Una valutazione delle vulnerabilità, nota anche come valutazione delle vulnerabilità di sicurezza, è una valutazione olistica dei rischi legati alle vulnerabilità all'interno di un ambiente IT e ibrido. Per gli ambienti cloud, la valutazione della vulnerabilità riguarderebbe asset come carichi di lavoro AI, macchine virtuali, container, database, servizi PaaS e dati.
Ci sono decine di migliaia di vulnerabilità che potrebbero annidarsi silenziosamente nel tuo ambiente cloud mentre stai leggendo questo articolo. (Qui sono alcuni esempi recenti.) Ciò include Configurazioni errate, Shadow IT, controlli di accesso scadenti, visibilità incompleta, API non sicure, esposizione alla rete e altro ancora. Le vulnerabilità sono ovunque. Spaventoso, vero?
La buona notizia è che non tutte le vulnerabilità sono ugualmente pericolose. In effetti, alcuni di essi potrebbero non avere alcuna importanza per la tua azienda. Questo è il più grande problema della gestione e della valutazione delle vulnerabilità oggi: troppi avvisi e troppo rumore, con conseguente sovraccarico e frustrazione di CloudSec, analisti delle vulnerabilità e Squadre SOC. Il problema con troppi avvisi è che le vulnerabilità che sono effettivamente pericolose per la tua azienda si perdono in un lungo elenco.
Ecco perché, in questo post del blog, esamineremo le valutazioni delle vulnerabilità che possono aiutarti a trovare e correggere le vulnerabilità critiche, create per il cloud.
The Vulnerability Management Buyer's Guide
Download this guide to get a RFP template to help you evaluate your vulnerability management vendor.
Download Now
Come condurre una valutazione della vulnerabilità
Ecco una guida pratica passo passo per condurre valutazioni delle vulnerabilità. Ricorda che l'obiettivo qui è quello di eliminare il rumore per identificare i rischi critici per l'azienda o le vulnerabilità che contano davvero.
Passaggio 1: gettare le basi
Se si desidera condurre buone valutazioni delle vulnerabilità, è necessario iniziare con un po' di preparazione e sviluppo della strategia. In caso contrario, le valutazioni delle vulnerabilità potrebbero non essere chiare e focalizzate tra gli stakeholder in crescita nello sviluppo e nell'IT.
Ecco alcuni semplici modi per gettare solide basi:
Elenca gli obiettivi principali della tua valutazione della vulnerabilità.
Mappa i tuoi CSP, i servizi cloud e Modelli di responsabilità condivisa Dal codice al cloud.
Ricontrolla i tuoi obblighi di conformità al cloud.
Prendi nota dei tuoi dati (business-critical) dei tuoi gioielli della corona.
Collaborare con altri team per rendere la valutazione e la correzione più collaborative.
Seleziona gli strumenti e i framework giusti per le tue valutazioni (ne parleremo presto).
Passaggio 2: crea un inventario completo delle risorse
Non è possibile individuare tutte le vulnerabilità critiche nell'ambiente cloud se non si conoscono le risorse di cui si dispongono. Inizia creando un inventario completo delle tue risorse cloud, dai database e dai container alle macchine virtuali e alle appliance. Inoltre, sviluppa un processo per mantenere sempre aggiornato l'inventario delle risorse. Infine, assicurati di tenere conto di ogni utente (umano e macchina), endpoint, dipendenza, API e rete. Non lasciare nulla di intentato durante questo processo perché anche una risorsa cloud apparentemente irrilevante potrebbe avere un percorso di attacco ai dati sensibili.
During this step, remember two things:
Cover your AI infrastructure and assets because they can be full of vulnerabilities.
Map your software development lifecycles because it’s important to discover and fix vulnerabilities during development and develop a strong application security posture.
Passaggio 3: scansiona regolarmente le vulnerabilità e automatizza ove possibile
Ora che hai un quadro chiaro dei tuoi ambienti cloud, è il momento di evidenziare dove si nascondono le vulnerabilità. Inizia impostando i parametri dei tuoi strumenti di valutazione della vulnerabilità per definire l'ambito della tua valutazione. (Suggerimento: non utilizzare mai le impostazioni predefinite!) Per parametri, intendiamo che potresti voler armeggiare con le tecniche che stai utilizzando, come attive o passive Scansione delle vulnerabilitàe automatizzare le scansioni di conseguenza per risparmiare tempo. È possibile includere un set specifico di risorse o indirizzi IP per analizzare e sviluppare filtri o query personalizzati.
