10 questioni da considerare per fare un vulnerability assessment  

ll vulnerability assessment è una pratica centrale nel mondo della sicurezza informatica. È un processo il cui fine è l’identificazione, la valutazione e l’eliminazione (quando possibile) delle vulnerabilità presenti nei sistemi, nelle reti o nelle applicazioni software. Nonostante sia possibile eseguire analisi specifiche sul singolo componente, di solito il vulnerability assessment è un processo sistemico, che prende in esame l’intero comparto IT e poi scende in dettaglio in tutte le sue componenti. 

La valutazione delle vulnerabilità viene eseguita attraverso strumenti e tecniche specializzate, che esaminano il sistema per individuare bug, patch non applicate, errori di configurazione o altre falle di sicurezza. Il vulnerability assessment permette alle aziende di comprendere il livello di rischio a cui sono esposte e di prendere provvedimenti per migliorare la postura di sicurezza. Ad oggi, non effettuare un vulnerability assessment significa essere costantemente a rischio di downtime e di data breach.

Vulnerability Assessment: le 10 considerazioni essenziali 

Alcune aziende ritengono che l’assessment si esaurisca nella scansione delle vulnerabilità, ovvero in un’attività fortemente automatizzabile. Tuttavia, la semplice identificazione di centinaia di vulnerabilità ha pochissimo valore se non è integrata in un percorso sistemico che, partendo dall’analisi dei singoli componenti, definisca i livelli di criticità e le priorità di intervento, nonché come rimediare e fare in modo che i sistemi siano protetti anche in futuro. Per questo, riteniamo essenziali queste 10 considerazioni.

1. Quali asset considerare nella scansione? 

La prima considerazione riguarda il disegno di una mappa sistemica dell’ecosistema IT che alimenta il business, comprensivo di sistemi di terze parti e di tutte le relazioni tra gli stessi. L’obiettivo è identificare gli asset soggetti a potenziali vulnerabilità; è consigliabile definire fin da subito delle priorità di indagine in funzione dell’impatto del sistema, della rete o dell’endpoint sul business aziendale.  

2. Gli obiettivi e i livelli di gravità 

L’obiettivo dell’assessment va definito il prima possibile. L’operazione non è banale poiché l’ipotesi che la scansione non rilevi vulnerabilità è remota. Ogni componente della valutazione (reti, server, endpoint…) dovrebbe essere accompagnato da un risultato atteso. Vanno inoltre definiti sinteticamente dei livelli di gravità, così da fissare priorità di intervento e l’approccio da adottare. A tal fine, è possibile impiegare il Common Vulnerability Scoring System (CVSS), che identifica cinque livelli di gravità (da low a critical) e a cui ci si può rifare per standardizzare le operazioni. 

3. Quali sono i requisiti di compliance? 

Prima di avviare l’assessment occorre studiare i requisiti di conformità cui l’azienda è soggetta. Si va da normativa di carattere generale (come GDPR e norme sugli Amministratori di Sistema) fino a quella specialistica e settoriale, come la PSD2 del mondo finanziario o HIPAA per l’healthcare. Va inoltre identificata e definita la metodologia di assessment per garantire che le operazioni vengano svolte secondo best practice di riconosciuta efficacia.  

4. Come eseguire il vulnerability scanning 

Parte essenziale dell’assessment è la scansione delle vulnerabilità. Data la complessità, l’estensione e l’eterogeneità di molti ambienti IT, la scansione viene automatizzata mediante piattaforme evolute. In determinati casi, si esegue parallelamente un penetration test manuale, per verificare sul campo se e quanto le vulnerabilità possano essere sfruttate per accedere ai sistemi e causare danni tangibili.

5. Effettuare uno scoring delle vulnerabilità 

Spesso, durante la scansione, vengono individuate numerose vulnerabilità. È fondamentale valutare attentamente i risultati e l’esito del penetration test al fine di determinare il grado di gravità di ciascuna vulnerabilità e la probabilità che venga sfruttata. La matrice risultante sarà utilizzata per stabilire le priorità di intervento. 

6. Definire remediation e mitigation 

Il team incaricato dell’assessment identifica una serie di azioni necessarie o consigliate per l’eliminazione delle vulnerabilità (remediation) o la mitigazione delle stesse (mitigation). Un caso classico di mitigazione consiste nel mantenere la falla di sicurezza ma fare in modo che il relativo sistema sia protetto da un altro; in pratica, si fa in modo che la vulnerabilità non sia sfruttabile. Il piano di remediation e mitigation deve comprendere una timeline e la sequenza di azioni necessarie per mettere in sicurezza un sistema, una rete, un endpoint o un’applicazione.  

7. Redigere la documentazione 

Qualsiasi attività svolta dal team deve essere documentata. Va certamente data evidenza ai risultati della scansione, ma essendo l’assessment un processo continuativo, è essenziale che ci sia traccia anche delle azioni intraprese e delle modifiche apportate alle misure di sicurezza. Questo avrà un valore inestimabile in caso di turnover futuro.  

8. Come comunicare agli stakeholder?  

L’esito della scansione, il relativo scoring e il piano di remediation/mitigation devono essere presentati ai relativi stakeholder. Come detto, in tale sede è fondamentale chiarire le priorità e gli interventi suggeriti, evitando che vengano considerati un costo superfluo. Al contrario, rafforzare la security posture aziendale è fondamentale per mitigare rischi che si abbattono sulla compliance, sulla reputazione, sulla customer experience e sulle relazioni contrattuali che l’azienda intrattiene con il proprio ecosistema di partner, fornitori e clienti.  

9. Come implementare il piano di remediation/mitigation 

Applicazione di patch, nuove configurazioni e introduzione di controlli di sicurezza sono solo alcuni degli elementi di questa fase, che di fatto non chiude il percorso, bensì soltanto la prima parte. 

10. Continuous Vulnerability Assessment 

Il Vulnerability Assessment non è un progetto una tantum. Ogni giorno nascono vulnerabilità e metodi più o meno creativi per approfittarne. Completata la fase di protezione e mitigazione delle vulnerabilità esistenti, il percorso non è chiuso ma occorre renderlo periodico o, meglio, continuativo, con scansioni regolari (che non impattino la produttività quotidiana) e interventi correttivi adeguati. Ciò può dunque costituire un vero e proprio servizio gestito da un partner di fiducia.