LA GUIDA

Monitoraggio delle vulnerabilità: ecco come stare un passo avanti ai cyber attaccanti

Ogni giorno si scoprono vulnerabilità e sono rese disponibili patch per rimediare a quelle esistenti. Ecco come evitare che i cyber criminali sfruttino le debolezze del sistema per lanciare attacchi

01 Lug 2022
P
Fabrizio Pincelli

Giornalista

Un quesito che spesso si pone chi si occupa di sicurezza all’interno di un’azienda è: quanto siamo attaccabili? Quanto è vulnerabile la nostra infrastruttura? L’unico modo per avere una risposta è effettuare un vulnerability assessment, un monitoraggio delle vulnerabilità.

Per altro, si tratta di un’attività che ormai è un passaggio consolidato di molte strategie di sicurezza, al punto che il GDPR e la certificazione ISO 27001 prevedono l’esecuzione di un vulnerability assessment almeno una volta all’anno. Ma secondo Luca Bonora, Head of Business Developer Manager di Cyberoo ed esperto di prevenzione del furto di dati, un solo vulnerability assessment nell’arco di 12 mesi non basta per assicurare un efficace monitoraggio delle vulnerabilità. Vediamo perché.

Cos’è il monitoraggio delle vulnerabilità

Il vulnerability assessment tipicamente indirizza le falle che i prodotti o i software in generale possono avere e quindi essere sfruttati per possibili attacchi. “Tuttavia, il vulnerability assessment è per sua natura fallace – afferma Bonora – perché fa una fotografia in un preciso momento delle vulnerabilità note dei sistemi. È vero che questo consente di rimediare alla situazione con una patch, un aggiornamento o a volte addirittura un cambio di una configurazione. Però le aziende sono caratterizzate da estrema dinamicità. Quindi il fatto di poter installare nuovi software, attivare un nuovo prodotto, una nuova soluzione porta a modificare continuamente le configurazioni. E questo comporta che si possano creare vulnerabilità”.

Da non sottovalutare, poi, il fatto che nuove vulnerabilità vengono individuate quotidianamente da chi si occupa di sicurezza. Il 2021 Year End Vulnerability QuickView Report di Risk Based Security ha stimato che lo scorso anno ne siano state individuate 28.695 in sistemi operativi, applicazioni e dispositivi. Questo significa che se un’azienda avesse fatto un vulnerability assessment il 31 dicembre 2020 e il successivo il 31 dicembre 2021 potenzialmente per tutto il 2021 potrebbe avere avuto 28.695 vulnerabilità senza saperlo, risultando perciò altamente esposta ad attacchi che avrebbero potuto causare importanti danni.

“È un processo completamente da cambiare” sostiene Bonora. “Il vulnerability assessment ha assolutamente senso, ma non deve essere fatto una volta l’anno quanto invece con continuità. Il monitoraggio delle vulnerabilità di cui parlo è un’attività attiva, fatta su sistemi, servizi, indirizzi IP o applicazioni che si può eseguire sia dall’interno sia dall’esterno dell’azienda. Noi abbiamo un MDR che ha due soluzioni, Cyper e CSI. Cypeer esegue un continuous scanning, cioè un vulnerability assessment, attraverso sia una scansione di tutta la rete all’interno dell’infrastruttura sia un agente che può risiedere sulle singole postazioni di lavoro. Questo perché alcuni software non mostrano il loro bug in rete. Magari è identificato con un CWE (Common Weakness Enumeration, un sistema di categorizzazione delle vulnerabilità di software e hardware), ma in realtà lo si individua solo con un’analisi mirata. Il continuous scanning impiega qualche ora per effettuare un assessment quindi può essere effettuato tutti i giorni per verificare se sono sorte nuove o state scoperte nuove vulnerabilità”.

Individuate le vulnerabilità, cosa si deve fare?

Stabilire se all’interno della rete sono presenti delle vulnerabilità è un’attività che richiede un tempo limitato. Un discorso del tutto diverso si deve invece fare per i tempi necessari a risolvere tali vulnerabilità, perché gli interventi possono implicare metodi molto differenti. “A volte può bastare una procedura semplice come l’installazione di una patch o di un aggiornamento” precisa Bonora.

