Cos'è la gestione delle vulnerabilità?

Le vulnerabilità nella sicurezza IT vengono catalogate e registrate nell'elenco CVE, una risorsa di settore supervisionata dalla MITRE Corporation e supportata dalla CISA, Agenzia per la sicurezza informatica e delle infrastrutture che fa capo al Dipartimento della sicurezza interna degli Stati Uniti. Le falle di sicurezza inserite nell'elenco CVE possono essere individuate e segnalate da ricercatori, fornitori e membri della community open source.

I professionisti della sicurezza possono trovare altri dettagli tecnici sulle vulnerabilità in altri database, come lo statunitense National Vulnerability Database (NVD), il CERT/CC Vulnerability Notes Database e altri elenchi specifici per prodotto gestiti dai fornitori.

Nell'ambito dei diversi sistemi, gli ID delle CVE forniscono agli utenti un modo affidabile per individuare vulnerabilità specifiche e coordinare lo sviluppo di strumenti e soluzioni per la sicurezza.

Scopri di più sugli elenchi CVE

Il sistema CVSS (Common Vulnerability Scoring System) è uno standard di settore per la classificazione delle CVE. Lo standard applica una formula che tiene conto di diversi fattori correlati alla vulnerabilità, ad esempio se il potenziale attacco può essere perpetrato da remoto, la complessità dell'attacco, e se richiede l'intervento di un utente. Il CVSS assegna a ogni CVE un punteggio di base che va da 0 (nessun impatto) a 10 (impatto elevato).

Da solo, questo punteggio non offre una valutazione completa del rischio; un'analisi CSVV più approfondita prevede infatti anche una valutazione sul tempo e sull'ambiente. Il punteggio temporale aggiunge informazioni sulle tecniche di exploit correnti, sull'esistenza di attacchi che sfruttano la vulnerabilità o sulla disponibilità di patch o soluzioni alternative per correggere la falla. Il punteggio sull'ambiente aggiunge dettagli specifici utili all'organizzazione indicando i dati, i sistemi o i controlli di importanza critica potenzialmente esistenti nell'ambiente dell'utente finale che potrebbero incidere sull'impatto o sulla probabilità di riuscita di un attacco.

Oltre ai punteggi CVSS, i fornitori e i ricercatori possono avvalersi di altre classificazioni. Red Hat Product Security utilizza ad esempio una scala di gravità a quattro punteggi per aiutare gli utenti a valutare i problemi di sicurezza. I quattro punteggi indicano:

• Impatto critico: falle che possono essere facilmente sfruttate da un attaccante remoto e non autenticato, e causare la compromissione del sistema senza alcuna interazione dell'utente.
• Impatto importante: falle che possono facilmente compromettere la riservatezza, l'integrità o la disponibilità delle risorse.
• Impatto moderato: falle che possono essere più difficili da sfruttare ma causare una moderata compromissione della riservatezza, dell'integrità o della disponibilità delle risorse in particolari circostanze.
• Impatto limitato: ogni altra problematica che può avere un impatto sulla sicurezza, incluse quelle il cui utilizzo da parte dell'attaccante richiede circostanze improbabili o per le quali l'exploit causerebbe conseguenze minime.

Con l'aumentare delle vulnerabilità, le aziende assegnano più personale e risorse alle attività di sicurezza, ma diventa anche importante dare la giusta priorità alle attività interessate. Nell'ambito del programma di gestione delle vulnerabilità, l'impiego di dati indeterminati e poco accurati sul rischio può portare a un'errata prioritizzazione di alcune vulnerabilità, aumentando la possibilità che un problema critico possa passare inosservato per lungo tempo.

La gestione della vulnerabilità basata sul rischio (RBVM) è un approccio recente con il quale si tenta di dare priorità alle azioni in base al rischio specifico che corre una determinata organizzazione. L'approccio RBVM tiene conto di alcuni dati sulla vulnerabilità specifica per la parte interessata, tra cui l'intelligence sulle minacce, la probabilità di exploit e l'importanza aziendale delle risorse eventualmente colpite. Per elaborare punteggi più accurati, è possibile includere funzionalità di intelligenza artificiale e machine learning. L'approccio RBVM punta inoltre a monitorare le vulnerabilità in tempo reale, con un'analisi continua e automatizzata.

Una valutazione delle vulnerabilità esamina le misure di sicurezza di un sistema IT per identificare le carenze. Può prevedere la raccolta di dati relativi a un sistema e alle sue risorse, un controllo delle vulnerabilità conosciute e un report che classifica i risultati ottenuti in base al rischio e identifica metodi di miglioramento. In sostanza si tratta di una verifica interna e di un'analisi dell'intera infrastruttura per controllare i problemi di sicurezza. Benché possa essere pianificata come parte di un normale processo, la valutazione delle vulnerabilità è in effetti un singolo evento che termina con un report che rappresenta una situazione in un determinato momento.

La gestione delle vulnerabilità, invece, è un'attività continua, automatizzata e praticata in modo costante, con funzioni continue, consecutive e sovrapponibili. Ciò permette di dare risposte tempestive alle vulnerabilità critiche, migliorando così la sicurezza complessiva.

In quanto leader del software open source, Red Hat mette al primo posto la trasparenza e la responsabilità verso i propri clienti e le community. Red Hat comunica le vulnerabilità molto frequentemente e nel 2022 è diventata una delle organizzazioni Root nell'ambito del programma CVE.

Scopri l'approccio di Red Hat alla gestione delle vulnerabilità

Red Hat offre alle organizzazioni gli strumenti necessari per creare, distribuire ed eseguire applicazioni cloud native. Scopri come puoi individuare e gestire al meglio le vulnerabilità degli ambienti Kubernetes con Red Hat Advanced Cluster Security for Kubernetes.