Imparare a conoscere la gestione continua dell'esposizione alle minacce (CTEM): un framework per implementare una sicurezza proattiva

Nel 2022, in un contesto segnato dal crescente numero di violazioni dirette alle vulnerabilità note, Gartner ha introdotto il concetto di "Gestione continua dell'esposizione alle minacce" (Continuous Threat Exposure Management, CTEM) (fonte: Gartner, Implement a Continuous Threat Exposure Management [CTEM] Program, ottobre 2023). Le cinque fasi del CTEM possono aiutare le organizzazioni ad adottare un approccio strutturato e iterativo per ridurre la propria esposizione e migliorare il proprio profilo di sicurezza. 

Da allora, i responsabili della sicurezza di tutto il mondo hanno avviato progetti per adottare una soluzione di CTEM. Queste aziende si stanno evolvendo e passando da programmi per la gestione della vulnerabilità a programmi di gestione dell'esposizione. Di conseguenza, l'attenzione si sta spostando dalla semplice identificazione delle vulnerabilità e delle esposizioni comuni (Common Vulnerabilities and Exposure, CVE) allo sviluppo di una comprensione più estesa dei rischi aziendali, per un approccio più completo alla gestione delle vulnerabilità.

Oltre a questo articolo del blog, ti invitiamo a partecipare al nostro prossimo evento di lancio della soluzione di CTEM e a scaricare e condividere il nostro e-book sul CTEM, che aiuterà la tua organizzazione a migliorare il suo profilo di rischio.

Perché i programmi per la gestione delle vulnerabilità sono inefficienti

I programmi tradizionali per la gestione delle vulnerabilità non riescono a rispondere adeguatamente alle minacce dinamiche e complesse esistenti oggi. La maggior parte di essi non incorpora i requisiti aziendali specifici, né tiene conto dei controlli di mitigazione. Anche l'assegnazione delle priorità ai rischi risulta inadeguata, in quanto le analisi non sono trasparenti o personalizzabili.

Sono diversi i fattori che contribuiscono all'inadeguatezza degli approcci tradizionali, tra cui:

1. Espansione tecnologica: le soluzioni SaaS, i servizi di terze parti e le diverse infrastrutture cloud hanno allungato l'elenco delle correzioni consigliate, rendendo la gestione delle vulnerabilità sempre più complessa.

2. Definizioni ristrette: per un approccio più completo è essenziale estendere ciò che viene considerato una vulnerabilità e includere gli errori di configurazione e i difetti del codice.

3. Set di strumenti isolati: le aziende si affidano a dati su risorse, utenti, comportamenti e sistemi diversi per comprendere i rischi, ma questi set di dati risiedono in strumenti diversi e non integrati tra loro.

Le basi del CTEM

Il CTEM fornisce un approccio per rivoluzionare i programmi di VM. Secondo Gartner, "Entro il 2026, le organizzazioni che daranno la priorità agli investimenti nella sicurezza destinati a un programma di CTEM avranno tre volte meno probabilità di subire una violazione". (Gartner, ibid)

Il processo del CTEM

Il CTEM è un processo ciclico che comprende cinque fasi: definizione dell'ambito di applicazione, identificazione, definizione delle priorità, convalida e mobilitazione. Questo ciclo iterativo si adatta ai cambiamenti che si verificano nell'ambiente aziendale o nel panorama delle minacce, producendo risultati concreti che consentono ai team responsabili della sicurezza e dell'infrastruttura di mitigare efficacemente i rischi.

1. La definizione dell'ambito di applicazione prevede che l'azienda stabilisca quali saranno le risorse da includere nel programma di CTEM. Nelle aziende più grandi, la superficie di attacco effettiva è solitamente molto più estesa di quella coperta dai tradizionali programmi per la gestione delle vulnerabilità. Decidere cosa includere nell'ambito di applicazione richiede un'attenta considerazione del potenziale impatto aziendale, che includono i danni finanziari, le attività necessarie per il ripristino, la perdita di fiducia da parte dei consumatori e i danni ai partner commerciali.

2. L'identificazione va ben oltre le CVE e include gli errori di configurazione nei controlli di sicurezza e nelle risorse insieme ad altri punti deboli, come le compromissioni delle risorse. Un altro esempio è il comportamento degli utenti: capire quali individui sono inclini a cadere preda degli attacchi di phishing è fondamentale. Definire un ambito di applicazione ben mirato, considerando i rischi concreti e il potenziale impatto per il business, offre risultati decisamente superiori rispetto a considerare un numero maggiore di risorse e vulnerabilità.

3. La definizione delle priorità è l'aspetto più importante di un programma di CTEM efficace e si concentra sulla comprensione delle vulnerabilità che presentano il rischio maggiore per l'azienda. Il sistema di valutazione delle vulnerabilità comuni (Common Vulnerability Scoring System, CVSS) è stato un tentativo iniziale di classificare le vulnerabilità in base al rischio, ma presenta alcuni limiti. Una definizione efficace delle priorità richiede la sintesi di dati da varie fonti e la considerazione dei fattori di rischio e dei controlli di mitigazione specifici di una data organizzazione.

