LastPass Labs è l’hub di contenuti del nostro team TIME (acronimo di Threat Intelligence, Mitigation, and Escalation), che si occupa di intelligence sulle minacce informatiche, mitigazione dei rischi che ne derivano e gestione delle relative segnalazioni. Il team si dedica ad analizzare in dettaglio gli ultimi sviluppi in ambito di cibersicurezza, seguire con attenzione le tecnologie più all’avanguardia e valutare le minacce da prospettive inedite.
La sicurezza informatica rappresenta una necessità per ogni singola impresa, dalle più grandi multinazionali alle startup unipersonali. Mentre alcune hanno la fortuna di poter contare su una sostanziosa fetta di bilancio dedicata esclusivamente alla sicurezza IT, altre devono decidere attentamente il giusto ordine di priorità per massimizzare l’utile sul capitale investito con le risorse limitate a disposizione. Oltre ad applicare alle e-mail misure di controllo rigorose – incluso la verifica e il blocco dei messaggi con contenuto dannoso – e istituire programmi di sensibilizzazione alla sicurezza e formazione del personale per contenere i rischi derivanti dagli attacchi di ingegneria sociale, la gestione delle vulnerabilità è un punto chiave di ogni strategia base di cibersicurezza e consente un ritorno sull’investimento immediato. Gli exploit delle vulnerabilità che vanno a segno sono una delle cause principali degli incidenti informatici. In base al rapporto M-Trends 2023 di Mandiant, infatti, il 36% delle indagini condotte dalla società sugli accessi abusivi prevedeva lo sfruttamento di una vulnerabilità.
Comprendere l’infrastruttura tecnologica della propria azienda e i suoi dispositivi di rete attraverso la gestione delle risorse viene indicato come un punto chiave da svariati quadri di cibersicurezza, incluso quello elaborato dall’Istituto nazionale per gli standard e la tecnologia (NIST). Essere consapevoli della propria dotazione tecnologica permette alle aziende – piccole o grandi che siano – di capire velocemente se sono minacciate da nuove vulnerabilità e di intervenire opportunamente per correggerle. Senza questa consapevolezza, invece, diventa impossibile assicurarsi protezione. L’importanza di verificare la presenza di vulnerabilità nel proprio ambiente operativo e aggiornare i sistemi con la massima rapidità non può essere sottolineata abbastanza. L’edizione 2022 del Vulnerability Intelligence Report stilato da Rapid7 ha rivelato che oltre la metà delle vulnerabilità prese in esame era stata sfruttata entro sette giorni dalla pubblicazione della notizia, indicando un aumento del 12% rispetto al 2021 e dell’87% rispetto al 2020.
Sebbene le vulnerabilità vengano generalmente associate ai principali produttori di software, l’utilizzo di soluzioni open source complica ulteriormente il panorama delle minacce che ne derivano. Secondo uno studio di OpenUK, il 90% delle aziende fa uso di software open source, il che proietta i rischi per la sicurezza delle catene produttive ben oltre i normali timori legati ai sistemi operativi e/o agli applicativi proprietari. Per di più, Gartner prevede che il 45% delle organizzazioni a livello mondiale subirà un attacco alla catena di distribuzione software entro il 2025. L’utilizzo diffuso dei software open source crea dipendenze che diventano difficili da individuare, se non vengono sorvegliate con estrema attenzione. Per fare un esempio, secondo il rapporto Open Source Security and Risk Analysis 2023 di Synopsys, la vulnerabilità rilevata in Apache Log4j (CVE-2021-44228) era ancora presente nel 5% dei codebase presi in esame a un anno di distanza dalla notizia iniziale, nonostante fosse diventata una delle vulnerabilità più sfruttate del 2022.
Non da ultimo, l’aumento di programmi dedicati allo smart working e al BYOD si è ritorto contro buona parte del mondo imprenditoriale perché ha ampliato la superficie di attacco potenziale ben oltre i tradizionali confini della classica infrastruttura aziendale, costringendo le imprese a guardarsi anche dalle vulnerabilità che sfuggono al loro diretto controllo. Sviluppare politiche rigorose per l’applicazione delle patch e strategie finalizzate a sensibilizzare e aggiornare l’organico risulta cruciale per fortificare i confini ormai allargati del contesto lavorativo in cui opera un’azienda moderna.
Quali misure potreste adottare?
- Predisponete politiche e procedure per la gestione delle patch e delle vulnerabilità che risultino in linea sia con le priorità della vostra azienda sia con le migliori prassi del settore. Poter contare su politiche aziendali che prescrivano come rispondere alle nuove vulnerabilità semplifica e velocizza le contromisure.
- Se possibile, investite nell’acquisto di strumenti che permettano di rilevare automaticamente sia le vostre risorse aziendali che le vulnerabilità e/o le problematiche che potrebbero coinvolgerle.
- Realizzate un inventario accurato delle risorse che, oltre a comprendere i software proprietari che costituiscono il vostro ecosistema informatico, vi permetta di capire le eventuali dipendenze open source presenti nelle applicazioni che usate. Le cosiddette distinte dei materiali dei software possono aiutarvi a definire gli eventuali componenti che risultano essenziali alle vostre attività, consentendovi di intervenire tempestivamente di fronte a una nuova vulnerabilità.
- L’aggiornamento automatico dei software andrebbe sempre abilitato, qualora possibile, in quanto consente di rispondere alle vulnerabilità con la massima rapidità. Se dovete testare l’aggiornamento per assicurarvi che non abbia ripercussioni sull’operatività, eseguite il test nel più breve tempo possibile.
- Il numero di vulnerabilità rilasciate ogni anno può risultare sconcertante; nel 2022, ad esempio, ne sono state rese pubbliche oltre 25.000. La priorità delle patch da applicare alle vulnerabilità andrebbe decisa sia in base alla loro gravità che all’effettiva presenza di exploit attivi. Per aiutarvi in questo compito, la CISA (Cybersecurity and Infrastructure Security Agency) – l’agenzia statunitense che si occupa di cibersicurezza e sicurezza infrastrutturale – mette a disposizione un catalogo delle vulnerabilità sfruttate di cui si ha conoscenza e lo aggiorna regolarmente (il catalogo si trova in questa pagina). L’elenco è gratuito e accessibile a tutti, rivelandosi un aiuto fondamentale nel decidere la priorità delle patch da installare sulla base delle minacce attualmente attive. Inoltre, il Forum of Incident Response and Security Teams (FIRST) ha elaborato un sistema, noto come Exploit Prediction Scoring System (EPSS), che può essere altrettanto utile per stabilire quali provvedimenti correttivi considerare come prioritari in base alla probabilità che si verifichi un determinato exploit.
- Anche la creazione di un metodo personalizzato per stabilire le priorità può essere di grande aiuto nel far fronte alle nuove vulnerabilità in modo rapido e adeguato. Un simile modello dovrebbe contemplare una serie di elementi sia esterni – incluso il punteggio CVSS della vulnerabilità e la prova che l’exploit sia attivo – sia interni, come un metodo per stabilire se gli asset coinvolti siano fondamentali e/o dedicati agli utenti non aziendali.
- Stabilite criteri precisi per l’aggiornamento dei dispositivi BYOD e comunicateli al personale. Segnalate ai dipendenti le nuove vulnerabilità che potrebbero interessare i loro dispositivi (inclusi smartphone e PC domestici) per metterli nelle condizioni di correggerle tempestivamente.
