Bollettini di sicurezza

I bollettini di sicurezza sono degli avvisi di nuove vulnerabilità nel software o nel hardware. Generalmente ciascun produttore distribuisce bollettini di sicurezza per tutto i prodotti che sviluppa o mantiene.

I bollettini sono un controllo preventivo, perché contribuiscono a limitare l'esposizione di vulnerabilità sfruttabili da eventuali attaccanti. La prevenzione è tanto più efficace quanto più tempestivamente viene applicata, perciò ciascun amministratore di sistema dovrebbe organizzarsi preventivamente per ricevere in tempo reale i bollettini di sicurezza per tutti i sistemi che gestisce.

Priorità

La priorità dei bollettini di sicurezza va assegnata in base al tipo di vulnerabilità, al numero di sistemi coinvolti, al loro livello di esposizione e ai loro requisiti di sicurezza.

  • Secondo il produttore la vulnerabilità è di livello CRITICAL o HIGH?
  • I sistemi coinvolti gestiscono informazioni confidenziali o servizi critici?
  • Esistono exploit pubblici o è probabile che ne vengano rilasciati a breve?
  • La vulnerabilità colpisce funzionalità effettivamente abilitate nei propri sistemi?
  • I sistemi coinvolti sono esposti a reti, utenti o codice non affidabili? Es.
    • servizi verso reti non attendibili (es. server Web o di posta)
    • comunicazione (es. client di posta elettronica, chat)
    • navigazione (es. Firefox e relative estensioni)
    • visualizzazione ed elaborazione di dati (es. Office)

Questa lista vale anche per il software e l'hardware di supporto: librerie, framework, backend, sistemi operativi, BIOS, firmware, apparecchiature di rete e così via.

Zero-day

Gli zero-day sono exploit che vengono rilasciati prima che un produttore abbia rilasciato la relativa patch. In presenza di zero-day pubblici è consigliabile intensificare il monitoraggio delle macchine coinvolte e temporaneamente disconnetterle o disabilitare le funzionalità vulnerabili. Quando si sospetta la compromissione di un sistema è consigliabile analizzarlo per scoprire tutte le implicazioni dell'incidente, quindi reinstallarlo da capo e infine riconnettendolo solo dopo l'aggiornamento.

CERT

I CERT supportano la sicurezza informatica all'interno di uno stato o una azienda. I CERT svolgono molti compiti diversi, fra cui anche quello di raccogliere, selezionare e redistribuire i bollettini di sicurezza. A fronte di un leggero ritardo i bollettini distribuiti dai CERT sono filtrati e contestualizzati. Alcuni esempi di CERT sono:

  • CERT nazionale Italia
  • US-CERT - molto professionale
  • CERT-EU - veloce perchè basato su di un software di crawling e machine learning
  • SANS - contiene approfondimenti utili alla valutazione dei rischi