Effettuando la scansione delle vulnerabilità, le aziende riescono a individuare le minacce nell’intera infrastruttura IT, dal software ai dispositivi specializzati, dai file ai database. Ne esistono diversi tipi, ma la tecnica generale è unica e rappresenta una componente chiave di qualsiasi programma di gestione della cybersecurity. Si parte con l’identificazione dei punti deboli e dei potenziali elementi di rischio da correggere prima che si traducano in reali danni.
Scansione delle vulnerabilità: come funziona
Generalmente questo processo viene eseguito attraverso un software specializzato che esamina le risorse collegate alla rete e che la utilizzano. Questo strumento fa riferimento a un database di anomalie riconosciute, spesso basato sul database CVE delle minacce divulgate pubblicamente. Quando uno scanner rileva un’irregolarità, parte un alert che l’utente vede comparire sul proprio cruscotto.
Gli scanner di vulnerabilità svolgono tre funzioni principali:
- Scoperta. La scansione fornisce una visione o istantanea o continua di tutte le risorse note e precedentemente sconosciute.
- Valutazione. I sistemi identificano ed evidenziano le vulnerabilità, utilizzando i dati contenuti nel database CVE e in altri database di anomalie note.
- Priorità. In base alle metriche programmate nello scanner, i dispositivi di rete utilizzano i dati CVE, le informazioni sulle minacce e la data science per valutare i problemi e stabilire le priorità per la correzione.
È importante non confondere scansione delle vulnerabilità e test di penetrazione. La prima identifica un problema, mentre il pen-test fornisce metodi per esaminare ulteriormente un’anomalia e identificare i modi per eliminarla. Non sono quindi la stessa cosa, anzi, sono da considerare assieme, perché assieme costituiscono un potente strumento nelle mani dei team di sicurezza e IT.
Scansione delle vulnerabilità: tipologie e applicazioni
Le capacità degli scanner di vulnerabilità variano a seconda delle tipologie considerate. Eccone alcune, con le rispettive peculiarità.
- Scansione interna. Viene eseguita restando nei confini di un’infrastruttura di rete per proteggere le applicazioni e le altre risorse dagli attacchi interni, dai dipendenti disonesti o insoddisfatti e da criminali che sono riusciti a penetrare nel network.
- Scansione esterna. È come se lo scanner fosse esterno all’organizzazione. Si finge un criminale, per poter identificare le vulnerabilità all’interno del perimetro. Dai firewall alle applicazioni interne o web, dalle porte dati, in particolare quelle aperte e sottoutilizzate, agli elementi di rete.
- Scansione autenticata. Così realizzata, la scansione utilizza un tester che si collega come utente legittimo, per esaminare le vulnerabilità dal punto di vista di un utente fidato.
- Scansione non autenticata. Diversamente dalla precedente tipologia di scansione, in questa il tester utilizzato non è autenticato ed esamina l’infrastruttura come un intruso. È un ulteriore modo per identificare rischi e vulnerabilità.
- Scansione di valutazione. Fondamentale perché è l’unica che fornisce una visione e un’analisi complete e chiare dell’infrastruttura.
- Scansione di scoperta. È ciò che ogni scanner deve fare: serve per scoprire situazioni che presentano rischi e minacce per l’organizzazione.
- Scansione di conformità. Viene effettuata per determinare se un’infrastruttura è conforme a standard, policy, normative e altri requisiti basati su regole.
- Scansione host-based. In questo caso gli scanner verificano le vulnerabilità di sistemi e server locali e delle loro configurazioni del sistema operativo, insieme ad altri host supportati.
- Scansione di rete. Indaga la presenza di eventuali password deboli, in combinazione con gli scanner delle porte. Esegue anche pen-test limitati, senza interrompere le operazioni di rete, e sfrutta le vulnerabilità identificate per individuare i vettori di attacco e altre anomalie, senza influire sulle prestazioni del sistema e della rete.
- Scansione delle applicazioni web. Esamina quelle rivolte al pubblico, alla ricerca di potenziali vulnerabilità.
- Scansione delle porte. Per cercare porte aperte nei server di rete invia richieste di connessione, poi monitorate per determinarne l’attività. Questi stessi scanner sono utilizzati anche dai criminali informatici per identificare porte aperte o sottoutilizzate e ottenere un accesso non autorizzato
- Scansione dei database. È una tecnica unicamente finalizzata a individuare eventuali attività sospette nei database
- Scansione delle vulnerabilità del codice sorgente. Per aiutare i tester a identificare potenziali anomalie può essere utile analizzare regolarmente il codice di sorgente. L’ideale sarebbe munirsi di un software di scansione che applica i dati sulle anomalie raccolti dal NIST.
- Scansione delle vulnerabilità del cloud. L’oggetto dell’analisi è l’ambiente cloud, l’obiettivo è sempre quello di identificare potenziali anomalie. In questo caso possono riguardare la configurazione delle impostazioni e dei controlli del cloud, il controllo degli accessi e l’autenticazione e la sovrapposizione con altri utenti del cloud.
Le sfide dell’utilizzo degli scanner di vulnerabilità
Per svolgere in maniera davvero efficace la scansione delle vulnerabilità è necessaria un’attenta e continua supervisione. Se il database CVE di uno scanner non è aggiornato, infatti, potrebbe ignorare tutte le nuove vulnerabilità non ancora identificate.
Un’altra sfida fondamentale nella ricerca delle vulnerabilità è la gestione delle risorse. La risoluzione dei problemi segnalati dagli scanner, infatti, dipende fortemente dalle risorse disponibili per mitigare le anomalie.
La scansione continua può comportare un degrado delle prestazioni di rete, chiamate a elaborare un flusso continuo di sonde. I vantaggi di questa pratica, quindi, vanno valutati tenendo conto anche del suo impatto negativo sulle prestazioni della rete. Le scansioni manuali, o a vista singola, sono meno intensive ma, esaminando l’infrastruttura solo in un determinato momento, potrebbero non riuscire a cogliere anomalie nuove o molto complesse.
Come scegliere gli scanner di vulnerabilità
Prima di scegliere il fornitore, per questa e per altre tecnologie, è buona pratica definire i requisiti. Alcuni tipi di sistemi di scansione delle vulnerabilità sono mirati; altri sono più flessibili e supportano diversi ambienti di scansione. Alcuni scanner possono far parte di una suite di servizi correlati, come i pen-test o altre applicazioni diagnostiche. Tra le opzioni da considerare c’è anche l’open source, soprattutto per le aziende che vogliono provare la tecnologia prima di investirvi.
Quando si acquista uno scanner di vulnerabilità, è meglio:
- cercare un sistema in grado di esaminare l’infrastruttura per verificarne la conformità alle normative e agli standard specifici dell’organizzazione.
- scegliere uno strumento con un cruscotto che visualizzi le informazioni pertinenti.
- assicurarsi che lo scanner abbia la flessibilità necessaria per analizzare i sistemi più critici e le difese esistenti.
- verificare la disponibilità di personale IT per il monitoraggio e l’analisi delle vulnerabilità.
- capire se sono necessarie valutazioni di vulnerabilità per la compliance.
- valutare se è necessario un supporto basato sul cloud.
- verificare la compatibilità con l’infrastruttura esistente dell’organizzazione.
Gli scanner di vulnerabilità forniscono dati preziosi sulla sicurezza. I risultati ottenuti devono quindi essere esaminati, gestiti e analizzati dal team specializzato. L’ideale sarebbe abbinare la scansione delle vulnerabilità ai pen-test, per ottimizzare la gestione delle minacce, considerandolo un elemento chiave per una strategia globale di cybersecurity di successo.