o inesistenti.
I nostri ricercatori hanno eseguito un'analisi delle vulnerabilità potenzialmente sfruttabili in una porzione di codice chiamato gSOAP, che è ampiamente utilizzato nei prodotti di sicurezza fisica ma che è stato usato anche per la botnet Mirai IoT. Abbiamo rilevato 7328 dispositivi in totale, ma gli aggiornamenti disponibili erano stati applicati solo in 1206 di essi. Si trattava di vulnerabilità note con correzioni già previste, ma l'83% dei dispositivi IoT di questo campione presentava ancora tali problemi critici.
Perché queste vulnerabilità non vengono corrette? Succede che per alcuni dispositivi non è proprio possibile installare l'aggiornamento, per altri è estremamente difficile. Oppure accade che in azienda non sia sempre chiaro chi sia l'effettivo responsabile dell’installazione di patch e degli aggiornamenti. La creazione di elenchi accurati di tutti i dispositivi endpoint è un primo passo. La messa in atto di un piano per tutti questi dispositivi è il successivo, che fa sì che nessuna macchina connessa sia a rischio.
Infine, dal nostro punto di vista sarebbe auspicabile una maggiore attenzione a ridurre la superficie vulnerabile tramite una gestione pioritizzata del ciclo di vita delle vulnerabilità stesse. Di fronte alla complessità introdotta dal dissolvimento dei perimetri e dalla trasformazione digitale, diventa necessario intervenire sulla conoscenza degli ambienti It in modo da difenderli adeguatamente, rimediando alle vulnerabilità in modo organizzato e tracciato. La prioritizzazione dovrebbe avvenire in base a metriche quali posizione degli asset vulnerabili, disponibilità di un exploit per sfruttare la vulnerabilità, disponibilità di una patch, utilizzo della vulnerabilità da parte di attaccanti e cybercriminali, e altro ancora. Questo processo, certamente possibile e non costoso, porta a una riduzione degli eventi rilevanti ai fini della sicurezza, a un minore impatto sulle risorse e a una maggiore efficacia delle difese.
Di certo le aziende stanno crescendo in maturità e prendendo sempre più coscienza della situazione. Evolvere verso una postura di sicurezza che preveda resilienza agli attacchi informatici richiede maggiore attenzione a temi di formazione e informazione del fattore umano, e a una maggiore considerazione del processo di identificazione, analisi, prioritizzazione e rimedio delle vulnerabilità. Le grandi imprese si stanno organizzando per disporre di buone difese, ma ancora troppe sottovalutano un buon processo di Vulnerability Management, mirato a creare contesto intorno alla superficie vulnerabile esposta in relazione alla probabilità che venga sfruttata. Questo approccio porterebbe a una classificazione delle situazioni da risolvere con priorità, diminuendo il rischio connesso alle potenziali compromissioni e riducendo di conseguenza l'impatto sulle risorse specializzate, che spesso scarseggiano.