A cura di Marco Rottigni, Chief Technical Security Officer di Qualys
La sicurezza degli endpoint nelle aziende è sempre più critica. L’informatica è onnipresente e si è verificata una moltiplicazione inarrestabile degli strumenti utilizzati dagli utenti, dispositivi utilizzati sia a fini personali che professionali. In particolare, il rischio sicurezza degli endpoint presenta una duplice minaccia: da un punto di vista tecnico, dove la varietà e il volume degli endpoint fanno sì che i perimetri aziendali si dissolvano, e da un punto di vista culturale, poiché i collaboratori non amano seguire linee comportamentali adeguate. Inoltre, le aziende stanno adottando nuovi modelli legati alla trasformazione digitale, rendendo ancora più difficile il controllo di tutti i servizi di cui oggi possono servirsi e non ultima, la crescita del cloud ha aggiunto un’ulteriore criticità quando si utilizzano piattaforme di molteplici provider, ognuno con le proprie policy di sicurezza.
Come ci si difende dagli attacchi se non si sa quali dispositivi IT siano in uso in azienda?
I passaggi importanti per garantire la sicurezza degli endpoint in azienda sono molteplici. Il primo passo consiste nel valutare ciò che esiste all’interno dell’organizzazione, disponendo un elenco accurato degli endpoint, come i PC, e di tutti gli altri dispositivi, come stampanti o dispositivi IoT. Questo favorisce la messa in atto di un programma di rapido rimedio per evitare potenziali compromissioni o breaches. Certo è, però, che ogni soluzione tecnologica adottata deve essere accompagnata da un programma di consapevolezza della sicurezza in atto, che mantenga il personale generale aggiornato su ciò a cui fare attenzione e che testi il team di sicurezza e la sua strategia di risposta agli incidenti.
Oggi gli hacker continuano a puntare gli endpoint proprio perché sono ottimi veicoli dei cyberattack per una combinazione di fattori. L’endpoint è il punto in cui ogni falla di sicurezza è più facile da sfruttare, sia attraverso i nuovi canali social, sia con virus nascosti all’interno di documenti o altre vulnerabilità collegate ai browser. Inoltre, gli utenti spesso ritardano l’installazione di patch se sono fuori ufficio o stanno lavorando in mobility. Questo cattivo comportamento lascia una superficie vulnerabile esposta in ambienti in cui le misure di sicurezza sono spesso minime o inesistenti.
I nostri ricercatori hanno condotto una scansione dei possibili sfruttamenti di una vulnerabilità in una porzione di codice chiamato gSOAP, che è ampiamente utilizzato nei prodotti di sicurezza fisica e per la botnet Mirai IoT. Abbiamo rilevato 7328 dispositivi in totale, ma solo 1206 di questi hanno visto gli aggiornamenti disponibili applicati. Si trattava di vulnerabilità note con correzioni già previste, ma l’83% dei dispositivi IoT sensibili di questo campione presentava ancora tali vulnerabilità critiche.
Perché queste vulnerabilità non vengono corrette? Succede che alcuni dispositivi non siano proprio aggiornabili, altri che siano estremamente difficili da aggiornare. O, altrimenti, accade anche che in azienda non sia sempre chiaro chi sia effettivamente responsabile dell’installazione di patch e degli aggiornamenti. La creazione di elenchi accurati di tutti i dispositivi endpoint è un primo passo. La messa in atto di un piano per tutti questi dispositivi è successiva, di modo che nessuna macchina connessa sia lasciata a rischio.
Infine, dal nostro punto di vista sarebbe auspicabile una maggiore attenzione per ridurre la superficie vulnerabile tramite una gestione prioritizzata del ciclo di vita delle vulnerabilità stesse. Di fronte alla complessità introdotta dal dissolvimento dei perimetri e dalla trasformazione digitale, diventa necessario intervenire sulla conoscenza del proprio ambiente IT in modo da difenderlo adeguatamente rimediando alle vulnerabilità in modo organizzato e tracciato.
La prioritizzazione dovrebbe avvenire in base a metriche quali posizione degli asset vulnerabili, disponibilità di un exploit per sfruttare la vulnerabilità, disponibilità di una patch, utilizzo della vulnerabilità da parte di attaccanti e cybercriminali, ecc.
Questo processo, certamente possibile e non costoso, porta ad una riduzione degli eventi rilevanti ai fini della sicurezza, ad un minore impatto sulle risorse e ad una maggiore efficacia delle difese.
Di certo le aziende stanno crescendo in maturità e prendendo sempre più coscienza della situazione. Evolvere verso una postura di sicurezza che preveda resilienza agli attacchi informatici richiede maggiore attenzione a temi di formazione e informazione del fattore umano e a una maggiore considerazione del processo di identificazione, analisi, prioritizzazione e rimedio delle vulnerabilità. Le grandi imprese si stanno organizzando per disporre di buone difese, ma ancora troppe sono le realtà che sottovalutano un buon processo di Vulnerability Management mirato a creare contesto intorno alla superficie vulnerabile esposta in relazione alla probabilità che venga sfruttata. Questo approccio porterebbe ad una classificazione delle situazioni da risolvere con priorità, diminuendo il rischio connesso alle potenziali compromissioni e conseguentemente riducendo l’impatto sulle risorse specializzate, spesso scarse.
Qualys, a differenza di aziende che operano esclusivamente per prevenire tentativi di attacco alla sicurezza dei dati, opera con strumenti e ricerca continua e sensori distribuiti in modo capillare per ricevere la giusta segnalazione nel momento in cui si creano delle aree ad alto rischio, agendo con un modello di Vulnerability Assessment e Vulnerability Severity.
Non solo, i ricercatori di Qualys sono in grado di testare ogni vulnerabilità per capire se queste possono degenerare aprendo la strada ai cyberattack oppure se sarà possibile presidiare e chiudere ogni eventuale area a rischio, due concetti riassumibili con le tecnologie di Exploitability e Remediation.