Il problema delle vecchie vulnerabilità e cosa fare al riguardo

Come regola generale, i reparti IT si concentrano sulla prossima minaccia: il vulnerabilità zero-day in agguato nel sistema, le botole nascoste alla vista. Questo è comprensibile. Temiamo l'ignoto e le vulnerabilità zero-day sono sconosciute per definizione. La mente salta inevitabilmente in avanti al danno indicibile che potrebbero causare se e quando gli aggressori li identificheranno finalmente.

Ma questa attenzione alla prossima minaccia, il rischio sconosciuto, potrebbe danneggiare l'organizzazione. Perché, a quanto pare, la maggior parte delle vulnerabilità di cui le aziende dovrebbero preoccuparsi sono già state identificate.

Secondo un recente rapporto di Securin, la stragrande maggioranza - il 76% - delle vulnerabilità sfruttate dal ransomware nel 2022 erano vecchie, scoperte tra il 2010 e il 2019. Delle 56 vulnerabilità legate al ransomware nel 2022, 20 erano vecchie vulnerabilità scoperte tra il 2015 e 2019.

In altre parole: in un momento in cui attacchi ransomware sono forse la più grande minaccia per le organizzazioni, le vulnerabilità più spesso sfruttate dagli aggressori ransomware ci sono già note. Eppure innumerevoli aziende si sono lasciate aperte a loro.

I reparti IT non possono essere interamente incolpati di questo problema persistente: la maggior parte è oberata di lavoro, sovraccaricata e impegnata nel triage con una cascata infinita di minacce da ogni direzione. Tuttavia, una corretta igiene della sicurezza informatica richiede che i team IT prendano sul serio queste vecchie vulnerabilità e le inseriscano nei loro processi di sicurezza quotidiani.

Perché le vecchie vulnerabilità vengono trascurate

Prima di esaminare in che modo le aziende possono essere più attente alle vecchie vulnerabilità, esaminiamo più a fondo il problema così come esiste oggi.

Per cominciare, vale la pena notare che questa non è una preoccupazione astratta. Proprio all'inizio di quest'anno, è stato rivelato che più attori di minacce avevano sfruttato un bambino di 3 anni vulnerabilità in Progress Telerik violare una parte del governo degli Stati Uniti. "Lo sfruttamento di questa vulnerabilità ha consentito ad attori malintenzionati di eseguire con successo codice remoto su un server Web Microsoft Internet Information Services (IIS) di un'agenzia del ramo esecutivo civile federale (FCEB)," il agenzie interessate disse.

Parte del problema qui si riduce al ciclo di vita di una data vulnerabilità. Quando una vulnerabilità viene identificata per la prima volta, quando nasce una vulnerabilità zero-day, tutti prestano attenzione. Il fornitore emette e distribuisce una patch e una certa percentuale dei team IT interessati la testa e la installa. Naturalmente, non tutti i team IT interessati riescono a risolverlo: potrebbero pensare che non sia una priorità o potrebbe semplicemente sfuggire alle fessure del loro processo.

Passano mesi o anni e la vulnerabilità zero-day diventa solo un'altra delle centinaia di vecchie vulnerabilità. L'elevato turnover nei reparti IT significa che i nuovi arrivati ​​potrebbero non essere nemmeno a conoscenza della vecchia vulnerabilità. Se ne sono consapevoli, potrebbero presumere che sia già stato risolto. In ogni caso, hanno altre cose di cui preoccuparsi, incluse ma non limitate a tutte le nuove vulnerabilità zero-day identificate su base regolare.

E così la vecchia vulnerabilità sopravvive nella rete, aspettando solo di essere riscoperta da un aggressore esperto.

Lavorare in modo proattivo per correggere le vecchie vulnerabilità

Considerato tutto ciò, non c'è dubbio che le aziende debbano essere più attente alle vecchie vulnerabilità. Certo, tenere d'occhio il passato e uno il futuro non è facile, soprattutto quando i reparti IT hanno così tanto altro di cui preoccuparsi. Ed è vero che i reparti IT non possono aspettarsi di correggere tutto. Ma ci sono approcci abbastanza semplici che possono ridurre al minimo il rischio che una vecchia vulnerabilità torni a perseguitare un'organizzazione impreparata.

L'approccio più semplice ed efficace prevede l'ottimizzazione gestione delle patch processi in atto. Ciò significa ottenere una visione completa della superficie di attacco, comprese le vecchie vulnerabilità, e formulare giudizi consapevoli sul modo migliore per allocare le risorse del team IT.

Questi giudizi dovrebbero essere informati da repository di vulnerabilità standard come il Database nazionale delle vulnerabilità (NVB) ed MITRA. Ma dovrebbero anche andare oltre. Il fatto è che i repository di vulnerabilità consultati più spesso dai dipartimenti IT contengono lacune evidenti e queste sfortunate omissioni giocano un ruolo decisivo nel continuo sfruttamento di vecchie vulnerabilità da parte di malintenzionati. E questo per non parlare del fatto che molti calcolatori di rischio standard tendono a sottovalutare il rischio.

Il semplice fatto è che le organizzazioni non possono valutare correttamente le minacce che stanno affrontando se stanno lavorando su informazioni imparziali o ponderate in modo improprio: hanno bisogno di conoscere i rischi precisi che stanno affrontando e devono essere in grado di dare loro un'adeguata priorità rischi.

In fin dei conti, una vulnerabilità è una vulnerabilità, indipendentemente dal fatto che sia stata identificata cinque anni fa o cinque ore fa. L'età di una vulnerabilità è irrilevante se e quando viene sfruttata: è in grado di causare altrettanti danni. Ma per i team IT, le vecchie vulnerabilità possiedono un netto vantaggio: le conosciamo già. Mettere a frutto tale conoscenza, lavorando in modo proattivo per identificare e correggere tali vulnerabilità, è essenziale per garantire la sicurezza delle organizzazioni odierne.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/the-problem-of-old-vulnerabilities-and-what-to-do-about-it