La gestione esposizioni rappresenta un approccio più completo, pratico e proattivo per elevare la posizione di organizzazione sicurezza informatica della tua organizzazione. Gli approcci tradizionali alla gestione delle vulnerabilità hanno raggiunto i loro limiti, quindi le organizzazioni stanno adottando sempre più un approccio più recente alla protezione delle loro infrastrutture digitali.
Spiegazione di IT Jargon
Gestione esposizioni
- What is exposure management?
- How is exposure management different from vulnerability management?
- Exposure management benefits
- What are some of exposure management’s guiding principles?
- Beyond traditional vulnerability management
- Problems with outmoded approaches
- A more comprehensive approach
- A toolkit for effective exposure management
- Implementing exposure management
- The future of exposure management
Cos'è la gestione esposizioni?
La gestione esposizioni è la pratica di identificare, valutare e mitigare in modo proattivo e selettivo le esposizioni sulla superficie di attacco digitale di un'organizzazione. L'IT comprende la comprensione dei possibili punti di accesso e dei vettori di attacco, dando priorità ai rischi che presentano e implementando misure di protezione contro le minacce più critiche. L'obiettivo finale è mantenere le esposizioni effettive a un livello di rischio accettabile.
In che modo la gestione esposizioni differisce dalla gestione delle vulnerabilità?
La gestione esposizioni è più olistica, sfruttando la prioritizzazione basata sui rischi delle esposizioni e la convalida delle esposizioni identificate e prioritarie per fornire una visione completa dell'intera superficie di attacco digitale di un'organizzazione. L'IT fornisce una visibilità completa di risorse come server, endpoint, dispositivi mobili, Internet of Things (IoT) e le esposizioni che possono creare. Questi includono esposizioni software, patch mancanti, configurazioni errate, credenziali deboli o compromesse e altro ancora.
L'IT si occupa anche dei rischi umani coinvolti attraverso una regolare formazione sulla sensibilizzazione alla sicurezza per educare i dipendenti sulle potenziali minacce e sulle migliori pratiche, definendo un protocollo chiaro da seguire in caso di incidente di sicurezza, chiedendo loro input dipendente su potenziali vulnerabilità e misure di sicurezza e progettando tool di sicurezza user-friendly per ridurre gli errori umani.
Vantaggi della gestione esposizioni
Ci sono molteplici vantaggi della gestione esposizioni, a partire da come l'IT difende le aziende identificando, valutando e mitigando proattivamente i punti deboli nella propria infrastruttura digitale.gestione esposizioni IT Monitorando continuamente i potenziali rischi, le aziende possono dare priorità agli sforzi di correzione in base alla gravità e all'impatto dei problemi identificati, garantendo che le minacce critiche vengano affrontate rapidamente. Questo approccio proattivo riduce significativamente la probabilità di attacchi informatici e dati violazioni dei dati, salvaguardando le informazioni sensibili informazioni e mantenendo la continuità operativa.
I vantaggi della gestione esposizioni difficilmente si fermano qui, poiché l'IT rafforza anche la postura complessiva della sicurezza informatica. Valutazioni regolari e aggiornamenti ai protocolli di sicurezza aiutano le aziende a stare al passo con l'evoluzione delle minacce e ad adattarsi alle nuove sfide. Ciò non solo migliora la resilienza, ma consente anche di risparmiare sui costi prevenendo costosi incidenti di sicurezza e riducendo al minimo i tempi di inattività. E i vantaggi della gestione esposizioni vanno oltre la riduzione dei rischi, in quanto l'IT può anche promuovere una cultura di vigilanza e miglioramento continuo in tutta l'organizzazione.
Quali sono alcuni dei principi guida della gestione esposizioni?
- Ottenere una visibilità del 100% su tutte le risorse e le esposizioni in modo che un'organizzazione possa vedere l'intera superficie di attacco.
- Utilizzare la prioritizzazione basata sul rischio per indirizzare le risorse rispetto alle esposizioni più critiche. Le considerazioni includono gravità/sfruttabilità, contesto delle minacce reali e potenziale impatto aziendale.
