Vulnerability Management oltre il "vuappittì"
- 2. BL4 CKSWAN SRL
info@ bl4ckswan. com
Perchè il Vulnerability Management non è... il «vuappitti» (1)
Vulnerability Management oltre il « vuappitti »
A chi mi dice, quando s i parla di Vulnerability Management , che lui lo fa...
Io vorrei r i spondere...
« Sei proprio un somaro WAPITI»
© BL 4 CKSWAN SRL … 2
- 3. BL4 CKSWAN SRL
info@ bl4ckswan. com
Perchè il Vulnerability Management non è... il «vuappitti» (2)
Vulnerability Management oltre il « vuappitti »
I l Vulnerability Management è un processo per la gestione di
vulnerabilità infrastrutturali, di sistema e applicative ,
r i levabili mediante vari t ipi di security audit, quali
Appunto – un processo. Il «vuappitti» può
esserne considerato eventualmente solo
una fase.
Non sempre si ha chiaro quando il target di
un vuappitti è una rete di server,
un’applicazione, o entrambi
Anche altre attività quali configuration
review e firewall audit dovrebbero trovare
posto in qualsiasi audit program.
vulnerability assessment, penetration testing e code review .
Anche questa tematica ci vede indietro, ma
dobbiamo dare precedenza ai prerequisiti.
La virgola è li per separare il «vua» dal
«ppitti». Sono due attività distinte che
producono output diversi.
© BL 4 CKSWAN SRL … 3
- 4. BL4 CKSWAN SRL
info@ bl4ckswan. com
Perchè il Vulnerability Management non è... il «vuappitti» (3)
Vulnerability Management oltre il « vuappitti »
Possibili interpretazioni del termine vuappìttì (vuh-ah -pp -ìttì):
Ef fe tti collaterali derivanti dall’uso improprio del termine:
Qualsiasi azienda munita di licenza per un
security scanner è ora leggittimata a
presentarsi al mercato in qualità di CVP:
Certified «Vuappitti» Provider
I tempi di consegna medi per un report di
vuappitti diventano di 3 settimane.
Ovviamente per rispettare la deadline...
Fanno solo un VA (male)
L’allegato economico della vecchia offerta di
VA viene ritoccato per riflettere le best
practice di settore; quello tecnico...
aspe... c’è un allegato tecnico?
ignoravo
cercato
Una razza di cervo nobile di cui
l’esistenza fino a quando ho
vuappitti su Google Immagini...
opensource che non
per l’omonimo, più
Un security scanner
vuole essere usato
disonorevole scopo.
Fenomeno dove il cliente paga due attività
distinte, e il fornitore ne eroga una sola
(anche trimestralmente).
© BL 4 CKSWAN SRL … 4
- 5. 5© BL 4 CKSWAN SRL
BL4 CKSWAN SRL
info@ bl4ckswan. com
Perchè il Vulnerability Management non è... il «vuappitti» (4)
Vulnerability Management oltre il « vuappitti »
...i conti della serva...
Se un’ infrastruttura opera 2 virtual center, con
20 sistemi MS e 20 Centos...!
VC = (1*2)+(195 *20)+(31*20) =
4.522
vulnerabilità CRITICHE
...ma è solo la punta dell’ iceberg!
Con i conti fatti copriamo, salvo eccezioni,
quasi esclusivamente sistemi operativi... e gli
altri strati?
Vulnerabilità in aumento...
Lo si dice dalla notte dei tempi – i trend sono
in forte crescita – cosa implica in soldoni?
1 .061 vulnerabilità totali
489 critiche
745 vulnerabilità totali
79 critiche
51 vulnerabilità totali
4 critiche
* Fonte: http:// www. cv ed…etails. com / ag g.16.03.2017
Vulnerabilità by Vendor 2015 -2016 *
Ovviamente non possiamo considerare tutte
queste vulnerabilità applicabili (?), prendiamo
in considerazione solo un 40% delle critiche.
Occhio - si parla solo di un 40 % di vulnerabilità
( critiche) su di un numero ristretto di sistemi...
...e solo per il biennio 2015 - 16.
