Bollettini di sicurezza

Immagine di una lavagna piena di post-itQuesta sezione è destinata al personale tecnico interno e/o ai fornitori di servizi informatici.

Cosa sono i bollettini di sicurezza

I bollettini di sicurezza (in inglese "security advisories") sono avvisi di nuove vulnerabilità nel software e nell'hardware. Solitamente i bollettini contengono anche le istruzioni per risolvere la vulnerabilità (tramite aggiornamenti o configurazioni). Ciascun produttore di software e di hardware distribuisce i bollettini di sicurezza per i propri prodotti.

I bollettini riducono il rischio delle vulnerabilità ma non lo eliminano, perché fra l'introduzione di una vulnerabilità e la sua correzione intercorre sempre un certo tempo. Ciascun amministratore di sistema dovrebbe organizzarsi per ricevere in tempo reale i bollettini di sicurezza per tutti i sistemi che gestisce (es. tramite email) e dovrebbe applicare le correzioni in base al loro rischio.

Priorità

La priorità dei bollettini di sicurezza viene stabilita in base a molte cose:

  • Gravità dichiarata dal produttore (critica, importante, media ecc.)
  • Numero di sistemi coinvolti
  • Importanza dei sistemi coinvolti e dei dati in essi contenuti
  • La vulnerabilità colpisce funzionalità effettivamente abilitate nei propri sistemi?
  • Esposizione dei sistemi coinvolti, per esempio:
    • Server affacciati su Internet (server web, di posta ecc.)
    • Programmi di comunicazione (client di posta elettronica, chat ecc.)
    • Programmi per la navigazione
    • Programmi che aprono file esterni (Office, PDF reader ecc.)
    • Software e l'hardware non direttamente esposti (librerie, framework di programmazione, sistemi operativi, BIOS, firmware, apparecchiature di rete ecc.)

Molte vulnerabilità non sono direttamente attaccabili e vengono associate ad un basso rischio. A volte però queste vulnerabilità vengono combinate fra loro e insieme rappresentano un rischio esponenzialmente maggiore. A volte è d'altronde preferibile mantenere una vulnerabilità piuttosto che risolverla investindo molte risorse e rischiando di interferire coi sistemi di produzione. Quando si decide di non risolvere una vulnerabilità è molto importante che la decisione sia presa insieme dal supporto tecnico e da quello amministrativo.

Zero-day

Gli zero-day sono attacchi disponibili prima che un produttore abbia rilasciato la relativa soluzione. In presenza di zero-day pubblici è consigliabile disabilitare temporaneamente le funzionalità vulnerabili o almeno intensificarne il monitoraggio e adottare simili controlli "compensativi" che ne riducono sufficientemente il rischio.

Incidenti

Quando si sospetta la compromissione di un sistema, prima di risolvere il problema è consigliabile analizzarlo per scoprire eventuali ramificazioni dell'incidente. La risoluzione di un incidente è solitamente complessa, perché i sistemi informatici sono complessi ed è facile nascondervici altro codice malevolo (le cosiddette "backdoor"). Se non si è sicuri che la minaccia sia stata completamente contenuta è consigliabile reinstallare da capo i sistemi coinvolti, rimettendoli in produzione solo dopo averli aggiornati e rafforzati adeguatamente.

Ciclo di vita

Alla fine del proprio ciclo di vita i prodotti smettono di ricevere bollettini e aggiornamenti, diventando molto più vulnerabili agli attacchi. A quel punto i prodotti andrebbero sostituiti o almeno adeguatamente protetti (per esempio spostandoli in una apposita sotto-rete).

CERT

I CERT sono gruppi di lavoro che supportano la sicurezza informatica all'interno di grandi organizzazioni, come stati o multinazionali. I CERT svolgono molti compiti, incluso quello di raccogliere, selezionare, catalogare e distribuire i bollettini di sicurezza. A fronte di un leggero ritardo rispetto ai bollettini dei produttori, i bollettini distribuiti dai CERT sono filtrati e contestualizzati. Alcuni esempi di CERT sono:

  • CERT nazionale Italia
  • US-CERT - molto professionale
  • CERT-EU - veloce perchè basato su di un software di crawling e machine learning
  • SANS - contiene approfondimenti utili alla valutazione dei rischi