- Utilizzare metriche basate sui risultati per misurare l'efficacia degli sforzi volti a ridurre la postura complessiva del rischio.
- Promuovere la collaborazione tra business unit, team di sicurezza, team IT e leadership attraverso un dati approccio basato sui dati agli investimenti in sicurezza che ottimizzi la posizione di sicurezza e l'allocazione delle risorse.
Quest'ultimo principio è così importante, vediamo come funziona l'IT nella pratica.
In primo luogo, la leadership decide il livello complessivo di tolleranza ai rischi per l'organizzazione. Ogni business unit informa quindi il team di sicurezza sulle risorse e sui sistemi critici per i propri processi. La sicurezza determina quindi come dirigere i propri sforzi in conformità con tale guida.
A valle di ciò, i team IT e di sviluppo incaricati della mitigazione o della correzione delle esposizioni seguiranno le priorità del team di sicurezza. La collaborazione è fondamentale a questo punto perché l'IT e gli sviluppatori devono comprendere i motivi per cui viene loro chiesto di agire - altrimenti, potrebbero non agire con la giusta urgenza.
Al di là della gestione tradizionale delle vulnerabilità
La gestione delle vulnerabilità è stata il fondamento su cui sono stati costruiti molti programmi di sicurezza informatica. Tradizionalmente, il suo obiettivo era identificare e dare priorità a esposizioni e debolezze nel software basato su sistemi di punteggio standardizzati come il Common Vulnerability Scoring System (CVSS).
Ma ciò offre solo ai team IT e di sicurezza informatica una prospettiva ristretta sul rischio, quindi potrebbero investire un grande sforzo ma ottenere una protezione tutt'altro che nominale. Le limitazioni intrinseche della gestione delle vulnerabilità
includono:
- Ambito limitato: l ambito'IT si rivolge principalmente alle esposizioni nei sistemi operativi e nei software di terze parti, trascurando al contempo altre tipologie in altri tipi di risorse. Ciò si traduce in punti ciechi che lasciano le organizzazioni moderne esposte a una gamma più ampia di minacce.
- Concentrarsi su esposizioni errate: affidarsi a CVSS può portare i team a concentrarsi sulle esposizioni sbagliate, poiché l'IT misura la gravità della vulnerabilità (quanto è facile sfruttare una vulnerabilità) ma non rischiare (il possibile impatto di un exploit). Ciò significa che le organizzazioni potrebbero dare la priorità alla correzione delle esposizioni con livelli di gravità elevati anche se rappresentano un rischio reale minimo o nullo, ignorando al contempo gli altri con livelli di gravità bassi che presentano un rischio elevato.
- Troppe esposizioni: inoltre, CVSS spesso classifica molte esposizioni come critiche, a differenza dei sistemi di punteggio basati sul rischio, portando i team a dedicare molto sforzo per ottenere risultati minimi. Molte esposizioni potrebbero essere sfruttate, ma non accade mai nella pratica. CVSS valuta anche solo le vulnerabilità e le esposizioni comuni (CVE), mentre le organizzazioni devono anche affrontare altri tipi come le configurazioni errate; l'eccessiva dipendenza da CVSS potrebbe significare che trascurano questi. Con centinaia di migliaia di CVE e decine, a volte centinaia, più pubblicati quotidianamente nel National Vulnerability Database, è semplice per l'IT vedere come la gestione delle vulnerabilità potrebbe non essere in grado di far fronte a molti di loro.
- Metriche basate sulle attività: la gestione delle vulnerabilità tradizionali spesso valuta i successi in base a metriche come il tempo medio di risoluzione (MTTR) e l'adesione all'accordo a livello di servizio (SLA). Questi mostrano se una mitigazione o una correzione è stata eseguita in modo tempestivo, ma non se l'IT ha avuto alcun impatto sulla sicurezza.
