Diventa Autore per CoreTech | Scopri di più





Metriche di sicurezza informatica per le applicazioni Web

03/08/21 CoreTech Blog

Le piccole e medie imprese sono in grado di gestire la loro sicurezza delle informazioni, inclusa la sicurezza delle applicazioni Web, in modo molto diretto. Il numero di risorse, vulnerabilità e incidenti è abbastanza basso da poter fornire al responsabile della sicurezza una visione chiara della posizione di sicurezza IT. Tuttavia, con la crescita della tua attività e l'espansione del tuo team di sicurezza, i tuoi metodi di gestione della sicurezza dovranno fare sempre più affidamento su metriche / KPI di sicurezza informatica.

Man mano che la tua azienda diventa un'azienda o una società, la sicurezza informatica sarà fino al livello del consiglio di amministrazione. I tuoi leader aziendali includeranno molto probabilmente non solo un CIO e / o CSO, ma anche un CISO (Chief Information Security Officer) che sarà responsabile dell'intero programma di sicurezza informatica. Il loro ruolo sarà focalizzato sul processo decisionale relativo alla valutazione del rischio e alla gestione del rischio e non saranno in grado di entrare nei dettagli delle tecnologie dell'informazione, ad esempio i dati di gestione delle vulnerabilità web. È qui che un efficace programma di metriche di sicurezza diventa la chiave per la sicurezza dell'organizzazione: diventa il mezzo di comunicazione tra un esperto di sicurezza informatica, l'intero team IT e un esperto aziendale.

Inizia a pensare alle metriche

Se sei responsabile della sicurezza delle applicazioni Web in una piccola impresa, è una buona idea iniziare a pensare alle metriche di sicurezza informatica per le applicazioni Web all'inizio e non solo quando ti viene chiesto di fornirle a coloro che sono nella sala riunioni. Alcune di queste metriche, sfortunatamente, richiedono molto di più della semplice stampa di un report di gestione da un'analisi delle vulnerabilità.

Ecco le metriche di sicurezza informatica più tipiche relative alla sicurezza delle applicazioni Web che potrebbe essere necessario fornire alla tua suite C. Si noti che tutte queste metriche devono essere monitorate sia come valori più recenti che come tendenze nel tempo.

Numero totale di vulnerabilità

Il più ovvio e più semplice da ottenere metrica per la sicurezza delle applicazioni Web è il numero totale di vulnerabilità trovate, sia utilizzando la scansione automatizzata delle vulnerabilità che ulteriori test di penetrazione manuale. Tuttavia, poiché le conseguenze delle vulnerabilità web possono essere molto diverse, è utile suddividerle in classi di gravità.

I meccanismi di reporting sono molto utili per fornire questa metrica a causa delle funzionalità automatiche di valutazione delle vulnerabilità. Lo strumento classifica automaticamente le vulnerabilità in base alla loro gravità in base al potenziale impatto, alla facilità di sfruttamento e altro ancora.

Tuttavia, il CISO potrebbe volere che le vulnerabilità siano classificate in base all'impatto aziendale dell'asset Web, ad esempio una vulnerabilità importante in un sito di marketing secondario potrebbe avere un impatto molto minore rispetto a una vulnerabilità minore in un sistema finanziario principale.

Vulnerabilità ricorrenti

Il numero di vulnerabilità ricorrenti è una misura molto importante dell'efficienza del processo di correzione e della qualità della formazione degli sviluppatori. Se la stessa vulnerabilità nella stessa risorsa Web viene riscoperta durante diverse scansioni consecutive delle vulnerabilità, significa che non viene riparato. Il fatto che non venga risolto di solito significa che non ci sono abbastanza risorse per risolverlo, il che potrebbe essere importante per la scheda.

D'altra parte, se una vulnerabilità viene corretta e continua a riapparire nello stesso target o in un target simile, potrebbe significare che si è verifica un problema con l'istruzione degli sviluppatori e le prestazioni generali di sicurezza. Questo problema potrebbe essere risolto introducendo la scansione delle vulnerabilità Web all'inizio del SDLC, ma, ancora una volta, si tratta di un segnale importante per la scheda perché influisce su tutte le operazioni di sicurezza.

Tempo medio di correzione

Un'altra metrica importante (ancora una volta, utile per essere suddivisa in diverse classi di gravità) è il tempo che di solito è necessario per la vulnerabilità da sistemare. Questi dati del tempo di risposta possono essere acquisiti direttamente dallo scanner (tempo tra la prima scoperta della vulnerabilità e l'ultima occorrenza di questa vulnerabilità), o da uno strumento di gestione delle vulnerabilità / monitoraggio dei problemi.

Simile al numero di vulnerabilità ricorrenti, questa metrica dovrebbe presentare alla suite C lo stato corrente e la tendenza dell'efficienza di correzione. Ad esempio, se il tempo medio di correzione continua ad aumentare, significa che il carico dello sviluppatore è eccessivo e devono essere adottate misure per ridurre il numero di problemi che richiedono più di un semplice applicazione di patch.