“Altre volte, invece, può essere necessario modificare dei certificati software e questo può vuol dire di pianificare un progetto articolato. Perché se ci si accorge di aver risposto a un servizio con dei certificati che non sono pubblici o magari non adeguati si deve mettere in atto una serie di processi che permettano, per esempio, di risistemare la catena di certificazione. Così, se ci si possono impiegare poche ore per effettuare un vulnerability assessment, possono invece servire diversi giorni, alle volte anche mesi, per risolvere il problema individuato”.

Vulnerability assessment anche della supply chain

Nel caso di aziende che hanno consentito l’accesso alla propria rete a clienti e fornitori si pone il problema delle vulnerabilità che possono essere presenti nelle reti dei propri partner. Considerato che non è possibile eseguire attività “attive” su indirizzi IP o servizi esposti da qualcun altro senza esserne opportunamente autorizzati, si può comunque avere un’indicazione del livello di rischio che possono far correre fornitori e clienti.

“Si può infatti operare in modo passivo – sottolinea Bonora – quindi senza avere una scansione diretta di IP e servizi, cercando di informarsi all’interno del dark web per capire se c’è attività malevola nei confronti di un determinato fornitore o cliente. Questa è l’attività che svolge la funzione supply scanner della soluzione CSI (Cyber security intelligence) del nostro MDR, una sorta di continuous scanning effettuato però dall’esterno”.

Vulnerabili, ma non attaccati

Un aspetto importante da ricordare è che sapere di avere la vulnerabilità non vuol dire essere sotto attacco. “Ecco perché il valore del continuous scanning è così alto” aggiunge Bonora. “Infatti, permette a un’azienda di scoprire le proprie vulnerabilità e pianificare di sistemarle in tempi comodi. Il fatto di poter anticipare i cyber attaccanti sta proprio in questo, cioè scoprire tramite un assessment che esiste una vulnerabilità nella rete non vuol dire che anche i cyber criminali sappiano della sua esistenza. Lo possono scoprire solo se anche loro fanno una scansione.

Ma questo significa che l’azienda era già oggetto di attenzione e quindi praticamente sotto attacco. In altre parole, se non si è sotto attacco, nessuno sa dell’esistenza della vulnerabilità e quindi si ha tutto il tempo di installare la patch”.

WP: Cybersecurity Strumento di business 

Maggiore sicurezza per sistemi e applicazioni critiche

Il continuous scanning può essere eseguito con grande frequenza per stabilire se ci sono nuove vulnerabilità nella rete. Però, ci possono essere applicazioni o sistemi strategici per i quali è necessario un controllo più approfondito perché non devono poter essere attaccati e quindi il livello di protezione deve essere particolarmente elevato. In questo caso si può affiancare al monitoraggio delle vulnerabilità anche il penetration test. Si tratta di una verifica dall’esterno della difesa eretta effettuata tramite gli stessi attacchi che lancerebbero i cyber criminali.

“Il penetration test richiede una procedura più lunga e impegnativa rispetto al vulnerability assessment” evidenzia Bonora. “Un assessment è un’attività che prevede per il 70% impiego di software e il 30% attività professionale. Al contrario, il penetration test implica per il 90% attività professionali e solo per il 10% utilizzo di software. Per questo non si può fare in automatico e nemmeno ha senso farlo su tutta la rete, richiederebbe tempi lunghissimi e comporterebbe costi enormi. Ma per una specifica applicazione che è alla base del core business il penetration test può essere un buon modo per stabilirne la solidità agli attacchi”.

Meglio un video di una fotografia

Il vulnerability assessment esegue una fotografia dello stato della rete. È un’immagine statica che dopo alcuni giorni può essere superata dagli eventi.

Affinché sia efficace il monitoraggio delle vulnerabilità dovrebbe essere il più frequente possibile: anziché una fotografia dovrebbe essere una sorta di video dello stato della rete. Solo in questo modo si riesce a essere davvero aggiornati sui punti deboli, avendo perciò la possibilità di intervenire prima che qualcuno li scopra e sferri un attacco.

Contributo editoriale sviluppato in collaborazione con Cyberoo

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5