4. La convalida implica la simulazione o l'emulazione delle tecniche di attacco per comprendere il modo in cui gli aggressori potrebbero sfruttare le vulnerabilità esposte. Questa fase valuta la probabilità che un attacco vada a buon fine, stima i potenziali danni e valuta l'efficacia dei processi di risposta e correzione esistenti.

5. La mobilitazione consiste nel rispondere a quanto scoperto durante le fasi precedenti, concentrandosi sulla correzione e sui report. Sebbene l'automazione possa contribuire ad aumentare l'efficienza, l'intervento umano è spesso necessario per una bonifica efficace. Ridurre l'attrito nei processi di mitigazione del rischio attraverso il raggiungimento di una combinazione ottimale tra comunicazione umana e tecnologia è essenziale.

Il nostro e-book sul CTEM include ulteriori approfondimenti sulle sfide e le criticità di ciascuna di queste cinque fasi. 

Come creare un programma di CTEM efficace con Zscaler

Un quadro dettagliato del rischio richiede la correlazione di decine di fonti di dati, ma per un'analisi manuale di questa entità non basterebbero tutti i fogli di calcolo del mondo. 

Per rispondere a questa sfida, Zscaler è stata la prima ad applicare un data fabric per consentire un CTEM efficace. Zscaler Data Fabric for Security consente alle organizzazioni di aggregare e correlare i risultati di oltre 150 strumenti di sicurezza e sistemi aziendali, in modo da comprendere e gestire al meglio i rischi. Il nostro Data Fabric armonizza, deduplica, correla e arricchisce milioni di punti di dati, che spaziano dai risultati sulla sicurezza al contesto aziendale, e supporta diverse soluzioni di Zscaler.

Asset Exposure Management, che verrà lanciata il mese prossimo, e Unified Vulnerability Management (UVM) sono soluzioni che valutano e assegnano le priorità ai rischi legati alle risorse e al livello di esposizione.

Con la nostra nuova soluzione Asset Exposure Management puoi:

• Creare un inventario completo e accurato delle risorse: identifica tutte le risorse attraverso decine di sistemi sorgente per ottenere un inventario olistico e accurato.
• Identificazione e correzione delle lacune nella copertura: correla i dettagli delle risorse per individuare errori di configurazione e controlli mancanti e garantire la conformità.
• Mitigare il rischio: attiva le policy di mitigazione del rischio, assegna e monitora i flussi di lavoro e aggiorna automaticamente il CMDB. 

Con la nostra soluzione Unified Vulnerability Management, puoi

• Assegnare la priorità in base al rischio: identifica le esposizioni più pericolose considerando il contesto specifico dell'ambiente aziendale, i controlli di mitigazione in atto e l'intelligence disponibile sulle minacce. 
• Creare report dinamici e personalizzati: approfitta di pannelli di controllo e report dinamici che catturano il profilo di rischio e della possibilità di creare rapidamente modelli personalizzati con una procedura guidata e intuitiva tramite widget per rappresentare efficacemente qualsiasi punto di dati. I report sono sempre accurati perché si basano su dati costantemente aggiornati.
• Automatizzare i flussi di lavoro: semplifica le attività di correzione con l'assegnazione e il monitoraggio automatizzati dei ticket, e approfitta della possibilità di personalizzare i processi per adattarli al modo di lavorare del team. Raggruppa gli elementi di lavoro in base a una logica facilmente modificabile e chiudi o riapri automaticamente i ticket secondo necessità per mantenere una visione accurata dello stato della correzione.

 Potenziare il CTEM con Zero Trust Exchange

Per i clienti di Zscaler, le soluzioni di CTEM dispongono di ulteriori funzionalità perché attingono dall'intelligence di Zscaler Zero Trust Exchange, il security cloud inline basato sull'AI più grande del mondo. Questa integrazione consente di migliorare la definizione delle priorità dei rischi e fornisce raccomandazioni strategiche, creando un ciclo di feedback intelligente che permette alle aziende di ridurre costantemente i rischi.

Conclusione

Il CTEM rappresenta un significativo progresso nella gestione delle vulnerabilità, in quanto sposta l'attenzione dalle vulnerabilità isolate alla gestione completa dei rischi. Con le soluzioni di CTEM e Zero Trust Exchange di Zscaler, le organizzazioni possono creare un solido programma di CTEM in grado di adattarsi alle minacce in continua evoluzione e ai cambiamenti aziendali e garantire un futuro brillante al proprio business. 

Per saperne di più sulla nostra soluzione in prossima uscita, Asset Exposure Management, non perderti il nostro Evento di lancio virtuale. Puoi vedere la nostra soluzione UVM in azione nel nostro Video di presentazione o richiedere una dimostrazione personalizzata. Per ulteriori dettagli sulla CTEM e scoprire come Zscaler può aiutarti, consulta il nostro e-book sul CTEM.