La gestione delle vulnerabilità sta evolvendo rapidamente per affrontare la crescente complessità delle minacce informatiche. Non si tratta più solo di applicare patch ai sistemi, ma di adottare un approccio dinamico e adattato alle minacce. Durante la Cyber Rhino Threat Week, abbiamo esplorato come l'integrazione dell'intelligence sulle minacce possa trasformare il modo in cui le organizzazioni danno priorità e rispondono ai rischi.

La gestione delle vulnerabilità è un processo continuo e proattivo che protegge sistemi, reti e applicazioni aziendali da attacchi informatici e violazioni dei dati. Questo processo è fondamentale per un programma di sicurezza complessivo. In passato, la gestione delle vulnerabilità prevedeva semplicemente la correzione di server e endpoint. Tuttavia, con l'avvento dell'Internet delle cose (IoT), dispositivi mobili e schermi di visualizzazione, il ciclo di gestione delle vulnerabilità comprende oggi molti più asset, aumentando la superficie di attacco potenziale. È essenziale conoscere ogni asset connesso alla rete, aggiornare il firmware e capire quando e come applicare le patch senza causare interruzioni.

Integrazione dei Team

Un aspetto cruciale è la necessità di abbattere i silos tra i vari team, come quelli di gestione delle informazioni, risposta agli incidenti e intelligence sulle minacce. Spesso manca un flusso di informazioni bidirezionale automatizzato tra questi gruppi, un problema che una piattaforma di intelligence sulle minacce può contribuire a risolvere. Un approccio adattato alle minacce analizza comportamenti ed eventi per adattarsi alle minacce prima che si verifichino. Tuttavia, se l'intelligence sulle minacce non è operativa e non esistono processi per integrare le varie informazioni, il valore dell'intelligence raccolta si perde. È essenziale trovare un modo per contestualizzare e dare priorità alle minacce in base a ciò che puntano e automatizzare questo processo.

Priorità e Contesto

La questione chiave è come integrare l'intelligence sulle minacce nel programma di gestione delle vulnerabilità per consentire al team di dare rapidamente priorità alle informazioni. È necessario un contesto su cosa fa un asset, il valore aziendale che fornisce e come funziona, per dare priorità al rischio e rendere il programma di CTI rilevante. Se tutto ciò che si fa è costruire una grande biblioteca di dati senza contesto e integrazione, il programma diventa solo un centro di costo.

Collaborazione e Comprensione

È importante lavorare con i team e gli stakeholder per comprendere le esigenze e ciò che devono agire in modo da poter spingere ed escalare proattivamente. Questo richiede di rompere i silos e collaborare con tutti i team coinvolti nella sicurezza, come quelli di governance, rischio e controllo, per comprendere le loro preoccupazioni e le tecnologie che stanno monitorando. Non si tratta solo di comprendere l'igiene informatica dell'organizzazione, ma anche di capire i livelli che un attaccante dovrebbe superare per sfruttare le vulnerabilità. Una volta ottenuta questa comprensione, i team possono allineare il programma di CTI per specifici stakeholder.

Controlli Compensativi

In caso di impossibilità di applicare una patch, è fondamentale implementare controlli compensativi per proteggere l'organizzazione. È necessario che i team di offesa e difesa lavorino insieme, mappando il percorso di attacco e comprendendo meglio la difesa per fornire una comprensione più approfondita dell'offesa. I team devono essere in grado di muoversi alla velocità del business e agire rapidamente, mantenendo la sicurezza. La fusione tra intelligence sulle minacce, gestione delle vulnerabilità e gestione del rischio sarà critica per l'igiene informatica e per pianificare, dare priorità e mitigare le minacce.