Problemi con approcci obsoleti
Molte violazioni costose si verificano a causa delle lacune nella gestione delle vulnerabilità che abbiamo già toccato. Quando gli hacker hanno fatto irruzione nella rete di Target nel 2013, l'IT era dovuto al furto di credenziali di rete da un fornitore di terze parti con conseguente esposizione di 40 milioni di conti di carte di credito e debito. Più recentemente, gli hacker hanno preso di mira i sistemi di trattamento delle acque reflue e delle utility idrici statunitensi sfruttando una vulnerabilità nei controllori logici programmabili, un tipo di sistema tecnologico operativo.
Secondo Verizon, l'uso delle esposizioni come punto di ingresso iniziale è quasi triplicato dal 2023 al 2024, rappresentando il 14% di tutte le violazioni e guidato da più attacchi mirati a esposizioni zero-day senza patch.
La stessa ricerca ha rilevato che il 95% dei professionisti IT e della sicurezza ritiene che l'intelligenza artificiale renderà le minacce alla sicurezza più pericolose. Eppure quasi uno su tre non ha una strategia in atto per affrontare i rischi presentati dall'IA generativa.
Tuttavia, molti nella gestione aziendale non sono consapevoli di quanto siano vulnerabili le loro organizzazioni. La ricerca di Ivanti ha rilevato che il 55% dei professionisti IT e della sicurezza ritiene che i leader non IT non comprendano la gestione delle vulnerabilità e il 47% di questi leader è d'accordo.
E quasi due organizzazioni su tre intervistate non stanno ancora investendo in aree critiche come la gestione della superficie di attacco esterna (EASM). EASM è fondamentale per una gestione esposizioni efficace perché l'IT implica la scoperta, la valutazione e la definizione delle priorità delle esposizioni, fornendo la visibilità necessaria per proteggersi dagli attacchi informatici. Identificando e valutando le risorse rivolte a Internet, EASM aiuta un'organizzazione a comprendere il suo panorama di esposizione. Per l'istanza, gli strumenti EASM possono scoprire le applicazioni e IT i dispositivi IT shadow che operano al di fuori di un perimetro di protezione, creando possibili vettori di attacco onbsp;rivelare le esposizioni tra vendor e vendor di terze parti.
Un approccio più completo alla gestione delle vulnerabilità
Nel 2022, Gartner ha pubblicato un report che sottolinea la necessità di implementare ciò che l'IT ha chiamato un programma di gestione esposizioni continue alle minacce (CTEM).
IT gestione esposizioni Tale report ha delineato un approccio integrato, iterativo e proattivo per dare priorità e correggere le esposizioni e migliorare continuamente la postura della sicurezza.
L'IT ha affrontato il concetto che la sicurezza informatica "abbastanza buona" è più pragmatica e raggiungibile rispetto al tentativo di ottenere una sicurezza informatica "perfetta". Ciò si ottiene identificando costantemente e dando priorità alle esposizioni che presentano più probabilità di presentare minacce a un'organizzazione.
CTEM è un framework per la gestione dei rischi informatici IT, come il National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 2.0 o il Center for Internet Security (CIS) Controls versione 8.1. L'IT è un processo definito per identificare, valutare, convalidare e mitigare continuamente le esposizioni. La gestione esposizioni è un termine più ampio che si riferisce alla pratica generale di gestione delle esposizioni tra le risorse di un'organizzazione.
Correlati: Come le soluzioni Ivanti si mappano a NIST CSF 2.0
Molti vendor stanno allineando i propri tool di gestione esposizioni a CTEM, offrendo moduli specifici per ogni fase del processo.
Ecco gli approcci che la gestione esposizioni sfrutta per distinguerla IT dalla gestione delle vulnerabilità
:
- Ambito esteso: la ambito gestione esposizioni genera una rete più ampia, che comprende una gamma più ampia di esposizioni rispetto alle sole esposizioni software; l'IT cerca anche altri come credenziali deboli o implementazioni di prevenzione della perdita di dati inefficaci. L'IT comprende anche risorse che potrebbero essere a rischio, tra cui risorse mal configurate, ambienti cloud non sicuri e dispositivi IoT. Monitorandoli e analizzandoli tutti, un'organizzazione ottiene un quadro più chiaro e realistico della sua posizione complessiva di rischio.
- Prioritizzazione basata sui rischi: la gestione esposizioni assegna priorità alle esposizioni in base al loro impatto potenziali sull'organizzazione, valutando fattori come criticità aziendale, sfruttabilità e probabilità di un attacco. Ciò garantisce che le risorse siano assegnate in modo da mitigare prima i rischi più critici.
- Misurazione basata sui risultati: la gestione esposizioni sposta l'attenzione dalle metriche basate sulle attività a quelle basate sui risultati. L'IT misura l'effettiva efficacia delle misure di sicurezza informatica nel migliorare organizzazione la postura dei rischi di un'organizzazione, fornendo informazioni utili per ottimizzare risorse e difese.
Un kit di strumenti per una gestione esposizioni efficace
Gestione esposizioni richiede un approccio multilivello che mette a frutto una varietà di strumenti e tecniche. Quelli specifici utilizzati da un'organizzazione dipenderanno dalle dimensioni, dal settore e dalla tolleranza ai rischi.
Sono raggruppati in due categorie principali: valutazione dell'esposizione e convalida dell'esposizione.
Strumenti di valutazione dell'esposizione
- Gestione esterna della superficie di attacco (EASM): sono specificamente focalizzati sulla superficie di attacco esterna
- : Identificazione delle asset esterne: identificano tutte le risorse rivolte a Internet, inclusi siti Web, applicazioni e risorse cloud.
- Rilevamento dell'esposizione: individuano una varietà di esposizioni in risorse esterne che potrebbero essere sfruttate.
- Analisi dei percorsi di attacco: alcune soluzioni avanzate possono simulare potenziali percorsi di attacco per illustrare come gli aggressori potrebbero sfruttare le esposizioni.
- Monitoraggio del deep web: eseguire la scansione del deep web e del dark web per identificare le risorse esposte o le credenziali trapelate che potrebbero essere utilizzate negli attacchi.
- Gestione della superficie di attacco delle risorse informatiche (Cyber asset attack surface management, CAASM): in passato, gli strumenti CAASM hanno fornito una vista unificata di un intero ecosistema IT, la “singola fonte di verità” su tutte le risorse interne ed esterne, fornendo una visione unificata dell’intera superficie di attacco. Oggi, le funzionalità CAASM sono sempre più parte delle soluzioni EASM, eliminando la necessità di strumenti CAASM separati.
- Gestione delle vulnerabilità basata sul rischio (RBVM): gli strumenti RBVM vanno oltre la gestione delle vulnerabilità tradizionali dando priorità alle esposizioni basate su
- : Sfruttabilità: se sono già stati sfruttati attivamente.
- Impatto aziendale: quale sarebbe l'impatto sull'organizzazione se questa vulnerabilità venisse sfruttata.
Piattaforme di convalida dell'esposizione
Sono fondamentali per garantire l'accuratezza della prioritizzazione dell'esposizione
- Simulazione di violazione e attacco: simulano scenari di attacco reali per testare l'efficacia Security Controls e individuare potenziali debolezze.
- Teaming rosso automatizzato continuo: forniscono esercizi di teaming rosso continuo che simulano il comportamento degli aggressori per testare continuamente le difese.
- Penetration testing as a service (PTaaS): PTaaS consente a un'organizzazione di coinvolgere i penetration tester esterni per condurre valutazioni approfondite della propria security posture.
