Il National Vulnerability Database (NVD) riporta che nel 2019 sono state divulgate oltre 16.000 vulnerabilità, indicando una media di circa 45 nuovi bug al giorno.
Dati aggiuntivi mostrano che quasi il 60% di tutti i difetti sono classificati come critici o di gravità elevata ed che sono collegatati ad un bug per il quale era disponibile una patch che non è mai stata applicata.
Quindi come decidere quale vulnerabilità è necessario affrontare con patch?
C’è un vecchio adagio nella gestione del rischio (e nel business in generale): “Quando tutto è una priorità, niente una priorità”
Sfortunatamente, la gestione delle vulnerabilità è diventata una delle attività più impegnative per i team di sicurezza e IT, che in genere hanno molte più vulnerabilità di quante possano mai sperare di correggere. I team di cyber security semplicemente non hanno le persone, l’infrastruttura, gli strumenti e il tempo disponibili per correggere ogni vulnerabilità abbastanza velocemente e questo espone al rischio di subire un attacco catastrofico.
La maggior parte dei criminali informatici sfrutta vulnerabilità note per lanciare attacchi. Prendono la strada della minor resistenza, riutilizzando exploit e strumenti che sono stati efficaci in passato, facendo lievi deviazioni per continuare a eludere il rilevamento e sfruttare le debolezze di sicurezza note.
Chiunque lavori nella risoluzione delle vulnerabilità o attorno a essa sa che il compito apparentemente “semplice” di applicare una patch è qualsiasi cosa tranne. Il ciclo di vita della vulnerabilità è pieno di insidie e attività ingannevolmente complesse. Il tempo e gli sforzi necessari per porre rimedio a ogni singola vulnerabilità in un’intera azienda sono spesso sottovalutati. Ciò crea una domanda ovvia e urgente per la definizione delle priorità, che richiede di comprendere meglio il mondo delle vulnerabilità
Per aiutare nella strategia di gestione delle patch, alcuni ricercatori hanno analizzando 800 tra le vulnerabilità più comuni (CVE) sfruttate da gruppi di cyber criminali per stabilire quale di queste meritasse di essere immediatamente presa in carico e corretta.
Il risultato? Una classifica composta da 20 vulnerabilità estratte in base al numero di volte in cui sono state sfruttate da sofisticati gruppi di attacchi informatici che operano oggi nel mondo.
Indice degli argomenti
Le principali vulnerabilità
Analizzando le prime tre criticità, in cima all’elenco c’è il bug CVE-2017-11882 , una vulnerabilità di corruzione della memoria di Microsoft Office che esisteva da 17 anni prima che fosse patchata a novembre 2017.
Il difetto esiste in Office quando il software non gestisce correttamente gli oggetti in memoria; se sfruttato, potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell’utente. Un semplice attacco di phishing potrebbe farlo: le vittime dovrebbero solo aprire un file infetto
Questo difetto è stato il vettore di consegna di malware preferito nel secondo e terzo trimestre del 2019, è stato utilizzato anche in attacchi da gruppi avanzati tra cui APT32 (Vietnam), APT34 (Iran), APT40 (Cina) , APT-C-35 (India), Cobalt Group (Spagna, Ucraina), Silent Group (Russia), Lotus Blossom (Cina), Cloud Atlas (Sconosciuto) e FIN7 (Russia).
Il secondo nell’elenco è la vulnerabilità CVE-2018-8174 , un bug critico che interessa tutte le versioni di Windows. Soprannominato Double Kill, è apparso nel kit exploit RIG a maggio 2018. È stato utilizzato da Silent Group (Russia) e Dark Hotel (Corea del Nord).
Il terzo bug è CVE-2017-0199 , un difetto RCE critico nell’interfaccia di programmazione OLE (Windows Object Linking and Embedding)
La vulnerabilità, che interessa la maggior parte o tutte le versioni di Microsoft Word, era stata attaccata da mesi da gruppi tra cui APT34 (Iran), APT40 (Cina), APT-C -35 (India), Cobalt Group (Spagna, Ucraina), APT37 (Corea del Nord), Silent Group (Russia), Gorgon Group (Pakistan) e Gaza Cybergang (Iran).
Quale strategia di patching
In conclusione da questa classifica si deduce che l’utilizzo di una strategia di risanamento incentrata sia sulla probabilità che la vulnerabilità venga sfruttata sia sull’impatto dello sfruttamento (rischio elevato) costituisce l’approccio ottimale.
Invece di concentrarsi esclusivamente sulle classifiche offerte dal sistema comune di valutazione delle vulnerabilità o CVSS, quando si definiscono le priorità per la mitigazione del rischio, le organizzazioni devono dimensionare i rischi potenziali specifici che le vulnerabilità comportano per le loro risorse critiche,
Poiché CVSS non riflette adeguatamente la gravità delle vulnerabilità, le organizzazioni che dipendono dai punteggi CVSS come mezzo esclusivo per stabilire le priorità delle vulnerabilità per il patching molto probabilmente mancheranno importanti vulnerabilità utilizzate dal ransomware.
Nell’analisi dei punteggi CVSS,30 delle 57 vulnerabilità ransomware studiate avevano punteggi di rischio relativamente bassi.
Per tenere il passo, i team di cyber security devono dare la priorità alle vulnerabilità in base al contesto del mondo reale, ad esempio se le vulnerabilità sono state armate, il loro impatto sull’impresa e se hanno exploit attivi.
Infine le aziende che dedicano specialisti interni oppure a società esterne all’attività di patchare aree specifiche dello stack tecnologico tendono a fare meglio nella gestione delle vulnerabilità.
La definizione di accordi sul livello di servizio (SLA) per la correzione delle vulnerabilità migliora anche la velocità e le prestazioni complessive della riparazione.
