Articles

6 principali strumenti di gestione delle vulnerabilità e come aiutano a dare priorità alle minacce

La scienza e la tecnologia alla base della gestione delle vulnerabilità sono cambiate molto in breve tempo. Quando originariamente distribuito, società di gestione delle vulnerabilità agito quasi come fornitori di antivirus in quanto hanno cercato di ottenere i loro scanner per scoprire il maggior numero di potenziali minacce possibili. Avrebbero anche vantarsi di essere in grado di rilevare più vulnerabilità che si nascondono nei banchi di prova rispetto ai loro concorrenti.

Il problema con questa logica è che a differenza di virus e altri tipi di malware, le vulnerabilità sono solo potenzialmente un problema. Affinché una vulnerabilità sia veramente pericolosa, deve essere accessibile a un utente malintenzionato e relativamente facile da sfruttare. Quindi, una vulnerabilità che si trova su una risorsa interna non è molto di una potenziale minaccia, né è uno che richiede componenti aggiuntivi come l’accesso sicuro ad altri servizi di rete. Sapere cosa è veramente pericoloso è importante in modo da poter pianificare cosa risolvere ora e cosa rimandare a più tardi o addirittura ignorare.

È anche utile classificare le vulnerabilità in base ai loro potenziali impatti nel caso in cui vengano sfruttate. Ciò include la potenziale gravità dell’exploit come la cancellazione di un intero database rispetto al blocco di un singolo utente e il valore delle risorse interessate. Avere il tuo sito web di fronte al pubblico deturpato è imbarazzante, ma avere dati riservati rubati può essere fondamentale.

I migliori programmi di gestione delle vulnerabilità dovrebbero aggiungere contesto alle scansioni. Alcuni offrono anche correzioni automatiche, formazione o assistenza preventiva utilizzando l’intelligenza artificiale (AI). È importante anche comprendere gli standard di conformità, i mandati legali e le best practice applicabili all’organizzazione che avvia la scansione. Con potenzialmente migliaia di vulnerabilità nascoste in qualsiasi grande rete aziendale, è l’unico modo in cui le correzioni possono essere assegnate in modo affidabile.

I seguenti sei prodotti spingono la busta per almeno un aspetto della gestione delle vulnerabilità.

Kenna Security Vulnerability Management

La piattaforma Kenna Security Vulnerability Management è stata una delle prime a incorporare dati sulle minacce in tempo reale nella gestione delle vulnerabilità diversi anni fa. Da allora, la piattaforma si è espansa per includere più feed di minacce, incluso uno che l’azienda gestisce in modo specifico in base alle reti dei suoi clienti. Ha anche aggiunto il supporto per più scanner di vulnerabilità e oggi funziona con quasi tutti sul mercato.

Kenna non esegue alcuna scansione. Invece, fornisce programmi di connettore che consentono di ingerire dati da quasi tutti gli scanner di vulnerabilità, compresi quelli realizzati da Tripwire, Qualys, McAfee e CheckMarx. La piattaforma stessa viene distribuita come servizio, con i clienti che accedono a un portale cloud per controllare le loro informazioni e dare a Kenna il permesso di conoscere la rete che sta proteggendo.

L’idea alla base di Kenna è che raccoglie i numerosi avvisi di vulnerabilità inviati dagli scanner e quindi li confronta con i dati delle minacce in tempo reale. Può collegare una vulnerabilità scoperta a una campagna di minacce attiva che la sta sfruttando e dare la priorità a una soluzione rapida. Qualsiasi vulnerabilità sfruttata nel mondo viene automaticamente elevata in priorità, quindi i difensori possono risolvere i problemi più pericolosi prima che gli aggressori li scoprano e li sfruttino.

La piattaforma fa un buon lavoro di spiegare perché esistono vulnerabilità in una rete protetta e fornisce suggerimenti su come risolverli. Può dare la priorità ai difetti scoperti in base alle risorse che potrebbero influenzare e alla gravità del problema. Questa è una buona caratteristica da avere, ma la priorità delle vulnerabilità basate su campagne di minacce attive è l’asso nella manica che rende la piattaforma di Kenna una delle migliori per evidenziare problemi critici che devono assolutamente essere risolti prima.

Flexera Vulnerability Manager

Mentre molti gestori di vulnerabilità si concentrano su applicazioni e codice che una società si sviluppa, la piattaforma Flexera è più interessato a programmi software di terze parti che quasi ogni azienda utilizza per condurre affari. Nella maggior parte dei casi, la correzione di una vulnerabilità nel software acquistato o concesso in licenza viene eseguita applicando una patch. Per un’azienda, che può diventare un affare enorme, soprattutto se devono prendere migliaia di sistemi o servizi critici offline per applicare la patch. E ‘ anche possibile che a causa di come strettamente software è integrato in questi giorni, che risolvere un problema potrebbe creare un bel paio di altri.