Costo della correzione

La suite C si concentra fortemente sul budget IT e quindi le informazioni finanziarie dirette sono molto preziose per loro. Sfortunatamente, ottenere dati sul costo della correzione non è così facile come nel caso di misurazioni precedenti perché non può essere acquisito direttamente da uno scanner di vulnerabilità. Uno scanner di vulnerabilità può valutare quanto tempo ci vuole per risolvere la vulnerabilità, ma non può valutare quanto tempo la vulnerabilità è bloccata nella coda e quanto tempo e sforzo ci vuole effettivamente per risolverlo.

Il modo più semplice per stimare il costo della correzione sarebbe valutare il tempo effettivo speso per la correzione da parte degli sviluppatori, che dovrebbe essere acquisito direttamente dal sistema di monitoraggio dei problemi. La valutazione dei costi si baserebbe quindi sui costi medi di manodopera degli sviluppatori.

Il numero di incidenti di sicurezza informatica

Oltre alle potenziali minacce informatiche e ai vettori di attacco, come le vulnerabilità delle applicazioni Web, la suite C deve anche conoscere eventuali incidenti di sicurezza informatica associati a questi potenziali vettori di attacco informatico. Queste informazioni sono necessarie per mantenere un efficace programma di gestione del rischio.

Banner

La scansione delle vulnerabilità Web si concentra completamente sulla prevenzione e quindi i dati sugli incidenti devono essere acquisiti da altri tipi di sistemi, ad esempio firewall di applicazioni Web o sistemi di rilevamento delle intrusioni.

Mentre le metriche precedenti mostrano la qualità delle risorse possedute (dal punto di vista della sicurezza informatica), questa metrica mostra il potenziale di perdite reali come quelle causate da violazioni dei dati. Questi dati aiutano la C-suite a prendere decisioni relative al rischio informatico, ad esempio, li aiuta a decidere se investire di più nella risposta agli incidenti o nelle misure preventive.

Altri controlli e metriche di sicurezza

Le metriche di cui sopra non sono standard del settore: sono solo esempi del tipo di dati che la tua suite C potrebbe richiedere. Le metriche e gli indicatori KPI effettivi differiranno da organizzazione a organizzazione, a seconda delle dimensioni dell'azienda, dei tipi di risorse e persino dell'approccio della suite C.

Conoscere queste misure in anticipo e prepararsi a raccoglierle utilizzando, ad esempio, uno scanner con ampie capacità di reporting è una buona idea per qualsiasi professionista della sicurezza a livello di gestione in un'azienda in crescita.


Articoli su Sicurezza

Sicurezza aziendale: da cosa è minacciata e come proteggerla?Il threat modeling per la sicurezza delle applicazioniScanner di vulnerabilità: ecco come funzionanoWeb security: 5 motivi per cui è essenziale contro i ransomwareChe cos'è DevSecOps e come dovrebbe funzionare?Test di penetrazione vs scansione delle vulnerabilitàConsiderazioni sui test di correzione delle applicazioni WebQuattro modi in cui l'analisi AppSec aiuta i tuoi professionisti DevSecOpsQuattro modi per combattere il divario di competenze di sicurezza informaticaDove i framework di cybersecurity incontrano la sicurezza webCome costruire un piano di risposta agli incidenti informaticiRendi i tuoi utenti parte della soluzione di sicurezza webSei l'unico che può proteggere le tue applicazioni webNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaConvergenza Dev-Sec: i progressi e le sfide sulla strada per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?Sei l'unico che può proteggere le tue applicazioni webCos'è la sicurezza del sito Web: come proteggere il tuo sito Web dall'hackingRendi i tuoi utenti parte della soluzione di sicurezza webConvergenza Dev-Sec: la ricerca illustra i progressi per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?La differenza tra XSS e CSRFNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaPrevenzione e mitigazione XSSStop ai compromessi sulla sicurezza delle applicazioni webSfatare 5 miti sulla sicurezza informaticaBasta compromessi sulla sicurezza delle applicazioni webNozioni di base sulla sicurezza web: la tua applicazione web è sicura?Che cos'è l'iniezione dell’header HTTP?Fare shift left o no?Individuazione e correzione di falle di sicurezza in software di terze partiClassi di vulnerabilità Web nel contesto delle certificazioniScripting tra siti (XSS)Che cos'è un attacco CSRFChe cos'è una SQL Injection (SQLi) e come prevenirlaAttacchi di attraversamento di directoryChe cos'è la falsificazione delle richieste lato server (SSRF)?7 migliori pratiche per la sicurezza delle applicazioni WebBlack Hat 2021: la più grande minaccia alla sicurezza informaticaÈ ben fatto? Chiedi allo sviluppatore!Scegli la soluzione di sicurezza delle applicazioni web che fa per teSicurezza fai-da-te: lo stai facendo bene?Sulla sicurezza delle applicazioni web professionali per MSSPLa cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23