In un mondo perfetto, i software dovrebbero essere completamente sicuri e gli attacchi dei malintenzionati dovrebbero ottenere scarsi risultati. Inoltre, quando nella progettazione o sviluppo di un nuovo software complesso vengono coinvolte le persone, la perfezione non esiste. Anche le applicazioni ritenute più sicure possono nascondere dei problemi.
Esistono comunque alcune procedure che sono state testate nel tempo. Molte sono le stesse, ripetute da anni, come ad esempio: conservare registrazioni accurate delle risorse IT, scansionare regolarmente i dati, applicare le patch, gestire le vulnerabilità non appena vengono scoperte. A volte poi queste regole risultano di difficile applicazione su larga scala.
Le cattive, buone vecchie abitudini
COVID-19 ha dimostrato come queste metodologie possano facilmente diventare inadatte allo scopo se date per scontate o applicate in modo errato, e che, per supportare in modo adeguato la forza lavoro distribuita e remota di oggi, è necessaria molta elasticità.
Per molte aziende, la gestione delle risorse IT è un compito arduo. Implica la creazione di un inventario accurato e quindi il mantenimento dell’elenco aggiornato. Senza questa lista di risorse, nessuna azienda può affermare con certezza di essere al sicuro. Se si dispone di risorse IT di cui non si è a conoscenza – il cosiddetto shadow IT – come è possibile essere certi che tali risorse siano davvero sicure e aggiornate? Analogamente, la scansione delle risorse e delle applicazioni web per potenziali falle di sicurezza era un altro processo necessario per evidenziare tali problemi.
L’applicazione di patch esiste sin da quando sono stati sviluppati i primi programmi software: la parola patch deriva da nastro di carta su cui le modifiche al programma erano letteralmente incollate l’una sull’altra, proprio “rattoppando” la carta. Oggi Microsoft, Adobe e altri fornitori distribuiscono lotti standardizzati di patch fornendo alle aziende un modo più semplice per gestire le correzioni. Possono tuttavia essere necessarie settimane o addirittura mesi per l’implementazione delle patch su sistemi in produzione.
Inoltre, a volte si dovevano studiare e gestire quelle vulnerabilità delle risorse IT o dei software che non potevano essere aggiornati. Magari a causa di patch non disponibili, software in una versione diversa o altri problemi causati dagli aggiornamenti stessi. L’interruzione delle connessioni Internet, la chiusura di porte vulnerabili o la limitazione dell’accesso alla rete sono tutti tentativi comuni per prevenire o correggere questi problemi.
Gli approcci di oggi
Con la pandemia COVID-19 che ha imposto a tutti lo smart working e la conseguente chiusura degli uffici, le vecchie regole si sono spesso rivelate inutili, richiedendo sostanziali riscritture per adeguarsi a questa nuova situazione.
Con i dipendenti che lavorano da casa utilizzando risorse aziendali o i propri dispositivi, ottenere un elenco accurato delle risorse IT è più importante che mai. La gestione di queste risorse è stata automatizzata per essere eseguita su larga scala su tutto ciò che si connette all’IT aziendale: dai PC domestici che accedono alla rete aziendale fino ai servizi cloud, ai contenitori software e ad altre risorse che vivono sulla rete e creano dati, come dispositivi “Internet of Things” connessi.
Tutti questi dispositivi devono essere tracciati e tale tracciamento deve avvenire il più possibile in tempo reale. Mentre la pianificazione delle scansioni avrebbe potuto essere sufficiente in passato, gli ambienti distribuiti di oggi possono cambiare così rapidamente che i potenziali problemi devono essere scoperti al più presto. La scansione delle vulnerabilità deve quindi avvenire ininterrottamente.
Anche l’applicazione delle patch deve avvenire più velocemente possibile, i dipendenti possono essere ovunque e lavorare su qualsiasi dispositivo. Il processo di implementazione e correzione deve far parte dell’intero approccio alla gestione delle vulnerabilità, poiché le patch dovrebbero essere inviate dal centro a tutti gli utenti e attivate automaticamente.
Anche l’assegnazione delle priorità sull’applicazione delle patch deve evolversi di continuo per soddisfare le esigenze specifiche dell’azienda. Definire quali patch hanno la massima priorità non è un approccio “taglia unica”. Si devono considerare requisiti di rischio specifici relativamente alle applicazioni che sono in atto e quanto velocemente questi aggiornamenti possano essere applicati.
Ciò implica avere un dialogo efficace e costante con le aziende, su quello che rappresenta realmente un rischio per loro. Esistono applicazioni specifiche che devono essere protette a tutti i costi? Esistono sistemi che possono attendere più a lungo poiché hanno soluzioni alternative? Ci sono ulteriori requisiti di conformità da tenere in mente?
Dopo aver risposto a queste domande, è possibile creare un framework di priorità di patch che analizzi i dati delle risorse e delle vulnerabilità di cui si dispone e classifichi tali problemi in base al rischio. L’uso di questi dati non solo aiuta i software di sicurezza a funzionare in modo più efficiente ma può contestualizzarli per capire come si stia proteggendo l’organizzazione anche su attività più ampie.
Pianificazione per il futuro
In qualità di Chief Information Security Officer (CISO), ho rilevato che la pandemia COVID-19 ci ha costretti a riconsiderare cosa significa veramente garantire la sicurezza per le nostre organizzazioni. Il passaggio al lavoro a distanza ci ha portato a prendere decisioni difficili. L’impatto economico e la potenziale recessione previsti significano che la sicurezza IT dovrà fornire ulteriori prove di poter raggiungere gli obiettivi fissati.
Sebbene gli investimenti in questo settore siano stati in passato “a prova di recessione”, oggi gli analisti come Gartner prevedono che la spesa per la sicurezza del cloud continuerà a crescere, la realtà per molti CISO sarà che dovranno risparmiare su costi e rendere più efficienti i loro team.
Questa è la chiave per il ruolo in evoluzione dei CISO se vogliono continuare a ricoprire un ruolo strategico. Saranno anche necessari approcci che automatizzino i processi e che consolidino strumenti e dati.
Pianificare ed eseguire risposte più efficaci possibili sarà essenziale. Per ottenere questo,
sarà necessaria una migliore visibilità, seguita dal miglioramento dei processi di gestione del rischio in modo da potersi concentrare su ciò che è più importante.
Oltre a questi cambiamenti, vale anche la pena pensare a come in futuro verranno applicate metodologie come queste. Invece di considerarle nuovi obiettivi da rispettare – che sono inevitabilmente problematici da monitorare e fornire – questi processi dovrebbero invece avere standard minimi consolidati.
Questo approccio prevede l’utilizzo dei dati per valutare il modo in cui il team si comporta in base ai requisiti e condividere tali dati internamente ed esternamente verificando dove ha senso farlo. Bisogna basarsi sulla visibilità in tempo reale delle risorse e delle vulnerabilità, nonché sulla capacità di porre rimedio ai problemi altrettanto rapidamente. Senza questa intuizione, sarà difficile tenere il passo con la “nuova normalità” introdotta dalla pandemia COVID-19.
di Ben Carr, Chief Information Security Officer di Qualys
