Se sei nel settore della sicurezza IT da un certo tempo, hai sicuramente familiarità con i falsi positivi, poichè si presentano in quasi tutti gli strumenti di monitoraggio e possono far perdere un’incredibile quantità di tempo e risorse ai team di Remediation che non riescono a concentrarsi su come ridurre le vulnerabilità che contano davvero.
La buona notizia è che esiste un modo per ridurli in modo misurabile in modo da poter riallocare il tempo della tua squadra dal lavoro investigativo a quello proattivo. Ecco come.
Sfide nel processo di gestione delle vulnerabilità
Per iniziare, discutiamo alcune delle principali sfide quando si tratta di investigare per la gestione delle vulnerabilità . La prima sfida è che le sessioni di triage, in particolare sui falsi positivi, comportano un serio drenaggio delle risorse. Quando arriva un avviso, la quantità di sforzo necessaria per coordinare il lavoro tra i team IT, di sviluppo e di sicurezza solo per scoprire che è un falso positivo può spesso essere significativa. Questo può essere frustrante per i team non di sicurezza, portandoli a ridurre le priorità verso le attività di sicurezza e dedicarsi a compiti che sembrano più importanti, lasciando incustodite le vere vulnerabilità .
La seconda sfida è rappresentata dai dispositivi fuori rete. Difficili da tracciare e scansionare regolarmente, possono spesso diventare malevoli o rogue senza un adeguato monitoraggio. Oppure, i team di sicurezza devono scansionarli manualmente, il che richiede molto tempo. Inoltre, con la crescita del remote working,il rischio si intensifica e la visibilità continua a diminuire.
La terza sfida è la visibilità senza contesto. Anche se la tua soluzione può darti una visibilità significativa nel tuo ambiente, potrebbe non considerare il contesto necessario per aiutarti a capire cosa sta succedendo. Per questo motivo, può essere difficile intraprendere azioni efficaci e mirate.
L’ultima sfida è che il punteggio CVSS (Common Vulnerability Scoring System) è troppo generico. Le organizzazioni spesso lottano per determinare quali vulnerabilità sono importanti per la propria attività specifica, il che aggrava la questione dei falsi positivi. Poiché il punteggio CVSS è solo una linea guida, non conduce sempre i professionisti della sicurezza alle vulnerabilità che devono essere affrontate con la massima urgenza.
Affrontare le principali sfide di gestione delle vulnerabilità
Per fortuna, c’è qualcosa che puoi fare per tutto questo. Una buona soluzione di gestione delle vulnerabilità dovrebbe aiutarti a effettuare le indagini sulle vulnerabilità in modo efficiente ed efficace. Diamo un’occhiata a come InsightVM, la soluzione di gestione del rischio di vulnerabilità di Rapid7 , aiuta a ridurre gli sforzi spesi per falsi positivi, a partire dal monitoraggio mirato delle vulnerabilità.
Monitoraggio mirato delle vulnerabilità
Il nucleo del motore di valutazione delle vulnerabilità di InsightVM è quello che è noto come shell di sistema esperto. Come ci si potrebbe aspettare dal nome, i sistemi esperti emulano la capacità decisionale di un esperto umano e sono considerati una delle prime forme davvero efficaci di software di intelligenza artificiale (AI). Un sistema esperto consente alla persona che lo sta programmando di descrivere semplicemente il “che cosa” di un determinato obiettivo piuttosto che il “come” determinarlo. Il “come” può essere dedotto dal sistema esperto, in genere con l’aiuto di altre regole definite.
Forse ti starai chiedendo cosa c’entra tutto ciò con i falsi positivi. La risposta è nella semplicità che questo sistema consente. Invece di un approccio procedurale per determinare se una particolare patch è stata applicata, la maggior parte dei controlli di InsightVM dichiara semplicemente che aspetto ha uno “stato vulnerabile”. Man mano che lo scanner apprende nuovi fatti su ciò che è (o non è) installato e configurato su una risorsa, spetta al motore delle regole dedurre se un controllo debba essere vulnerabile.
Ciò lascia meno spazio all’errore umano: la logica per il rilevamento di patch può diventare piuttosto complicata, specialmente quando si tiene conto di concetti come la sostituzione, i patch cumulativi e non cumulativi e così via. Meglio lasciare questo “pensiero” ai computer e lasciare che gli sviluppatori di contenuti si concentrino sulla ricerca e sulle descrizioni di livello superiore.