Il software Flexera Software Vulnerability Management aiuta a risolvere questo problema creando un processo di gestione delle patch sicuro in un’intera azienda. Può trovare vulnerabilità nei software di terze parti e consigliare gli amministratori sulla gravità della potenziale minaccia. Ci può essere poco da guadagnare nel mettere fuori una patch massiccia a migliaia di utenti per correggere una vulnerabilità minore, o per patchare una caratteristica che non è installato o utilizzato dall’organizzazione protetta. Flexera può aiutare a prendere tali decisioni fornendo contesto e quindi distribuendo la patch quando diventa necessario.

Può anche essere utilizzato per ancorare un sistema di gestione delle patch automatizzato correggendo le vulnerabilità quando necessario in modi che non danneggiano le operazioni. Infine, può generare report personalizzati sulla vulnerabilità e la gestione delle patch e anche su come un’organizzazione sta rispettando i framework, le leggi e le best practice pertinenti.

Tenable.io

Tenable è ben noto nel settore per la creazione di dashboard di sicurezza per qualsiasi ambiente. Portano la stessa tecnologia diagnostica al loro programma di gestione delle vulnerabilità, Tenable.io. Questa piattaforma è gestita nel cloud, quindi ha un ingombro ridotto all’interno di un’organizzazione protetta. Utilizza una combinazione di agenti di scansione attivi, monitoraggio passivo e connettori cloud per la ricerca di vulnerabilità. Tenable.io quindi applica l’apprendimento automatico, la scienza dei dati e l’IA per prevedere quali correzioni devono essere apportate prima che un utente malintenzionato possa sfruttarle.

Uno dei maggiori punti di forza di Tenable.io è il fatto che utilizza sia la dashboard che i suoi report personalizzati per mostrare le vulnerabilità in un modo che chiunque può capire. Se qualcuno è uno sviluppatore, parte del team operativo o un membro della sicurezza IT, può facilmente comprendere gli avvisi generati da Tenable.io. In un certo senso, Tenable.io fornisce la gestione delle vulnerabilità a tutti senza formazione specializzata o competenze richieste.

ZeroNorth

Includere ZeroNorth in una carrellata di programmi di gestione delle vulnerabilità potrebbe sembrare un po ‘ strano, dal momento che la piattaforma in realtà non esegue la scansione di nulla. Invece, è stato progettato per consolidare altri scanner di vulnerabilità e contribuire a compensare le loro carenze. Dato il numero impossibile di vulnerabilità che la maggior parte delle grandi aziende deve affrontare, è uno strumento che dimostrerà rapidamente la sua utilità.

ZeroNorth viene distribuito come servizio, con gli utenti che accedono a una piattaforma web sicura per monitorare il proprio ambiente. Collegare vari scanner nella nostra rete di test alla piattaforma ZeroNorth è stato facile, e siamo stati operativi in pochissimo tempo. Naturalmente, è necessario disporre di scanner di vulnerabilità nel proprio ambiente per iniziare a ottenere dati con ZeroNorth, ma può gestire i dati provenienti da qualsiasi parte della rete, dall’ambiente di sviluppo alla produzione. Se non si dispone di scanner, la piattaforma offre un modo semplice per aggiungere scanner open source o commerciali al proprio ambiente, che vengono quindi collegati automaticamente alla piattaforma.

La piattaforma ZeroNorth fa molto lavoro consolidando e analizzando i dati provenienti dagli scanner. Una bella caratteristica è che può mostrare come le vulnerabilità sono correlate e persino dipendenti l’una dall’altra. Ad esempio, mentre una scansione raw potrebbe rivelare 20 nuove vulnerabilità, il più delle volte non ti dirà che 19 di esse esistono a causa del primo difetto. Lo farà ZeroNorth. Quindi, fissando una sola vulnerabilità, è possibile rimuovere altri 20 dalla rete. Nella nostra rete di test, ogni vulnerabilità che ZeroNorth ha raccomandato di correggere ha eliminato una media di altre 14.

Fa anche un ottimo lavoro nel tracciare chi ha creato risorse vulnerabili e chi le sta gestendo. Può, naturalmente, segnalare tutti i suoi risultati agli amministratori e alla sua console centrale, ma può anche inviare avvisi e correzioni consigliate ai proprietari delle applicazioni. In questo modo, le persone più responsabili di un’applicazione vulnerabile, e probabilmente le più interessate a correggere eventuali problemi, possono immediatamente iniziare a lavorare su una correzione.

