È difficile trovare un’organizzazione che non voglia migliorare la propria sicurezza. Sono miliardi i dollari, le sterline e gli euro che vengono spesi per la sicurezza a livello globale nel tentativo di tenere a bada le minacce. Secondo IDC, la spesa in Europa crescerà del 10,6% nel 2023, con una spesa totale stimata a 71 miliardi di dollari all’anno entro il 2026.
Ma come possiamo garantire che questa spesa faccia la differenza?
Secondo Paul Baird, Chief Technical Security Officer di Qualys, i team di sicurezza devono pensare in modo olistico ai percorsi di attacco, esaminare i comportamenti degli attori delle minacce per capire cosa potrebbe causare il maggior numero di danni e controllare rapidamente le attività delle minacce quando si verifica una violazione. Devono adottare metodologie basate sul rischio che consentano alle tecnologie, ai processi e alle persone della cybersecurity di convergere e collaborare.
Gli strumenti odierni spesso si concentrano esclusivamente sulla generazione di un numero sempre maggiore di rilevamenti e avvisi, il che semplicemente non è sufficiente a garantire la sicurezza delle organizzazioni. Ora più che mai, le aziende hanno bisogno di informazioni che aiutino a dare priorità alle vulnerabilità più gravi nei loro asset più critici, con una comprensione più solida di come risolverle prima che gli aggressori possano sfruttarle. La Threat Research Unit (TRU) di Qualys ha esaminato trilioni di punti dati nel 2022 per capire quali sono i rischi maggiori per le aziende e dove i team di sicurezza IT possono concentrare i loro sforzi.
Affrontare il problema delle patch
Il patching è sempre stato un problema per le organizzazioni di ogni dimensione e settore. Per le piccole aziende è difficile da gestire, poiché spesso dispongono di personale limitato. Per le grandi aziende, il numero di dispositivi, team, unità aziendali e diversi team responsabili dei vari processi IT e di sicurezza coinvolti aumenta la complessità generale. Questo rallenta la rapidità con cui vengono distribuite le patch, lasciando la porta aperta agli aggressori per sfruttare le minacce a loro piacimento.
Secondo i nostri dati, gli aggressori hanno impiegato in media 19,5 giorni per sfruttare una nuova vulnerabilità software. Tuttavia, i team di sicurezza hanno impiegato in media 30,6 giorni per applicare le patch a tali vulnerabilità. Ciò significa che gli aggressori hanno 11,1 giorni per sfruttare il problema prima che la patch venga completata. La patch per questi problemi critici accelera una volta che un attacco ha avuto successo e i difensori sanno che devono concentrarsi su quel particolare vettore di attacco, ma c’è ancora un divario che può portare agli exploit.
Il tempo medio per applicare una patch è di circa 30 giorni, mentre il tempo per armare il malware si avvicina a 40 giorni. Il ransomware impiega ancora più tempo per essere armato, con una media di circa 45 giorni. Ciò significa che questi attacchi sfruttano i problemi più vecchi che non sono stati patchati. Dando priorità alle patch per le vulnerabilità che potrebbero essere utilizzate come armi o che sono specificamente rischiose per un’organizzazione, è possibile prevenire i problemi il prima possibile. In questo modo si evitano futuri interventi di emergenza e gli straordinari per rispondere a questi problemi.
Automatizzare il patching ovunque sia possibile
Capire il modo migliore per automatizzare il patching delle applicazioni critiche può ridurre drasticamente il tempo necessario per proteggere le applicazioni dagli attacchi e per supportare la maggior parte degli utenti. Ad esempio, Chrome e Windows rappresentano un terzo del set di dati sulle vulnerabilità armate, con il 75% di questi problemi utilizzati da gruppi di attori di minacce nominati. A causa del rischio che questi problemi comportano, le organizzazioni di solito li patchano per primi e in modo più approfondito. Secondo i nostri dati, il tempo medio per rimediare (MTTR) ai problemi con questi prodotti a livello globale è di 17,4 giorni, ovvero circa 2 settimane e mezzo. In secondo luogo, questi due prodotti hanno un tasso di patch effettivo dell’82,9%. In sostanza, Windows e Chrome vengono patchati due volte più velocemente e due volte più spesso di altre applicazioni aziendali.
L’automazione del processo di distribuzione aiuta a velocizzare la delivery e il successo delle patch. Lo vediamo nei nostri dati: le patch che potevano essere distribuite automaticamente sono state installate il 45% più spesso e il 36% più velocemente di quelle che dovevano essere distribuite manualmente. Da questi dati si evince che il team può ottenere prestazioni migliori in termini di patch se sfrutta l’implementazione automatizzata dove è possibile.
Capire chi vi sta prendendo di mira
Oltre alle nuove vulnerabilità che potrebbero essere divulgate, esistono una miriade di altri vettori di attacco. Un problema importante nel panorama odierno delle minacce sono gli Initial access broker (IAB), che cercano di creare punti di appoggio all’interno delle reti aziendali per poi rivenderli ad altri gruppi. Gli IAB cercano problemi di errata configurazione nei dispositivi perimetrali o nelle risorse IT rivolte al pubblico da poter sfruttare, oppure cercano opportunità basate su individui che fanno phishing. Il loro lavoro consiste nel mettere piede in una porta che poi possono monetizzare, trovando dati aziendali sensibili, distribuendo ransomware o vendendo l’accesso a un altro attore delle minacce.
Poiché Windows e Chrome vengono patchati così rapidamente, gli IAB tendono a esaminare altri prodotti software per individuare potenziali vulnerabilità. Questi altri prodotti tendono a essere meno prioritari per i team di sicurezza, ma richiedono comunque una patch nel tempo. Solo comprendendo questa “coda lunga” del rischio, è possibile gestirla in modo appropriato.
Il malware non è l’unico approccio di attacco
Anche se gran parte dell’attenzione dei professionisti della sicurezza sarà dedicata alla prevenzione degli attacchi malware, le configurazioni errate sono un’area enorme che deve essere affrontata.
Questi problemi si dividono in due gruppi: applicazioni web e infrastrutture cloud.
- Per quanto riguarda le applicazioni web, le configurazioni errate possono includere una serie di impostazioni mancate che consentirebbero a un aggressore di ottenere l’accesso, di ricevere più dati del dovuto o di accumulare più informazioni sul resto dell’infrastruttura aziendale. Una crittografia inadeguata o mancante può esporre i dati, mentre gli attacchi di site injection possono portare alla rottura di applicazioni web o al furto di dati. L’utilizzo dell’elenco OWASP Top Ten per le best practice di sicurezza delle applicazioni web può essere d’aiuto, ma l’approccio migliore consiste nel valutare come collaborare con i team di sviluppatori software e web dell’azienda per migliorare le implementazioni in anticipo. Aiutando questi team a comprendere le minacce potenziali e a dare priorità ai rischi, è possibile aiutarli a risolvere in modo più efficiente i problemi che rappresentano il maggior potenziale di attacco.
Non è sufficiente scansionare le applicazioni web per individuare potenziali problemi di sicurezza, poiché ogni applicazione presenta dei problemi: sulla base dei dati anonimizzati di Qualys, di 370.000 applicazioni web sono state 25 milioni le falle scoperte. Serve piuttosto aiutare i propri colleghi sviluppatori a dare priorità ai rischi più urgenti e potenzialmente pericolosi.
- Per quanto riguarda l’infrastruttura cloud, esistono sfide simili. Le implementazioni in cloud possono essere complesse, ma ci sono anche casi in cui semplici configurazioni errate portano a violazioni dei dati. Uno dei motivi principali di perdita di dati è che i bucket di storage o i database del cloud sono stati erroneamente lasciati accessibili senza password o crittografia. La verifica di eventuali casi di configurazioni errate nella vostra implementazione cloud dovrebbe essere automatizzata, in modo da poter segnalare in maniera automatica eventuali problemi per dare una risposta rapida.
L’utilizzo di benchmark per la sicurezza del cloud può aiutare a migliorare la postura di sicurezza. Ad esempio, il Center for Internet Security fornisce parametri di riferimento per le tre principali piattaforme di sicurezza cloud più diffuse: Amazon Web Services, Microsoft Azure e Google Cloud Platform. Il CIS Benchmark per AWS fornisce diversi controlli di sicurezza per misurare l’accesso pubblico ai dati nei bucket S3 e include controlli sullo stato e controlli preventivi. L’utilizzo di queste misure preventive può rendere molto più difficile commettere errori o esporre inavvertitamente i dati, ma è meno probabile che vengano utilizzate.
Mentre il controllo dell’esposizione pubblica mostra che solo l’1% dei bucket è esposto pubblicamente, ci sono due controlli preventivi che vengono implementati solo il 50% delle volte. Ciò significa che c’è un alto potenziale che qualcuno possa inavvertitamente rendere pubblico un bucket S3.
Sebbene la protezione dell’intero bucket sia fondamentale, è anche essenziale salvaguardare i file archiviati nel bucket dall’accesso pubblico. Purtroppo, solo il 40% delle organizzazioni utilizza attualmente questi controlli preventivi per impedire l’accesso pubblico ai file.
Considerando l’intero quadro del cloud e dell’infrastruttura, l’adozione di un approccio proattivo ai controlli di sicurezza e alle mitigazioni può aiutare a prevenire i potenziali problemi in modo più efficiente. L’utilizzo dei CIS Hardening Benchmarks è un punto di partenza efficace per affrontare queste potenziali minacce, mentre i singoli controlli associati alle tecniche specifiche del ransomware devono essere esaminati con attenzione.
In generale, il miglioramento dell’approccio alla sicurezza implica l’utilizzo di automazione, dati e strumenti per supportare l’efficacia del team. Tuttavia, l’opportunità più grande deriva dal dare priorità alle lacune e ai rischi specifici di ogni infrastruttura. Nessuno conosce la vostra infrastruttura quanto voi, quindi utilizzate l’automazione e i dati per capire come possono rendervi più efficienti. Allo stesso tempo, potrete aiutare il vostro team a ottenere risultati migliori.