Correzione delle Vulnerabilità: una Guida Pratica per Risolvere i Problemi Critici

Triage: Non Tutto Richiede una Correzione

Non tutte le vulnerabilità richiedono un'azione immediata. Le vulnerabilità informative aumentano la consapevolezza, ma non richiedono una correzione. Le vulnerabilità a bassa severità in sistemi non critici possono attendere il prossimo ciclo di manutenzione. Le vulnerabilità con efficaci controlli compensativi possono essere accettate a livello di rischio con la dovuta documentazione. Concentrate le energie di correzione sulle vulnerabilità che rappresentano un rischio reale e sfruttabile per le vostre risorse critiche.

Tempistiche Basate sulla Severità

Definite le tempistiche di correzione in base alla severità: Critica: iniziare la correzione entro 24 ore, risolvere entro 7 giorni. Alta: iniziare entro 48 ore, risolvere entro 14 giorni. Media: iniziare entro 7 giorni, risolvere entro 30 giorni. Bassa: risolvere entro 90 giorni o al prossimo ciclo di manutenzione. Documentate queste tempistiche nella vostra politica di sicurezza e applicatele attraverso il vostro sistema di issue tracking.

Responsabilità della Correzione

Ogni vulnerabilità deve avere un responsabile umano, qualcuno che sia responsabile della sua risoluzione. I team di sicurezza si occupano del triage e dell'assegnazione. I team di engineering si occupano della correzione. Il team di sicurezza non dovrebbe scrivere patch; il team di engineering non dovrebbe decidere la severità. Una chiara separazione dei ruoli previene sia i colli di bottiglia che lo scaricabarile.

Verifica della Correzione

Una vulnerabilità "corretta" senza prove di verifica è un'ipotesi, non un fatto. Eseguite una nuova scansione dopo la correzione per confermare che la vulnerabilità sia stata risolta. Questa verifica è ciò che richiedono i framework di conformità e ciò che riduce realmente il rischio. Penetrify include il retesting in ogni engagement, quindi la verifica della correzione non richiede un engagement separato o costi aggiuntivi.

Metriche di Correzione

Monitorate il tempo medio di correzione (MTTR) per livello di severità, la percentuale di vulnerabilità corrette entro le tempistiche previste dalla policy, il tasso di superamento della nuova scansione (percentuale di correzioni confermate alla prima verifica) e il tasso di ricorrenza delle vulnerabilità (la stessa vulnerabilità che riappare nelle valutazioni successive). La diminuzione dell'MTTR e del tasso di ricorrenza dimostrano la maturità del programma.

In Sintesi

Trovare vulnerabilità senza correggerle è mero "security theatre". Una correzione efficace richiede priorità, responsabilità, tempistiche, verifica e metriche. Il retesting integrato di Penetrify chiude il ciclo dalla scoperta alla correzione verificata.

Domande Frequenti

Come posso dare priorità alla correzione quando abbiamo troppe vulnerabilità?

Concentratevi sulle vulnerabilità con punteggi EPSS elevati (probabilità di essere sfruttate), in risorse critiche/esposte a Internet, senza controlli compensativi. Utilizzate la prioritizzazione contestuale, non solo il CVSS, per identificare il 10-15% delle vulnerabilità che rappresentano l'80% del rischio effettivo.

Ogni vulnerabilità deve essere corretta?

No. Le vulnerabilità a basso rischio in sistemi non critici possono essere accettate a livello di rischio con la documentazione. Le vulnerabilità informative aumentano la consapevolezza senza richiedere una correzione. Concentratevi sulle vulnerabilità realmente sfruttabili in risorse critiche.