Condividi tramite

Accelerare la mitigazione della vulnerabilità (Secure Future Initiative)

Nome pilastro: Accelerare la risposta e la correzione
Nome modello: Accelerare la mitigazione della vulnerabilità

Contesto e problema

Le vulnerabilità sono una realtà inevitabile in ambienti digitali complessi. Le organizzazioni devono rispondere rapidamente e sistematicamente per ridurre i rischi, ma molte lottano con il coordinamento lento, il triage manuale e i flussi di lavoro di correzione non uniformi.

I modelli di applicazione di patch tradizionali e le strutture di reporting legacy spesso ritardano le risposte, soprattutto quando i team IT e della sicurezza operano in silo. Nel frattempo, i malintenzionati sfruttano i sistemi non aggiornati e le configurazioni errate per l'escalation dei privilegi, il movimento laterale o l'esfiltrazione dei dati.

Soluzione

Per affrontare queste sfide, Microsoft ha implementato un programma completo di gestione delle vulnerabilità incentrato sull'automazione e sulla divulgazione più rapida. Questi sforzi sono stati eseguiti come parte del pilastro accelerare la risposta e la correzione dell'iniziativa SFI (Secure Future Initiative). In generale, questo programma supporta il rilevamento anticipato, la definizione delle priorità coerenti e il tempo accelerato per attenuare (TTM) ed è particolarmente efficace per i problemi di gravità elevata. Infatti, ha consentito a Microsoft di espandere l'ambito del programma riducendo il TTM per il 73% delle vulnerabilità.

I componenti chiave dell'approccio di Microsoft includono:

  • Automazione del rilevamento e della valutazione delle vulnerabilità tramite Microsoft Defender Vulnerability Management e gli strumenti di intelligenza artificiale interni

  • Creazione di divulgazioni di vulnerabilità leggibili dal computer tramite file CSAF (Common Security Advisory Framework)

  • Pubblicazione di CVE per le vulnerabilità del servizio cloud più rapidamente, inclusi i casi in cui non è necessaria alcuna patch del cliente

  • Invio di avvisi mirati tramite Azure Service Health e il portale di amministrazione di Microsoft 365, con indicazioni utili fornite a livello di tenant o sottoscrizione.

  • Centralizzazione della gestione degli eventi imprevisti, dell'engagement dei clienti e della divulgazione tramite flussi di lavoro tra aziende.

  • Invio di notifiche sulle minacce dello stato nazionale (NSN) per avvisare le organizzazioni interessate di attacchi mirati o riusciti

Indicazioni

Le organizzazioni possono adottare un modello simile usando le procedure praticabili seguenti:

Caso d'uso Azione consigliata Conto risorse
Stabilire un programma di gestione delle vulnerabilità affidabile
  • Nomina i proprietari responsabili del rilevamento, della definizione delle priorità e della correzione
  • Garantire una coerenza della visibilità degli asset e delle linee di base di configurazione
  • Allineare la sicurezza e i flussi di lavoro IT dall'individuazione tramite la risoluzione
 Guida all'idoneità agli eventi imprevisti
Automatizzare il rilevamento e la valutazione
  • Usare strumenti come Microsoft Defender Vulnerability Management per analizzare i sistemi e classificare in ordine di priorità i CVEs
  • Integrare con i feed di intelligence sulle minacce per contrassegnare le vulnerabilità sfruttate attivamente
  • Usare l'assegnazione dei punteggi basata sui rischi per concentrarsi sulle vulnerabilità più importanti
 Gestione delle vulnerabilità di Microsoft Defender
Standardizzare e accelerare la comunicazione
  • Pubblicare CVE anche quando l'azione del cliente non è necessaria, poiché la trasparenza crea attendibilità
  • Usare i file CSAF e l'API aggiornamenti della sicurezza di Microsoft per abilitare l'utilizzo da computer a computer
  • Creare flussi di lavoro di avvisi in Azure Service Health e nel centro di amministrazione di Microsoft 365 per raggiungere i gestori degli incidenti
 Centro risposta sicurezza Microsoft
Creare visibilità e responsabilità
  • Monitorare e segnalare il tempo necessario per attenuare (TTM), le vulnerabilità di invecchiamento e la copertura delle patch
  • Progettare dashboard per tenere traccia dello stato di avanzamento e contrassegnare i ritardi
  • Implementare procedure di escalation interne per le vulnerabilità ad alta priorità
 Gestire gli eventi imprevisti in Microsoft Defender
Prepararsi per l'attività dello stato nazionale
  • Comprendere il programma NSN di Microsoft e prepararsi a rispondere se viene inviata una notifica
  • Configurare il routing degli avvisi in modo che i team di sicurezza ricevano immediatamente informazioni sulle minacce.
  • Esaminare regolarmente le linee guida del gruppo di sicurezza di rete nei portali Microsoft e nei report sulla difesa digitale
 Report sulle minacce dello Stato nazionale
Migliorare continuamente
  • Usare rapporti di red teaming, revisioni post-incidente e feedback dei clienti per perfezionare i processi di risposta
  • Cercare opportunità per automatizzare i flussi di lavoro, ridurre gli handoff e migliorare la destinazione delle notifiche
 Analizzare e rispondere usando Microsoft Defender XDR

Risultati

Vantaggi

  • Maggiore consapevolezza delle vulnerabilità del cloud tramite pubblicazioni CVE espanse e avvisi relativi al fatto che sia necessaria una correzione del cliente

  • Maggiore trasparenza e fiducia tramite dati CVE arricchiti (assegnazione di tag CWE/CPE) e recapito automatizzato degli avvisi, insieme alla divulgazione di vulnerabilità espansa

  • Comunicazioni più veloci e gestibili tramite i portali di prodotti rivolti ai clienti

  • Sequenze temporali di mitigazione più veloci tramite l'automazione e l'intelligenza artificiale che semplificano il ciclo di vita della vulnerabilità a patch

  • Difesa proattiva che utilizza intelligence sulle minacce migliorata per supportare il rilevamento precoce e la risposta prioritaria.

Compromessi

  • Definizione delle priorità della risposta alla vulnerabilità in base a potenziale impatto, attività delle minacce e azione richiesta del cliente

  • Definire l'ambito degli investimenti nell'analisi automatizzata, nella classificazione e nell'orchestrazione del flusso di lavoro per risolvere le vulnerabilità più gravi come la priorità più alta

  • Mantenere concentrati i fattori umani e organizzativi durante la riprogettazione dei processi che unificano i team di sicurezza, IT e comunicazioni

Fattori chiave di successo

Tenere traccia degli indicatori KPI seguenti per misurare lo stato di avanzamento:

  • Tempo medio per attenuare le vulnerabilità con gravità elevata (TTM)

  • Percentuale di CVE risolte all'interno del contratto di servizio

  • Stato della configurazione degli avvisi tra le sottoscrizioni del cloud

Riassunto

Le organizzazioni possono migliorare notevolmente la velocità con cui rispondono alle vulnerabilità note. Grazie all'automazione, alle comunicazioni arricchite e ai flussi di lavoro integrati delle vulnerabilità, i team possono limitare l'esposizione, chiudere i gap noti più velocemente e creare la resilienza necessaria per rimanere al passo con le minacce attive.

Iniziare subito ad accelerare la risposta alla vulnerabilità, prima che gli utenti malintenzionati sfruttano il ritardo.

  • Last updated on