Gestione moderna delle vulnerabilità in IT e OT

7. Settembre 2022
| Non ci sono commenti
Gestione moderna delle vulnerabilità in IT e OT

Condividi post

La misurazione e il miglioramento della sicurezza informatica sono ormai arrivati ​​in molte aziende e vengono portati avanti. La questione della sicurezza OT, invece, è ancora un libro chiuso per molte aziende. OTORIO spiega come la sicurezza IT e OT possono essere promosse allo stesso modo e quale ruolo giocano in questo la gestione delle vulnerabilità e il punteggio.

Quali sono le misure di riduzione del rischio più efficienti che consentono di ottenere la riduzione del rischio più efficace per uno specifico impianto, processo o un intero impianto di produzione? Tuttavia, una volta attuate le misure di riduzione del rischio e rimane un rischio residuo accettabile, c'è ancora molto lavoro da fare. Questo perché il processo di mitigazione del rischio scopre ulteriori pericoli e lacune che fanno parte del rischio residuo "accettabile" di nuova introduzione.

Si tratta di un processo continuo in quanto consente ai team operativi e di sicurezza OT di concentrarsi costantemente sulle vulnerabilità che gli aggressori potrebbero sfruttare con maggiore probabilità per causare il maggior danno possibile a un'organizzazione. È solo ripetendo questo ciclo di valutazione del rischio che le organizzazioni possono raggiungere la resilienza aziendale con una quantità limitata di risorse.

Obiettivi della valutazione della situazione

L'obiettivo principale del processo di valutazione è affrontare le vulnerabilità con la giusta priorità. Questo post esamina la natura delle vulnerabilità, come dovrebbero essere valutate e la loro applicazione alla sicurezza digitale OT.

Il National Institute of Standards and Technology (NIST) definisce una vulnerabilità come: "Una vulnerabilità nella logica computazionale (ad esempio, codice) di componenti software e hardware che, se sfruttata, provoca un impatto negativo sulla riservatezza, integrità o disponibilità. La correzione delle vulnerabilità in questo contesto di solito comporta modifiche al codice, ma può anche comportare modifiche alle specifiche o addirittura la deprecazione delle specifiche (ad esempio, la rimozione completa dei protocolli o delle funzioni interessate). "

Relazione tra inventario degli asset e vulnerabilità OT

La creazione di un inventario accurato, contestuale e dettagliato delle risorse è il primo passo per sviluppare un efficace processo di analisi delle vulnerabilità OT. L'inventario deve includere le date del software e della versione, le connessioni del dispositivo, lo stato e le informazioni di gestione (ad es. proprietario, ruolo operativo, funzione). Un inventario aggiornato e accurato riflette vari aspetti della salute delle risorse.

Dopo un inventario iniziale, le vulnerabilità possono essere collegate agli asset corrispondenti. Questa mappatura dovrebbe essere eseguita attraverso un processo automatizzato, in particolare con un numero elevato di risorse. Ciò richiede la creazione e l'utilizzo di un algoritmo in grado di associare dati di vulnerabilità semi-strutturati con risorse sulla rete.

Il database CVE (Common Vulnerabilities and Exposures) del NIST contiene attualmente circa 170.000 vulnerabilità IT e OT note, il che lo rende un'importante fonte di informazioni. Questo numero e la costante introduzione di nuove vulnerabilità sottolineano la portata e la necessità di automatizzare la loro identificazione.

Fonti per le definizioni di vulnerabilità

Quando si valutano le vulnerabilità, la gravità di ciascuna vulnerabilità viene quantificata utilizzando un indice di vulnerabilità. Un metodo standard per valutare le vulnerabilità è il Common Vulnerability Scoring System (CVSS) del NIST, uno standard di settore che valuta la facilità con cui una vulnerabilità può essere sfruttata e l'impatto che può avere su riservatezza, integrità e disponibilità. Questi tre fattori (noti anche come "CIA" - per "riservatezza, integrità e disponibilità") sono anche variabili che misurano la potenziale gravità di una minaccia.

Tuttavia, la semplice considerazione delle vulnerabilità comuni non è sufficiente per determinare quanto sia vulnerabile un determinato asset. Un'altra fonte di determinazione è la politica interna di un'azienda. Ad esempio, se una tale politica impone che le password di media complessità costituiscano una vulnerabilità, ciò deve essere preso in considerazione nel calcolo della vulnerabilità dell'asset. Le vulnerabilità specifiche dell'azienda sono il modo principale in cui i professionisti possono considerare la politica come un fattore nella valutazione delle vulnerabilità.

Gli standard di settore e le migliori pratiche sono anche importanti fonti di vulnerabilità che contribuiscono al rischio. Esempi di standard di settore sono ISA/IEC 62443 in Europa e NERC CIP in Nord America. Il mancato rispetto delle best practice può comportare problemi quali la configurazione della segmentazione consentita, la mancanza di agenti EDR e comunicazioni ingiustificate tra le aree IT e OT nella rete. Questi devono essere inseriti in un database globale delle vulnerabilità in cui possono essere modificati da esperti in materia man mano che gli standard del settore e le migliori pratiche si evolvono.

Valutazione delle vulnerabilità

I professionisti dovrebbero valutare le vulnerabilità specifiche dell'azienda utilizzando il sistema CVSS e collocarle sulla stessa scala delle vulnerabilità generali. Il database delle vulnerabilità dovrebbe essere sufficientemente flessibile da consentire al professionista di influenzare la valutazione delle vulnerabilità in base alle politiche aziendali.

Poiché qualsiasi stato dell'asset può rappresentare una vulnerabilità, è consigliabile distribuire un algoritmo che applichi i criteri aziendali a tutti gli stati dell'asset. La base per prendere le giuste decisioni sulla situazione della sicurezza è quindi l'uso coerente di un database delle vulnerabilità in cui tutte le vulnerabilità vengono valutate secondo un metodo standard. Ciò consente a un'organizzazione di dare priorità alla mitigazione in base al rischio.

Conclusione

Le vulnerabilità sono una delle quattro componenti di rischio e un fattore importante quando si analizza la posizione di sicurezza. Una sfida importante è la creazione e la gestione di un database delle vulnerabilità che può essere applicato alle risorse per prendere decisioni sull'assegnazione delle priorità alle azioni correttive.

Il modo migliore per valutare le vulnerabilità è rispettare il sistema CVSS. Di conseguenza, le organizzazioni evitano di dover rivalutare tutte le vulnerabilità comuni mantenendo gli standard del settore. A causa della portata e della portata di questo processo, è necessario automatizzarlo. In questo modo, un'organizzazione può condurre regolarmente una valutazione coerente e scalabile della posizione di sicurezza, rendendo possibile confrontare le valutazioni nel tempo e identificare le tendenze nella posizione di sicurezza.

Maggiori informazioni su Sophos.com

 

A proposito di OTORIO

OTORIO sviluppa e commercializza la prossima generazione di soluzioni di sicurezza OT e gestione del rischio digitale. L'azienda combina l'esperienza dei principali esperti di sicurezza informatica del governo con tecnologie di gestione del rischio digitale all'avanguardia per fornire il massimo livello di protezione per le infrastrutture critiche e le industrie manifatturiere.

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , , ,