Bollettini di sicurezza

I bollettini di sicurezza sono avvisi sulle nuove vulnerabilità nel software. Ciascun produttore di software distribuisce bollettini di sicurezza per il software che mantiene.

I bollettini sono un controllo preventivo. Se usati opportunamente limitano l'esposizione delle vulnerabilità sfruttabili da eventuali attaccanti e quindi contribuiscono a limitare il rischio. La prevenzione è tanto più efficace quanto più tempestivamente viene applicata, perciò ciascun amministratore di sistema dovrebbe ricevere in tempo reale i bollettini di sicurezza per tutto il software che gestisce.

Priorità

La prioritò dei bollettini di sicurezza va assegnata in base al tipo di vulnerabilità, al livello di esposizione ed alla classificazione dei sistemi coinvolti:

  • Secondo il produttore la vulnerabilità è di livello CRITICAL o HIGH?
  • I sistemi coinvolti gestiscono informazioni o servizi critici?
  • Esistono exploit pubblici, o è probabile che ne vengano rilasciati a breve?
  • La vulnerabilità affligge funzioni effettivamente attive nei propri sistemi?
  • I sistemi coinvolti sono esposti a reti, utenti o codice non affidabili? Es.
    • servizi verso reti non attendibili (es. server Web)
    • comunicazione (es. client di posta elettronica, chat)
    • navigazione (es. Firefox e relative estensioni)
    • visualizzazione ed elaborazione di dati (es. Office)

Questa lista vale naturalmente anche per il software e l'hardware di supporto: librerie, framework, backend, sistemi operativi, BIOS, firmaware, appliance e così via.

Gestione

I bollettini di sicurezza dovrebbero essere gestiti in base alla loro priorità. In presenza di exploit pubblici per vulnerabilità su sistemi critici ed esposti è opportuno intensificarne il monitoraggio ed eventualmente disconnetterli temporaneamente. In caso di compromissione, la soluzione più sicura è reinstallare il sistema compromesso da sorgenti e riconnetterlo dopo l'aggiornamento.

Terze parti

Alcune organizzazioni, come per esempio i CERT nazionali, aggregano i bollettini dei maggiori produttori di software e selezionano quelli con alta priorità. Questo processo richiede del tempo, quindi tali bollettini sono generalmente in leggero ritardo rispetto a quelli dei produttori. Ciò nonostante possono essere molto utili. Alcuni esempi sono:

  • US-CERT - molto professionale
  • CERT-EU - veloce perchè basato su di un software di crawling e machine learning
  • SANS - contiene approfondimenti utili alla valutazione dei rischi