Servizi DatabaseMiddleware
App. OTFApp. Custom Siti Web
Rete MobileWorkstation
- 6. BL4 CKSWAN SRL
info@ bl4ckswan. com
Perchè il Vulnerability Management non è... il «vuappitti» (5)
Vulnerability Management oltre il « vuappitti »
Qu indi , al «fine st ratega » ch e sost iene di gesti re il prop rio pro cesso di vulnera bility man age ment co n il «
vuappìttì » gli chiedo:
Ma oltre al report di «vua»,
dove sta il report di «ppitti»?
Come gestisci il rischio che 4500 +
vulnerabilità comportano nelle
tue finestre di compliance
auditing?
Quante segnalazioni
richiedono effettivamente un
intervento rapido e
risolutivo?
...
© BL 4 CKSWAN SRL … 6
- 7. BL4 CKSWAN SRL
info@ bl4ckswan. com
Enrollment dei nodi e asset
desiderati nell’ audit
program.
Raccolta e archiviazione di
audit evidence.
Integrare info aperte per
comprendere il vero
impatto.
Applicare remediation.
Incorporare cambi nel
contesto nelle logiche di
gestione.
Integrazione con policy
aziendali per delineare
modalità di analisi.
Confermare coerenza tra
risultati dell’ attività e gli
obiettivi prefissati.
Confermare l’ effettiva
presenza di una
vulnerabilità.
Confermare con risoluzione
di una vulnerabilità con
analisi di followup.
Monitorare il rischio in
modo continuo.
Uniformazione di
metodologie e reporting
per interni e terzi.
Integrare info interne per
identificare su cosa può
impattare la segnalazione.
Selezionare l’ opzione di
remediation più opportuna.
Monitorare la risoluzione
delle problematiche.
Vulnerability Management: Processo
Vulnerability Management oltre il « vuappitti »
Processo mirato al rileva mento e alla gestione del rischio derivante dalla presenza di vulnera bilità.
Pianificazione Assessment Analytics Remediation Controllo
Formalizzazione e raccolta
manleve e accordi
operativi.
© BL 4 CKSWAN SRL … 7
- 8. BL4 CKSWAN SRL
info@ bl4ckswan. com
Vulnerability Management: Processo che non va?
Vulnerability Management oltre il « vuappitti »
Pianificazione Assessment Analytics Remediation Controllo
Sembra facile, eppure si sollevano tanti problemi in ciascuna fase... Pe rchè?
Non so quali applicazioni
esposte su rete pubblica
sono state testate l’ anno
passato.
Uno in html, l’ altro in
pdf, poi l’ Excel...
Nessuno sa dirmi se
èquesta vulnerabilità
presente su qualche
sistema business- critical?
Le vulnerabilità sono
tante e diverse – ok – ma ci
sarà un punto da cui
converrà partire?
Mai che il management
mi chieda un particolare
in più e che sia capace di
rispondere all’ istante.
© BL 4 CKSWAN SRL … 8
- 9. BL4 CKSWAN SRL
info@ bl4ckswan. com
Vulnerability Management: L’asset inventory alla base di tutto
Vulnerability Management oltre il « vuappitti »
Se non sai che esiste...
Un cliente di dimensioni medio-
piccole può avere una vaga idea di
ciò che c’è anche senza un
processo di asset management.
Un cliente enterprise non si può
permettere lo stesso lusso.
Se non sai cosa fa...
La maggior parte degli
inventory esaminati durante
asset
audit
interni o di seconda parte risultano
mancare di un adeguato livello di
descrizione, e uno strato di
relazionamento tra le dimensioni IT.
Se non lo vuoi fare...
Si ha l’ impressione che gran parte
degli IT Manager percepisca l’ asset
come
chiuso
l’influenza..
nelle giuste
management
evitabile se
stanze.
...non farai il salto di qualità
Avere un asset inventory
aggiornato e correttamente
popolato introduce il mondo dell’
informatica al mondo del
relazionamento IT- organizzativo.
