A seguito della trasformazione digitale e dei problemi di cyber security che ne sono derivati, si parla sempre di più di completa visibilità sugli asset. Un concetto fondante da cui dipende la fattiva capacità di mettere in sicurezza tutto quello che un tempo si trovava all'interno del dissolto perimetro aziendale, e che oggi per forza di cose è disperso all'esterno del presidio fisso, fra postazioni mobili, servizi cloud e applicazioni SaaS.

La situazione è complessa perché se un tempo inventariare gli asset aziendali era un'operazione semplice, oggi fra IoT, dispositivi mobili e cloud, perdere le tracce di qualcosa è fin troppo semplice. E non si può proteggere quello che non si è coscienti di avere. Inoltre, limitarsi a fare l'inventario non ha più la stessa utilità di un tempo. In chiave cyber security, non basta sapere che un asset esiste, bisogna sapere se è esposto, quali rischi comporta per l'azienda in ogni momento e come rimediare alla superficie di rischio che introduce.

Abbiamo parlato di questo delicato argomento con Marco Rottigni, CTSO Emea di Qualys, azienda leader di soluzioni IT di sicurezza basate sul cloud che ha da poco annunciato CyberSecurity Asset Management (CSAM), un'applicazione che aiuta i team IT a identificare e rispondere alle vulnerabilità presenti nei loro sistemi di sicurezza e compliance.
Marco Rottigni, CTSO Emea di Qualys

L'inventario non è fine a sé stesso

Rottigni sottolinea che l'inventario digitale rappresenta una pietra miliare di qualsiasi processo aziendale, non soltanto e necessariamente dei processi di sicurezza. Disporre di un completo inventario digitale significa avere la conoscenza di quello che si ha, che è il presupposto di partenza per metterlo in sicurezza, per valutarne la postura di security e per dare priorità a eventuali azioni correttive.

Con CyberSecurity Asset Management Qualys ha voluto dare una connotazione di sicurezza all'inventario digitale per trasformare questa attività in un qualcosa propedeutico a ottenere una maggiore efficacia nel programma di security. CSAM, al contrario dei classici ITAM (Information Technology Asset Management), risponde all'esigenza di censire quello che si è coscienti di avere, ma permette al contempo di scoprire quello che non si sa di avere, e di unire al processo inventariale la valutazione della criticità di tutti gli asset e dell'impatto sul business.

Proprio questo aspetto della criticità è il cuore dell'innovazione: valutare la criticità di un asset significa renderlo parte di un processo di innovazione, di valutazione e di arricchimento del contesto. Sapere che un determinato asset si trova all'interno di un perimetro consente funzionalità di normalizzazione e di categorizzazione automatica, fornendo ai gestori un contesto che supporta molto meglio le decisioni strategiche in termini di approvazione e inclusione degli asset in taluni perimetri.

Questo a sua volta si traduce in funzionalità tecniche della piattaforma. Poter etichettare in maniera più o meno automatizzata un determinato asset permette di inserirlo in alcuni perimetri con livelli di criticità e di rischio definiti dall'azienda stessa, secondo parametri sia soggettivi che oggettivi.    
Operativamente parlando, l'inventario degli asset avviene con un forte bilanciamento fra automatismo e manualità, di modo da includere tutti gli asset, conosciuti e sconosciuti dall'azienda stessa. Oltre tutto, a questo lavoro inventariale del CyberSecurity Asset Management possono contribuire anche altre piattaforme presenti in azienda come CMDB (Change Management DataBase), grazie al supporto della sincronizzazione bidirezionale.

Che cosa si ottiene con l'inventario

Una volta completato l'inventario si possono attivare processi utili ai fini della security posture. Per esempio, è possibile allertare quando un software incluso in una lista di prodotti non approvati dall'azienda viene usato su un determinato computer. L'alert può essere messo in relazione con la criticità della risorsa interessata, ottenendo un'osservabilità e un aggiornamento puntuale sulla situazione.

Il tema della visibilità si evolve quindi verso quello dell'osservabilità, ossia nella possibilità di disporre di informazioni relative agli asset inventariati, per poter rispondere a precise esigenze. Significa ottenere una capacità strategica (un'informazione che descrive uno stato dell'inventario digitale), una capacità tattica (capire il contesto di una determinata situazione), una capacità operativa (accedere a informazioni capillari di fondamentale importanza per gestire situazioni critiche).

Da CSAM a una piattaforma di security a 360 gradi

Tradotto nella pratica, fare l'inventario con CSAM consiste nella raccolta di informazioni che possono automatizzare l'esame della superficie vulnerabile, arricchire il contesto (un endpoint è già o meno compromesso? La vulnerabilità è compromissibile? Eccetera) e stabilire delle priorità di intervento. Intervento che può essere automatizzato (un asset ha una vulnerabilità per la quale è disponibile una patch, la correzione viene installata) oppure manuale, secondo regole stabilite dall'amministratore delle security (prima dell’installazione della patch occorre una conferma, oppure l’installazione stessa viene fatta manualmente).
La caratteristica apicale di CSAM è che non si tratta di un prodotto fine a sé stesso. Tutto quello descritto finora è la base fondante di una piattaforma che sfrutta i dati di telemetria collezionati con CSAM. Li normalizza, li cataloga automaticamente, li indicizza per consentire un recupero celere delle informazioni e li arricchisce di contesto, per consentire a oltre 20 applicazioni di fruire dei dati stessi.

Per esempio, il Patch Management sfrutterà i dati per individuare le patch installate e identificare quelle mancanti, il Vulnerability Management rileverà la superficie vulnerabile presente nell'infrastruttura o nelle applicazioni. EDR (Endpoint Detection and Response) rileverà le compromissioni o i cyber attacchi e attiverà le azioni di risposta attiva, come per esempio l'isolamento dell'endpoint.

Un vantaggio strategico

È l'integrazione di tutte queste applicazioni a dare un vantaggio strategico: permette di condurre investigazioni rapide e multivettore su tutte le superfici vulnerabili esposte in un dato momento, anche alla luce delle policy di compliance in vigore (tutte informazioni note grazie a CSAM). Dato che i tempi di reazione in caso di incidente informatico sono sempre più importanti, con una soluzione di questo tipo si riducono notevolmente i tempi di risposta ottenendo maggiore efficienza.
Con la pandemia e la trasformazione digitale accelerata, questa opportunità offerta da Qualys si rivela importante anche perché l’azienda offre un range di sensori che il cliente può distribuire a piacere e senza limiti di licenza per coprire il suo intero panorama digitale.

La sostanza è la visione moderna della piattaforma unica con cui si gestisce un'ampia parte della gestione IT, senza bisogno di usare strumenti differenti che penalizzano la visibilità. Con il vantaggio di essere una piattaforma SaaS altamente scalabile sia verso l'alto sia verso il basso, senza limitazioni.