Fa anche un bel lavoro di monitoraggio degli scanner di vulnerabilità stessi. Ad esempio, ti dirà se a uno scanner manca una vulnerabilità critica che altri stanno scoprendo. In questo modo, si può dire se il vostro investimento in scanner di vulnerabilità specifici sta dando i suoi frutti. Come tale, ZeroNorth sarebbe un’aggiunta di grande valore per qualsiasi organizzazione cercando di domare il diluvio di avvisi sprawl scanner o migliorare la loro precisione di scansione sia con nuove politiche o strumenti.

ThreadFix

Una delle piattaforme di gestione delle vulnerabilità più note, ThreadFix centralizza i dati di test da una varietà di fonti in un unico luogo e con un cruscotto. Può acquisire i risultati della scansione in formati come SAST, DAST, IAST e Software Composition Analysis (SCA).

Non solo può raccogliere e raccogliere i risultati, ma anche li rompe e fornisce aiuto con l’analisi delle vulnerabilità e la priorità correzioni. Lo fa in modi avanzati che sono rari per i gestori di vulnerabilità. Ad esempio, può de-ingannare e correlare tra vulnerabilità a livello di applicazione e debolezze di sicurezza che sono radicate nell’infrastruttura stessa. Essere in grado di separare distinzioni critiche del genere può aiutare i team IT a personalizzare specifiche correzioni di vulnerabilità senza interrompere nulla di nuovo nel processo.

Oltre a bilanciare e coordinare i risultati di più scanner di vulnerabilità commerciali e open source, ThreadFix può anche aiutare ad automatizzare il processo di scansione e correzione delle vulnerabilità semplificando il flusso di back-end tra i team di sicurezza e di sviluppo. Il fatto che possa agire in tempo reale lo rende uno strumento perfetto da implementare in un ambiente DevSecOps, in cui gli sviluppatori possono assumersi la responsabilità di creare codice sicuro fin dall’inizio. ThreadFix può trovare le vulnerabilità mentre vengono generate e aiutare gli sviluppatori a risolverle prima che arrivino ovunque vicino a un ambiente di produzione.

ThreadFix può anche quantificare le attività di risoluzione delle vulnerabilità e il tempo necessario per correggere gli errori rilevati. Armati di questi dati, i team di sicurezza possono avere una migliore idea della loro vera vulnerabilità di Windows, mentre la gestione può vedere se e come la situazione sta migliorando nel tempo.

Infection Monkey

Il programma Infection Monkey di Guardicore potrebbe essere considerato un’altra scelta strana per una carrellata di vulnerabilità, ma il livello di dettaglio che fornisce riguardo a falle e vulnerabilità di sicurezza lo rende prezioso per quasi tutte le organizzazioni. È anche gratuito, con codice sorgente modificabile, quindi non hai nulla da perdere provandolo.

Infection Monkey è un ottimo strumento perché non solo identifica le vulnerabilità, ma mostra esattamente come un utente malintenzionato potrebbe potenzialmente sfruttarle. È possibile utilizzare il programma per verificare la presenza di falle di sicurezza in ambienti Windows, Linux, OpenStack, vSphere, Amazon Web Services, Azure, OpenStack e Google Cloud Platform. Poiché viene fornito anche il codice sorgente basato su Python, gli utenti possono configurarlo per funzionare anche in qualsiasi ambiente proprietario o unico.

Il programma utilizza attacchi e tecniche reali che vengono costantemente aggiornati e aggiornati da Guardicore. In realtà, non è tecnicamente una simulazione perché in realtà sta attaccando una rete. Semplicemente non ha un carico utile dannoso. Se gli strumenti di sicurezza esistenti possono fermare l’infezione Scimmia, tanto meglio, perché significa che qualsiasi vulnerabilità che si nasconde dietro quella difesa potrebbe essere considerata una priorità bassa.

Il valore reale viene quando Infezione Scimmia rompe con successo in, che può richiedere da pochi minuti a molte ore a seconda della complessità della rete attaccata. Una volta trovato un punto debole e lo sfrutta, il programma registra ogni passo che ha preso lungo la strada, comprese le vulnerabilità che ha sfruttato e quali difese sono state aggirate o ingannate.

Se stai fissando un elenco di migliaia di vulnerabilità, usa Infection Monkey per scoprire quali sono sfruttabili dagli aggressori. Poi patch quelli prima e distribuire la scimmia ancora una volta per controllare il vostro lavoro.