I programmi di vulnerability management hanno un aspetto diverso a seconda delle risorse disponibili e dei rischi specifici che l’organizzazione deve affrontare. Sebbene sia l’identificazione che la valutazione delle possibili minacce siano passaggi importanti, il passaggio che richiede più tempo è effettivamente trattare la vulnerabilità; è qui che entrano in gioco la vulnerability remediation e la mitigation, entrambi sono approcci differenti per affrontare una vulnerabilità e ciascuno ha i suoi meriti a seconda della vulnerabilità specifica con cui si ha a che fare.
Analizziamo meglio la differenza tra mitigation e remediation delle vulnerabilità.
Remediation vs mitigation: Quali sono le differenze?
Una volta che una vulnerabilità è stata scoperta, la soluzione ideale è rimediare (riparare o correggere la vulnerabilità) prima che possa diventare una minaccia per la sicurezza. Di solito sono i team di sicurezza dell’organizzazione, gli ownerdi sistema e gli amministratori di sistema che si uniscono per determinare le azioni appropriate.
La remediation può essere semplice come applicare una patch software prontamente disponibile o complessa come sostituire un parco di server fisici sulla rete di un’organizzazione. Quando le attività di remediation sono state completate, è meglio eseguire sempre un’altra scansione delle vulnerabilità per confermare che la vulnerabilità sia stata completamente risolta.
Tuttavia, a volte la remediation non è possibile, per diversi motivi. Innanzitutto, non tutte le vulnerabilità devono essere corrette. Ad esempio, se la vulnerabilità viene identificata in Adobe Flash Player ma l’uso di Flash Player è già disabilitato in tutti i browser Web e le applicazioni a livello aziendale, non è necessario intervenire. Oppure, a volte potrebbe essere impedito di intraprendere un’azione di remediation da una sfida tecnologica, in cui una patch non è ancora disponibile per la vulnerabilità in questione.
Altre volte, si potrebbe subire un pushback dalla stessa organizzazione. Ciò accade spesso quando una vulnerabilità si trova su un tipo di sistema customer-facing e l’tua azienda desidera evitare i tempi di inattività necessari per correggere una vulnerabilità.
In questi casi entra in gioco il concetto di mitigation. Questo è un processo che riduce essenzialmente la probabilità che una vulnerabilità venga sfruttata. Ad esempio, la mitigation DDoS (Distributed Denial of Service) può instradare il traffico sospetto verso una posizione centralizzata dove viene filtrato.
Di solito, la mitigation non è il passaggio finale nell’affrontare una vulnerabilità. È più un modo per guadagnare tempo affinché l’organizzazione possa attendere il rilascio della tecnologia o trovare un momento più appropriato per pianificare i tempi di inattività del sistema. In definitiva, risolvere un problema di sicurezza di rete è meglio che bloccare la porta che potrebbe esporlo.
Come facilitare la remediation rispetto alla mitigation
Remediation e mitigation sono due strumenti importanti che forniscono un controllo continuo del polso dell’azienda. Ma il più delle volte, eliminare le vulnerabilità non è un approccio univoco.
Può richiedere sforzi multi-team e il tempo è spesso essenziale in questi casi. L’automazione può essere di grande aiuto per una efficace vulnerability management, sia quando si tratta di remediation che di mitigation.
Per la remediation, consigliamo di adottare una soluzione di vulnerability management, come InsightVM di Rapid7, che elimina la necessità di rapporti manuali, fogli di calcolo complessi e tag email confusi. Invece di occuparsi di queste attività che richiedono tempo, è preferibile adottare una soluzione che possa aiutare ad automatizzare i passaggi di remediation come l’aggregazione delle informazioni chiave, il recupero delle fix per le vulnerabilità identificate e, in ultima analisi, l’applicazione delle patch (quando appropriato).
Per la mitigation, investire in una soluzione di vulnerability management che consenta ai team di sicurezza di implementare automaticamente controlli di compensazione temporanei o permanenti per ridurre il rischio di sfruttamento di una vulnerabilità.
Come può aiutare InsightVM
Se si sta cercando di migliorare l’efficienza del processo di remediation, la soluzione di vulnerability risk management di Rapid7, InsightVM, può aiutare. Riconosciuto nel 2019 Forrester VRM Wave come leader nella vulnerability risk management, InsightVM può aiutare a comprendere meglio i rischi per la sicurezza in l’ambiente e riunire team tradizionalmente in silos per ridurre i rischi. Con gli IT-Integrated Remediation Projects di InsightVM, si può adottare un approccio alla remediation basato sulla soluzione e identificare i singoli passaggi che possono ridurre il rischio maggiore. I Remediation Projects si integrano anche con sistemi di ticketing come ServiceNow o Jira, aiutando a incontrare il team di remediation dove sono abituati a lavorare.
Con l’Automation-Assisted Patching in InsightVM, è possibile automatizzare il processo di applicazione delle patch integrandolo con strumenti di gestione delle patch di terze parti come BigFix e Microsoft SCCM. Ciò consente di risparmiare tempo da attività tradizionalmente noiose e ripetitive come l’applicazione di patch a vulnerabilità note. È possibile anche automatizzare il processo di mitigation con l’Automated Containment in InsightVM. InsightVM si integra con i sistemi NAC (Network Access Control), i firewall e gli strumenti EDR (Endpoint Detection and Response) come Palo Alto PAN-OS, Cisco FirePower e Carbon Black Response per automatizzare il processo di limitazione dell’accesso alla rete alle risorse vulnerabili.
