Bollettini di sicurezza

I bollettini di sicurezza sono avvisi di nuove vulnerabilità nel software o nell'hardware. Ciascun produttore di software o hardware solitamente distribuisce i bollettini di sicurezza per tutti i prodotti che sviluppa attivamente.

I bollettini sono un controllo preventivo. Contribuiscono a limitare l'esposizione di vulnerabilità sfruttabili da eventuali attaccanti. La prevenzione è tanto più efficace quanto più tempestivamente viene applicata, perciò ciascun amministratore di sistema dovrebbe organizzarsi per ricevere in tempo reale i bollettini di sicurezza per tutti i sistemi che gestisce.

Priorità

La priorità dei bollettini di sicurezza viene stabilita in base a diversi fattori: al tipo di vulnerabilità, al numero di sistemi coinvolti, al loro livello di esposizione ed ai loro requisiti di sicurezza.

  • Secondo il produttore la vulnerabilità è importante o critica?
  • I sistemi coinvolti gestiscono informazioni confidenziali o servizi critici?
  • Eventuali attaccanti sono già in grado di sfruttare la vulnerabilità?
  • La vulnerabilità colpisce funzionalità effettivamente abilitate nei propri sistemi?
  • I sistemi coinvolti sono esposti a reti, utenti o codice non affidabili? Es.
    • servizi esposti a reti non attendibili (es. server web o di posta)
    • programmi di comunicazione (es. client di posta elettronica, chat)
    • programmi di navigazione (es. Firefox e relative estensioni)
    • programmi di visualizzazione ed elaborazione di dati (es. Office)

Questa lista vale anche per il software e l'hardware non direttamente esposti: librerie, framework, sistemi operativi, BIOS, firmware, apparecchiature di rete e così via. Naturalmente alcune vulnerabilità di questi sistemi non sono attaccabili dall'esterno. Talvolta è quindi preferibile mantenere una vulnerabilità non attaccabile piuttosto che investirvi molte risorse rischiando di interferire con i sistemi di produzione.

Zero-day

Gli zero-day sono programmi capaci di attaccare determinate vulnerabilità prima che un produttore abbia rilasciato la relativa soluzione. In presenza di zero-day pubblici è consigliabile disabilitare temporaneamente le funzionalità vulnerabili o quantomeno intensificarne il monitoraggio. Quando si sospetta la compromissione di un sistema è consigliabile analizzarlo per scoprire eventuali ramificazioni dell'incidente, quindi reinstallarlo da capo e infine riconnettendolo dopo l'aggiornamento.

CERT

I CERT sono gruppi di lavoro che supportano la sicurezza informatica all'interno di grandi organizzazioni, come stati o multinazionali. I CERT svolgono molti compiti, incluso quello di raccogliere, selezionare, catalogare e distribuire i bollettini di sicurezza. A fronte di un leggero ritardo rispetto ai bollettini dei produttori, i bollettini distribuiti dai CERT sono filtrati e contestualizzati. Alcuni esempi di CERT sono:

  • CERT nazionale Italia
  • US-CERT - molto professionale
  • CERT-EU - veloce perchè basato su di un software di crawling e machine learning
  • SANS - contiene approfondimenti utili alla valutazione dei rischi