Successivamente, avvia i tuoi strumenti di scansione delle vulnerabilità. Assicurati di disporre di strumenti per la scansione delle vulnerabilità del database, la scansione delle vulnerabilità della rete e la scansione delle vulnerabilità delle applicazioni Web. Inoltre, assicurati che i tuoi strumenti di valutazione delle vulnerabilità e gli scanner basino le loro capacità su più database e cataloghi di vulnerabilità noti. Pensa sulla falsariga del Catalogo CISA KEV, del NIST NVDE la ANGOLO ATT&Base di conoscenza CK.
In alcuni casi, potresti voler supportare le tue scansioni di vulnerabilità con test di penetrazione più specifici. Questi test possono aiutare a eliminare le vulnerabilità complesse o nascoste nel cloud.
Valutazione delle vulnerabilità e test di penetrazione
Le valutazioni delle vulnerabilità sono una valutazione più ampia e di alto livello dei rischi e dei punti deboli, mentre i test di penetrazione si concentrano su componenti o situazioni molto specifiche. Potresti voler usare entrambi per coprire tutte le basi.
A differenza delle valutazioni delle vulnerabilità, che rilevano le vulnerabilità nell'ambiente e mappano la superficie di attacco, i test di penetrazione simulano un attacco nel mondo reale per rivelare punti deboli e vettori di attacco specifici (ingressi). I test di penetrazione possono essere un buon modo per completare le valutazioni delle vulnerabilità.
Passaggio 4: Assegna priorità alle vulnerabilità
Le scansioni delle vulnerabilità potrebbero rivelare un lungo elenco di vulnerabilità nel tuo ambiente, ma ricorda quanto detto in precedenza: non tutte queste sono importanti. Nessuna azienda ha le risorse per eliminare tutte le vulnerabilità che trova, quindi dovrai iniziare a dare priorità alle vulnerabilità in base ai livelli di rischio da alto a basso.
"Alto rischio" può avere significati diversi per organizzazioni diverse, quindi concentrati sui rischi che possono portare a dati sensibili come PHI, PCI, PII e segreti aziendali. Inoltre, considera fattori come la gravità, la sfruttabilità, il raggio di esplosione, la proprietà e se l'asset compromesso è essenziale per la missione. Di seguito sono riportate alcune risorse e standard pubblici che possono essere utili:
CVE (vulnerabilità ed esposizioni comuni): Individua le vulnerabilità
Sistema di punteggio delle vulnerabilità comuni (CVSS): Valuta la gravità delle vulnerabilità
Sistema di punteggio di previsione degli exploit (EPSS): Valuta la probabilità che le vulnerabilità vengano sfruttate
Passaggio 5: Analizzare le vulnerabilità e sviluppare strategie di correzione
Sebbene la correzione non faccia tecnicamente parte delle valutazioni delle vulnerabilità, è importante iniziare a pianificare come correggere le vulnerabilità scoperte. Come abbiamo visto, è necessario iniziare con le vulnerabilità più critiche. Studia la gravità di ogni vulnerabilità e comprendi le sue implicazioni sulla tua infrastruttura business-critical. Per semplificare la vita ai team CloudSec, elimina i falsi positivi durante questo passaggio.
Per ogni vulnerabilità critica, assicurarsi che siano disponibili opzioni di correzione valide. Ciò potrebbe includere l'applicazione di patch alle applicazioni obsolete, la modifica delle impostazioni su risorse configurate in modo errato e il corretto dimensionamento delle autorizzazioni.
Quando i team CloudSec iniziano a correggere le vulnerabilità critiche, è importante condurre scansioni successive delle vulnerabilità per convalidare la correzione. Durante la correzione possono essere introdotte nuove vulnerabilità ed è importante rilevarle tempestivamente.
Passaggio 6: segnalare, valutare e migliorare
Hai raggiunto la fase finale del processo. Ecco come concludere con una nota fantastica: Compila tutta la documentazione delle valutazioni delle vulnerabilità. Utilizza i tuoi strumenti di gestione delle vulnerabilità per generare report completi perché possono essere molto importanti per gli audit, l'intelligence sulle minacce e la conformità. Inoltre, proprio come qualsiasi altra pratica di sicurezza del cloud, è necessario iterare continuamente il processo di valutazione delle vulnerabilità. Ricorda: con la gestione delle vulnerabilità del cloud, c'è sempre spazio per migliorare.
Strumenti di valutazione delle vulnerabilità
Confuso su quali strumenti di valutazione delle vulnerabilità utilizzare? Eccone 15 per iniziare.
