Oltre i CVE: la chiave per mitigare le esposizioni di sicurezza ad alto rischio

Nel 2022, ha riferito il National Institute of Standards and Technology più di 23,000 nuove vulnerabilità, il picco più grande mai registrato in un anno solare. In modo allarmante, si prevede che questa tendenza al rialzo continui, come suggeriscono recenti ricerche potremmo vedere più di 1,900 nuove vulnerabilità ed esposizioni comuni (CVE) al mese in media quest'anno, di cui 270 con gravità elevata e 155 con gravità critica.

Mentre i CISO e i team di sicurezza sono alle prese con budget ridotti per la sicurezza e la continua scarsità di talenti informatici, applicare patch a questa vera e propria ondata di nuove vulnerabilità ogni anno è semplicemente un compito irraggiungibile e ridicolo.

Solo tra le centinaia di migliaia di CVE registrati Dal 2% al 7% vengono sfruttati in natura. Pertanto, l’applicazione di patch insensate è raramente un’attività fruttuosa. Con le superfici di attacco ampliate, il panorama delle minacce non è così isolato come spesso lo consideriamo. Gli aggressori non eseguono un attacco su una singola vulnerabilità perché non porta quasi mai a risorse critiche. Le vulnerabilità, nella maggior parte dei casi, non equivalgono alle esposizioni e non sono sufficientemente gratificanti per un utente malintenzionato che cerca di penetrare nei sistemi organizzativi.

Invece di concentrarsi sulle vulnerabilità, gli autori malintenzionati sfruttano una combinazione di esposizioni, come credenziali e configurazioni errate, per attaccare con discrezione risorse critiche e rubare dati aziendali. Esploriamo alcune di queste esposizioni importanti, e spesso trascurate, di cui le organizzazioni dovrebbero preoccuparsi maggiormente.

L'ambiente scartato: on-premise

Anche se non possiamo screditare la necessità di robuste protezioni cloud, la sua dominanza negli ultimi dieci anni ha portato molti a trascurare i propri investimenti nella creazione di controlli locali efficaci e agili. Non commettere errori: gli autori malintenzionati continuano a sfruttare attivamente le esposizioni locali per ottenere l'accesso a risorse e sistemi critici, anche se si trovano in ambienti cloud.

All'inizio di quest'anno, Microsoft ha esortato gli utenti a proteggere i propri server Exchange locali in risposta a diversi casi in cui le falle di sicurezza all'interno del software sono state utilizzate come armi per hackerare i sistemi. Con tutta l’attenzione posta sulla sicurezza del cloud, molte organizzazioni sono diventate cieche rispetto alla superficie di attacco ibrida e al modo in cui gli aggressori possono spostarsi tra i due ambienti.

Identità eccessivamente permissive, accesso privilegiato

Tenendo presente la comodità, gli utenti cloud, i ruoli e gli account dei servizi continuano a concedere autorizzazioni eccessive. Ciò può rendere le cose più facili da gestire ed evitare di dover avere a che fare con dipendenti che chiedono costantemente l’accesso a vari ambienti, ma consente anche agli aggressori di espandere il proprio punto d’appoggio e i percorsi di attacco dopo aver superato con successo il primo livello di difesa.

È necessario trovare un equilibrio perché in questo momento molte organizzazioni non dispongono di una forte governance in relazione all’identità, con il risultato di un accesso eccessivo a coloro che non necessitano di tali capacità per svolgere i propri compiti.

Sebbene la protezione delle identità sia estremamente complessa negli ambienti ibridi e multicloud, operare secondo la filosofia secondo cui ogni utente è un utente privilegiato rende la diffusione laterale molto più difficile da fermare. Potrebbe anche fare la differenza tra un attacco minore e un progetto di settimane per cercare di contenere il danno. Una nostra recente ricerca ha dimostrato che il 73% delle principali tecniche di attacco coinvolge credenziali mal gestite o rubate.

Il problema tecnico umano

Non dimentichiamoci di uno degli errori più comuni, ma allo stesso tempo dannosi: l’implementazione e l’utilizzo impropri dei controlli di sicurezza. Sei tu a effettuare l'investimento, ma devi anche assicurarti di raccoglierne i benefici. Nonostante sia una questione ampiamente comunicata, configurazioni errate del controllo di sicurezza sono ancora molto diffusi. Anche se nessuna soluzione di rilevamento e risposta alle minacce o soluzione endpoint è a prova di bomba, molte sono anche configurate in modo errato, non distribuite nell'intero ambiente o inattive anche quando distribuite.

Operiamo in un mondo di ipervisibilità, dove la fatica diagnostica è prevalente e i team di sicurezza sono inondati da troppe vulnerabilità benigne e non correlate. I CISO e i team di sicurezza sembrano essere alla ricerca di tutto. Ma elenchi estenuantemente lunghi di esposizioni e debolezze tecniche a cui viene assegnata la priorità in base al CVSS o ad altri meccanismi di punteggio non rendono le loro organizzazioni più sicure. La chiave è vedere ciò che è importante e non perdere la criticità nel mare del benevolo.

Invece di cercare di aggiustare qualunque cosa, le organizzazioni devono lavorare per identificare i propri punti di strozzatura, le aree in cui le esposizioni comunemente convergono su un percorso di attacco. Per fare ciò è necessario valutare diligentemente il panorama di esposizione e comprendere come gli aggressori possono spostarsi nel tuo ambiente per raggiungere risorse critiche. Una volta identificati e risolti questi punti di strozzatura, le altre esposizioni saranno irrilevanti, risparmiando non solo un'enorme quantità di tempo, ma potenzialmente anche la sanità mentale del team di sicurezza.

Inoltre, questo può avere l'ulteriore vantaggio di mobilitare i team IT perché offre loro una visione chiara del significato di determinate patch e non si sentono più come se stessero perdendo tempo.

Tenere il passo con il panorama delle minacce

Come disse una volta Henry Ford: “Se fai sempre ciò che hai sempre fatto, otterrai sempre ciò che hai sempre ottenuto”. Sebbene la maggior parte delle organizzazioni disponga di solidi programmi di gestione delle vulnerabilità, le vulnerabilità rappresentano solo una piccola parte del rischio.

Per stare al passo con il volatile panorama delle minacce sono necessari meccanismi continui di gestione dell’esposizione. Comprendere quali esposizioni presentano il rischio maggiore per la tua organizzazione e per le risorse critiche e in che modo un utente malintenzionato può sfruttare queste esposizioni in un percorso di attacco aiuterà in modo significativo a colmare le lacune e a migliorare il livello di sicurezza generale.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/beyond-cves-the-key-to-mitigating-high-risk-security-exposures