i consigli

Nel 2019 divulgate 16mila vulnerabilità, qual è l’approccio corretto al patching

Troppe vulnerabilità emerse: come stabilire una priorità? Viene in aiuto una classifica con quelle più pericolose. L’utilizzo di una strategia di risanamento incentrata sia sulla probabilità che la vulnerabilità venga sfruttata sia sull’impatto dello sfruttamento (rischio elevato) costituisce quindi l’approccio ottimale in azienda

24 Dic 2019
V
Nicola Vanin

Data Governance & Information Security Senior Manager


Il National Vulnerability Database (NVD) riporta che nel 2019 sono state divulgate oltre 16.000 vulnerabilità, indicando una media di circa 45 nuovi bug al giorno.

Dati aggiuntivi mostrano che quasi il 60% di tutti i difetti sono classificati come critici o di gravità elevata ed che sono collegatati  ad un bug per il quale era disponibile una patch che non è mai stata applicata.

Quindi come decidere quale vulnerabilità è necessario affrontare con patch?

C’è un vecchio adagio nella gestione del rischio (e nel business in generale): “Quando tutto è una priorità, niente una priorità”

Sfortunatamente, la gestione delle vulnerabilità è diventata una delle attività più impegnative per i team di sicurezza e IT, che in genere hanno molte più vulnerabilità di quante possano mai sperare di correggere. I team di cyber security  semplicemente non hanno le persone, l’infrastruttura, gli strumenti e il tempo disponibili per correggere ogni vulnerabilità abbastanza velocemente e questo espone al rischio di subire un attacco catastrofico.

La maggior parte dei criminali informatici sfrutta vulnerabilità note per lanciare attacchi. Prendono la strada della minor resistenza, riutilizzando exploit e strumenti che sono stati efficaci in passato, facendo lievi deviazioni per continuare a eludere il rilevamento e sfruttare le debolezze di sicurezza note.

Chiunque lavori nella risoluzione delle vulnerabilità o attorno a essa sa che il compito apparentemente “semplice” di applicare una patch è qualsiasi cosa tranne. Il ciclo di vita della vulnerabilità è pieno di insidie ​​e attività ingannevolmente complesse. Il tempo e gli sforzi necessari per porre rimedio a ogni singola vulnerabilità in un’intera azienda sono spesso sottovalutati. Ciò crea una domanda ovvia e urgente per la definizione delle priorità, che richiede di comprendere meglio il mondo delle vulnerabilità

Per aiutare nella strategia di gestione delle patch, alcuni ricercatori hanno analizzando 800 tra le vulnerabilità più comuni (CVE) sfruttate da gruppi di cyber criminali  per stabilire quale  di queste meritasse di essere immediatamente presa in carico e corretta.

Il risultato? Una classifica composta da 20 vulnerabilità estratte in base al numero di volte in cui sono state sfruttate da sofisticati gruppi di attacchi informatici che operano oggi nel mondo.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Le principali vulnerabilità

Analizzando le prime tre criticità, in cima all’elenco c’è  il bug CVE-2017-11882 , una vulnerabilità di corruzione della memoria di Microsoft Office che esisteva da 17 anni prima che fosse patchata a novembre 2017.

Il difetto esiste in Office quando il software non gestisce correttamente gli oggetti in memoria; se sfruttato, potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell’utente. Un semplice attacco di phishing potrebbe farlo: le vittime dovrebbero solo aprire un file infetto

Questo difetto è stato il vettore di consegna di malware preferito nel secondo e terzo trimestre del 2019, è stato utilizzato anche in attacchi da gruppi avanzati tra cui APT32 (Vietnam), APT34 (Iran), APT40 (Cina) , APT-C-35 (India), Cobalt Group (Spagna, Ucraina), Silent Group (Russia), Lotus Blossom (Cina), Cloud Atlas (Sconosciuto) e FIN7 (Russia).

Il secondo nell’elenco è la vulnerabilità CVE-2018-8174 , un bug critico che interessa tutte le versioni di Windows. Soprannominato Double Kill, è apparso nel kit exploit RIG a maggio 2018. È stato utilizzato da Silent Group (Russia) e Dark Hotel (Corea del Nord).

Il terzo bug  è CVE-2017-0199 , un difetto RCE critico nell’interfaccia di programmazione OLE (Windows Object Linking and Embedding)

La vulnerabilità, che interessa la maggior parte o tutte le versioni di Microsoft Word, era stata attaccata da mesi  da gruppi tra cui APT34 (Iran), APT40 (Cina), APT-C -35 (India), Cobalt Group (Spagna, Ucraina), APT37 (Corea del Nord), Silent Group (Russia), Gorgon Group (Pakistan) e Gaza Cybergang (Iran).

Quale strategia di patching

In conclusione da questa classifica si deduce che l’utilizzo di una strategia di risanamento incentrata sia sulla probabilità che la vulnerabilità venga sfruttata sia sull’impatto dello sfruttamento (rischio elevato) costituisce l’approccio ottimale.

Invece di concentrarsi esclusivamente sulle classifiche offerte dal sistema comune di valutazione delle vulnerabilità o CVSS, quando si definiscono le priorità per la mitigazione del rischio, le organizzazioni devono dimensionare i rischi potenziali specifici che le vulnerabilità comportano per le loro risorse critiche,

Poiché CVSS non riflette adeguatamente la gravità delle vulnerabilità, le organizzazioni che dipendono dai punteggi CVSS come mezzo esclusivo per stabilire le priorità delle vulnerabilità per il patching molto probabilmente mancheranno importanti vulnerabilità utilizzate dal ransomware.

Nell’analisi dei punteggi CVSS,30 delle 57 vulnerabilità ransomware studiate avevano punteggi di rischio relativamente bassi.

Per tenere il passo, i team di cyber security devono dare la priorità alle vulnerabilità in base al contesto del mondo reale, ad esempio se le vulnerabilità sono state armate, il loro impatto sull’impresa e se hanno exploit attivi.

Infine  le aziende che dedicano specialisti interni  oppure a società esterne  all’attività  di patchare aree specifiche dello stack tecnologico tendono a fare meglio nella gestione delle vulnerabilità.

La definizione di accordi sul livello di servizio (SLA) per la correzione delle vulnerabilità migliora anche la velocità e le prestazioni complessive della riparazione.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 2