Manca un inv entario degli asset , realmente utile
#foglioexceldi20 meganonaggiornato #elencodiipsenzahostname
#elencodihostnamesenzaip#nonsoqualisianoleapplicazionimasonocritiche
#file.csvchenessunoriesceadaprire #assetinventoryenterprisechenessunohamaiconfigurato
© BL 4 CKSWAN SRL … 9
- 10. BL4 CKSWAN SRL
info@ bl4ckswan. com
Vulnerability Management: L’asset inventory alla base di tutto (2)
Vulnerability Management oltre il « vuappitti »
Una rete ospita nodi
infrastrutturali...
Che possono presentare
vulnerabilità...
Che comportano un rischio per
varie dimensioni aziendali o
organizzative.
Subnets
Networks
Entities
Una base dati che mette in relazione perimetri fisici, reti, infrastrutture fisiche e
virtuali, applicazioni e processi consente di esercitare un controllo totale su
qualsiasi ambito – non solo il Vulnerability Management.
Nonostante la generazione di un asset inventory maturo richieda tempo e risorse,
possiamo ottenere già oggi qualcosa di valido e utilizzabili sfruttando qualche
procedura automatizzata e ( sigh)... un vuappitti:
I raw degli scanner
consentono di censire gli
host, servizi o applicativi e
quanti più informazioni su
una base dati
condivisibile.
Funzioni di f i l tro, r icerca
avanzata e multiselezione
aiutano a identificare le
informazioni mancanti,
indirizzando i l loro
reperimento con efficacia.
Analisi semantica ed
espressioni regolari,
suggeriscono al proprio
utente opzioni per i l
popolare automaticamente
più l ivelli di descrizione
per diversi insiemi di
asset.
© BL 4 CKSWAN SRL … 10
- 11. BL4 CKSWAN SRL
info@ bl4ckswan. com
Vulnerability Management: L’asset inventory alla base di tutto (3)
Vulnerability Management oltre il « vuappitti »
U n a s s e t i nv e n to r y m a t u ro , p e r m e tt e d i e s p r i m e rs i c o n l a fa c i l i tà c h e o g g i c i v i e n e r i c h i e s ta d a l M a n a ge m e nt .
chiunque
però con
Sia chiaro! La cara vecchia vista in stile excel rimane, e
autorizzato avrà modo di vedere le solite informazioni...
qualche chicca e funzionalità in più. ☺
Rispondere alle domande del Management in un lampo, o con due tocchi
di polpastrello, non ha prezzo ( se non quello di aver costruito e popolato l’
asset inventory).
© BL 4 CKSWAN SRL … 11
...e Dashboard fu! ...e per chi la minestra la preferisce riscaldata...
- 12. BL4 CKSWAN SRL
info@ bl4ckswan. com
Vulnerability Management: fallo con il vuappitti J.A.R.V.I.S.
Vulnerability Management oltre il « vuappitti »
A s s e t I nve n t o r y a p a r t e , J A R V I S s u p p o r t a i l V M c o n w o r k f l o w « i n t e l l i ge nt i » p e r c i a s c u n a fa s e d e l p ro c e s s o
Assessment
Compatibile con i principali
network e vulnerability
scanner.
Introduce meccanismi di
coordinamento
uniformando output
Semplifica la lettura di dati
provenienti da più fonti
eterogenee.
Analytics
Segnala quali
problematiche hanno un
impatto sulla compliance.
Segnala nuovi exploit sul
mercato, modificando
eventuali severity rating.
Facilita la valutazione del
rischio collegandosi a fonti
dati aperte e chiuse.
Remediation
Traccia i flussi collaborativi
e autorizzativi finalizzati ad
una change request.
Suggerisce contromisure in
linea con best practice
CERT.CC e CWE.
Integra analisi what- if a
supporto della corretta
pianificazione delle azioni
Controllo
Monitora ( tra tante cose):
Porte e servizi insicuri e lo
stato di bonifica SSL.
Una widget- based
dashboard per essere
sempre sotto controllo.
Monitora il rating di system
hardening secondo
metriche CISSecurity.
Pianificazione
Segnala asset non auditati
in un dato timeframe.
Suggerisce audit program
basati su indicazioni di
norme di settore.
Media e traccia lo scambio
documentale con terzi.
© BL 4 CKSWAN SRL … 12