Implementare la gestione esposizioni
La transizione dalla gestione delle vulnerabilità alla gestione esposizioni richiede una strategia dettagliata. Ecco i passaggi chiave da includere:
- Costruire un framework per la collaborazione: la gestione tradizionale delle vulnerabilità spesso opera in un silo, con i team di sicurezza esclusivamente responsabili dell'identificazione, della prioritizzazione e quindi del lancio del problema oltre il recinto all'IT per la patch. Ma la gestione esposizioni prospera sulla collaborazione, quindi è importante che l'IT inizi a svilupparla in tre aree:
- Collaborazione interfunzionale: il team di sicurezza deve collaborare con diverse unità aziendali per conoscere i propri dati e sistemi critici. dati Capire le esigenze dell'e-commerce, ad esempio, aiuta a dare priorità alle esposizioni che potrebbero influenzare l'IT, rendendo la valutazione dei rischi più precisa tenendo conto dell'impatto aziendale.
- Comunicazione migliorata: stabilire una buona comunicazione con le operazioni IT e gli sviluppatori che correggeranno le esposizioni tramite patch e modifiche al codice. Giustificare la necessità di una correzione diventa più facile quando possono vedere l'impatto aziendale.
- Coinvolgimento a livello di scheda: sono necessarie metriche oltre i livelli di attività di base (SLA e MTTR). Metriche avanzate visualizzate sui dashboard dipingono un quadro chiaro della postura del rischio in modo che i membri del consiglio, anche senza esperienza in materia di sicurezza, possano vedere l'efficacia e il ROI degli sforzi di sicurezza.
- Definizione della tolleranza ai rischi: un'organizzazione deve prima decidere la propria tolleranza ai rischi. LIT è una decisione aziendale che bilancia l’investimento nei Security Controls rispetto al livello di rischio residuo accettabile. L'IT deve includere il costo delle esposizioni di patch, la revisione del codice, la correzione di configurazioni errate, l'implementazione di altre misure di sicurezza e potenziali interruzioni aziendali. Questi devono essere ponderati rispetto al possibile danno finanziario e reputazionale causato da una violazione della sicurezza. Non esistono calcolatrici standardizzate per determinare la tolleranza al rischio. L'IT è un lavoro dinamico ma necessario che coinvolge sia la protezione, che fornirà dati per informare le decisioni, sia la gestione.
- Scoping: definisce le attività e le esposizioni che devono essere valutate. Ciò può comportare la collaborazione con diverse unità aziendali per capire i loro dati e sistemi critici. dati
- Strumenti di valutazione: sfrutta gli scanner di vulnerabilità esistenti che potresti già avere. Ma per ottenere una visione più completa, considera di incorporare strumenti aggiuntivi come le soluzioni EASM che identificano risorse rivolte a Internet e potenziali esposizioni.
- Priorità: integrare RBVM per assegnare priorità alle esposizioni in base a una combinazione di gravità della vulnerabilità, sfruttabilità e potenziale impatto aziendale. Ciò garantisce che si affrontino prima i rischi più critici.
- Convalida: a causa di potenziali distorsioni, prendere in considerazione strumenti o pratiche di convalida separati per garantire l'accuratezza della prioritizzazione da RBVM.
- Miglioramento continuo: la gestione esposizioni è in corso, non una soluzione una tantum. Valuta e perfeziona regolarmente i tuoi sforzi per stare al passo con le minacce in evoluzione.
Il futuro della gestione esposizioni
Un passaggio da una strategia reattiva a una proattiva caratterizzerà il futuro della gestione esposizioni. L'IA e l'automazione saranno fondamentali per prevedere i punti deboli, automatizzare gli sforzi di correzione e integrarsi perfettamente con le piattaforme di threat intelligence. Internamente, le organizzazioni costruiranno collaborazione e implementeranno nuovi strumenti e processi che consentiranno loro di prendere decisioni più intelligenti, più efficaci ed efficienti.
Questo approccio olistico si estenderà alla sicurezza della catena di fornitura, che si sta già dimostrando essenziale. Inoltre, la gestione esposizioni diventerà ancora più fondamentale per conformarsi ai paesaggi normativi in evoluzione.
Integrando tutti questi elementi in un programma di gestione esposizioni coerente, le aziende miglioreranno significativamente la loro posizione di sicurezza nel momento in cui è più necessario per l'IT.