Il team di contenuti sulla sicurezza di Rapid7 integra la propria esperienza in materia di sicurezza nei controlli e nelle soluzioni di vulnerabilità che vengono pubblicati nelle nostre versioni di contenuti giornaliere. Il team monitora una vasta gamma di fonti di dati di consulenza sulla sicurezza e sviluppa strumenti che consentono di convertire rapidamente le informazioni di consulenza nel formato di controllo di InsightVM. Non si tratta di un processo completo, in quanto i fornitori pubblicano revisioni delle proprie consulenze e pagine di bug, i controlli e i dettagli di correzione vengono aggiornati e rilasciati con le modifiche incorporate.
Il motore di valutazione può anche adattarsi a nuove informazioni mentre lo scanner raccoglie dati e impronte digitali aggiuntivi. Ad esempio, molte distribuzioni Linux “backport” correzioni di sicurezza. Ciò significa che prendono una correzione per un difetto di sicurezza della versione più recente di un pacchetto software upstream e applicano tale correzione a una versione precedente del pacchetto distribuito.
Durante la fase non autenticata di una scansione, software server come Apache o PHP possono riportare se stessi come una versione precedente nota per avere diverse vulnerabilità. Ma se vengono utilizzate le credenziali e sono disponibili i dati del gestore pacchetti, il motore incorporerà ciò che sa sulle correzioni di backport dagli avvisi dei fornitori e sovrascriverà l’impronta digitale meno affidabile. Questo elimina le vulnerabilità corrotte dall’essere segnalate e innescando un’indagine di falso positivo.
Vedi InsightVM in azione
Gestione di dispositivi fuori rete
I dispositivi fuori rete non devono più essere un buco nero per il tuo programma di sicurezza. Con InsightVM, il nostro Insight Agent ti offre una visione in diretta delle esposizioni sui tuoi endpoint, inclusi dispositivi e reti off-network distribuiti in ambienti cloud e virtuali . In questo modo, puoi essere certo che ogni angolo viene scandagliato, anche con i dispositivi moderni e rogue spesso in agguato.
Insight Agent è appositamente progettato per essere leggero e non invasivo, il che significa che una volta raccolti i dati, li trasferisce sulla nostra piattaforma Insight, ed è lì che si verifica l’analisi di sollevamento pesante, non sulla rete. L’agente sa dove monitorare, raccoglie piccole quantità di dati dal registrar, dai pacchetti e dal sistema operativo stesso in modo non invasivo e porta il resto del processo sulla nostra piattaforma con un impatto trascurabile su di te.
Aggiunta di un contesto critico
Una soluzione come InsightVM di Rapid7 è stata appositamente progettata per offrirti una visibilità ampia e profonda in ogni centimetro del tuo ambiente, nonché il contesto di cui hai bisogno per capire cosa, quando e come di una vulnerabilità in modo che tu o il tuo IT e sviluppo le controparti possono entrare in azione.
Una volta identificate le risorse vulnerabili, InsightVM le assegna le priorità sfruttando l’ analisi degli aggressori . Ciò identifica le vulnerabilità che vengono attivamente prese di mira in natura, insieme ai nostri feed avanzati di minacce, per mostrarti le minacce reali su cui dovresti concentrarti. Questo processo va ben oltre il punteggio CVSS, poiché prende in considerazione l’età della vulnerabilità, la sua sfruttabilità, le informazioni di Metasploit e altro ancora per creare un punteggio di rischio reale . Hai anche la possibilità di taggare le risorse critiche, quindi se viene rilevata una vulnerabilità su una, viene immediatamente elevata in cima all’elenco per la riparazione, non seppellita insieme a avvisi umili o falsi positivi.
Questo è ciò che distingue InsightVM e il tuo programma di gestione delle vulnerabilità dagli altri. Con la possibilità di ottenere un contesto attuabile, è possibile rimediare più rapidamente e senza il travolgimento, la complessità e la spesa delle risorse.
Ridurre i falsi positivi per accelerare i tempi di riparazione
In un recente studio Total Economic Impact (TEI) condotto da Forrester, hanno scoperto che l’approccio di InsightVM ha ridotto i falsi positivi del 22 percento, eliminando del tutto una parte del lavoro investigativo da parte dei team delle operazioni di sicurezza e accelerando il processo di risanamento. In un periodo di proiezione di tre anni, Forrester ha previsto un risparmio di $ 397.200 per azienda.
Con InsightVM, le operazioni IT e DevOps impiegano meno tempo a correggere i problemi a causa della correzione attuabile con pochi clic, mentre i dashboard live tengono traccia dei progressi.
Se sei interessato a vedere come InsightVM può aiutarti a ottenere risultati simili, registrati per una prova gratuita o guarda una demo oggi.
Total Economic Impact ™ di Rapid7 InsightVM, uno studio commissionato da novembre 2019 condotto da Forrester Consulting per conto di Rapid7.