OpenVAS: Uno strumento di scansione delle vulnerabilità open source
Crack d'aria: Una suite per scoprire le vulnerabilità della rete
Nmap: Uno scanner per scoprire le vulnerabilità della rete
Masscan: Un altro scanner per scoprire le vulnerabilità della rete
Clair: Uno scanner di vulnerabilità dei container
Wapiti: Uno scanner di vulnerabilità incentrato sulle applicazioni web
Nikto: Uno scanner di vulnerabilità del server Web
sqlmap: Uno strumento per i test di penetrazione
Arachni: Uno scanner di vulnerabilità delle app Web
KICS: Uno scanner di vulnerabilità del codice
Lynis: Uno scanner di vulnerabilità degli endpoint
Ispettore Amazon: Uno scanner di vulnerabilità dei carichi di lavoro AWS
SecuBat: Uno scanner di vulnerabilità web
Retire.js: Uno scanner di vulnerabilità JavaScript
w3af: Uno scanner di vulnerabilità delle applicazioni Web
Per saperne di più su questi strumenti di valutazione delle vulnerabilità e altri, dai un'occhiata ai nostri post sul blog su Strumenti di gestione delle vulnerabilità OSS e Scanner di vulnerabilità OSS.
Modello di valutazione della vulnerabilità
Ecco un esempio di un utile modello di valutazione delle vulnerabilità di sicurezza che copre il tipo di vulnerabilità del mondo reale che troverai durante le tue valutazioni. Questo modello di valutazione delle vulnerabilità ti offre anche un piccolo assaggio delle meraviglie della gestione delle vulnerabilità di Wiz.
Supponiamo quindi che tu abbia completato la fase di preparazione con gusto e che tu sia nel processo di scoperta degli asset. Implementando Wiz, puoi ottenere un inventario completo delle tue risorse IT e cloud, come mostrato qui:
Successivamente, è il momento di scansionare queste risorse per scoprire quali vulnerabilità si inaspriscono inosservate. Ecco come appare con Wiz.
Come puoi vedere, Wiz scoprirà le vulnerabilità e le darà priorità in base ai fattori di rischio specifici dell'organizzazione che chiamiamo "combinazioni tossiche" di rischio, derivati da permutazioni del percorso di attacco, esposizione a PII, autorizzazioni di amministratore in eccesso, ecc.
Esempi di rischi critici legati alle vulnerabilità potrebbero essere i seguenti:
Macchine virtuali esposte pubblicamente
Un'API esposta
Una vulnerabilità critica di bypass dell'autorizzazione in Docker
Un database configurato in modo errato pieno fino all'orlo di PII sensibili
Per ognuna di queste vulnerabilità, Wiz fornisce una solida guida alla correzione, ma consente anche di personalizzare le correzioni, se necessario. Come evidenziato nella figura 5, a volte un semplice aggiornamento a una versione più recente può trasformare una vulnerabilità critica in una risorsa sicura.
Infine, esegui nuovamente l'analisi degli ambienti, convalida le correzioni e lavora su come rendere le valutazioni delle vulnerabilità più efficaci e olistiche. Questo approccio consente di individuare, valutare e correggere le vulnerabilità nell'intera pipeline code-to-cloud.
In che modo Wiz può supportare le valutazioni delle vulnerabilità
Se hai bisogno di un potente strumento nativo per il cloud per condurre valutazioni delle vulnerabilità, Wiz è quello che fa per te. Supportando oltre 120.000 vulnerabilità su 40+ sistemi operativi, Wiz sfrutta il mondo'I migliori cataloghi di vulnerabilità del cloud e li combina con i feed di intelligence sulle minacce e la ricerca Wiz per scoprire vulnerabilità nascoste (o con priorità scarsa) in base all'impatto aziendale.
Con l'implementazione senza agenti e la definizione delle priorità basata sul contesto, Wiz rende l'affaticamento da allerta un ricordo del passato. Concentrandosi sulle criticità in base ai fattori di rischio della tua azienda, Wiz aiuta a trovare e risolvere i rischi più potenti con un MTTR impressionante. Dal codice al cloud, Wiz's Gestione delle vulnerabilità Le capacità sono davvero di livello superiore.
Richiedi una demo ora per vedere come Wiz può aiutare a rafforzare la gestione delle vulnerabilità Procedure consigliate e conduci valutazioni delle vulnerabilità di sicurezza senza pari a nessuno che mantengono il tuo cloud al sicuro.
Uncover Vulnerabilities Across Your Clouds and Workloads
Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.
