Dalla scoperta alla divulgazione: gestire le vulnerabilità della sicurezza informatica

Nessun sistema è mai sicuro al 100%

La gestione delle vulnerabilità non è solo responsabilità dei produttori, ma uno sforzo condiviso che coinvolge integratori di sistemi, hacker etici e ricercatori in ambito sicurezza. Chiunque potrebbe imbattersi in falle di sicurezza in qualsiasi sistema. La domanda è: cosa dovrebbe fare chi scopre questi punti deboli e come dovrebbe comportarsi l'azienda?

Identificare una vulnerabilità

Una vulnerabilità della sicurezza informatica può assumere innumerevoli forme, come ad esempio:

• Vulnerabilità di software e firmware: un codice obsoleto o non sicuro introduce gravi rischi per la sicurezza (vulnerabilità senza patch, backdoor hardcoded, meccanismi di aggiornamento impropri)

• Sicurezza della rete e debolezze di comunicazione: il traffico di rete non protetto può essere intercettato e manipolato dagli aggressori (comunicazione non criptata, man-in-the-middle, algoritmi criptati deboli)

• Vulnerabilità di autenticazione e controllo degli accessi: meccanismi di autenticazione deboli possono consentire l'accesso non autorizzato al sistema (password predefinite, vulnerabilità brute-force, mancanze di autenticazione a più fattori)

• Vulnerabilità hardware e di configurazione: i dispositivi configurati male creano un facile punto di ingresso per i criminali informatici (impostazioni predefinite non sicure, interfaccia di amministrazione esposta)

• Fattore umano: manipolare le persone per indurle a compiere azioni o divulgare informazioni riservate (phishing, ingegneria sociale). Per questo motivo, la formazione dei dipendenti in materia di sicurezza informatica è essenziale, per garantire che il personale sia in grado di riconoscere e rispondere in modo appropriato alle potenziali minacce.

Indipendentemente da come si scopre la vulnerabilità, durante l'installazione, il funzionamento del sistema, i test di sicurezza o un test di penetrazione, è fondamentale gestirla in modo responsabile.

Reporting responsabile: Cosa fare dopo

Il primo e più importante passo dopo aver identificato una vulnerabilità è quello di segnalarla direttamente al produttore e coordinarne la divulgazione pubblica dopo la sua mitigazione. I produttori responsabili hanno un chiaro processo di gestione delle vulnerabilità della sicurezza informatica in atto, che in genere include quanto segue:

• Un indirizzo e-mail di contatto dedicato alla sicurezza, un modulo di segnalazione o un sistema di ticketing: la maggior parte delle aziende fornisce un modo per segnalare le vulnerabilità in modo sicuro. In 2N, ad esempio, abbiamo una politica pubblica di gestione delle vulnerabilità e un canale di segnalazione ufficiale su 2N.com.
  
• Accordi di divulgazione coordinati: i ricercatori di sicurezza spesso lavorano con i produttori secondo una tempistica concordata in modo da correggere le vulnerabilità prima che vengano rese pubbliche.

Cosa NON fare:

• Non dare per scontato che qualcun altro segnalerà la vulnerabilità. Se vedi qualcosa, dillo.

• Evita di divulgare pubblicamente la vulnerabilità finché l'organizzazione interessata non avrà avuto tempo sufficiente per risolverla.

• Non condividere i dettagli della vulnerabilità con persone o entità non autorizzate.

Che cos'è un programma di divulgazione delle vulnerabilità?

Un produttore responsabile seguirà probabilmente un programma di divulgazione delle vulnerabilità e, come tale, adotterà le seguenti misure:

1. Riconoscimento: l'azienda deve confermare la ricezione della segnalazione e fornire una valutazione iniziale.
   
   
2. Indagine e analisi del rischio: gli esperti di sicurezza valutano la gravità della vulnerabilità, valutano la facilità con cui può essere sfruttata e determinano le strategie di mitigazione più efficaci. Inoltre, tutte le parti devono concordare una tempistica per il rilascio di una correzione e la successiva divulgazione pubblica della vulnerabilità.
   
   
3. Sviluppo di una correzione: il produttore lavora a una patch di sicurezza per risolvere il problema
   
   
4. Test e verifica della vulnerabilità di sicurezza: la correzione deve essere testata per garantire che risolva correttamente la vulnerabilità senza introdurre nuovi problemi.
   
   
5. Divulgazione pubblica e assegnazione CVE: durante la comunicazione reciproca, le parti dovrebbero concordare l'assegnazione di un ID CVE (Common Vulnerabilities and Exposures) per rendere pubblica la vulnerabilità una volta che una correzione è disponibile.

Cosa sono CVE e CNA?

• CVE (Common Vulnerabilities and Exposures) è un programma standard di divulgazione delle vulnerabilità: un sistema che tiene traccia e nomina le vulnerabilità di sicurezza. Ogni voce CVE descrive una specifica vulnerabilità della sicurezza informatica, la sua gravità, il corrispondente punteggio CVSS, i prodotti interessati, la relativa consulenza sulla sicurezza e le patch disponibili.

• CNA (CVE Numbering Authority) è un'organizzazione autorizzata ad assegnare ID CVE. Alcuni dei principali produttori nel settore IT e della sicurezza, come Axis, Cisco e Honeywell, tra gli altri, fungono da CNA.

Cosa succede se le vulnerabilità vengono ignorate?

Una volta rilasciata la patch di sicurezza, gli integratori di sistema e i team IT devono agire rapidamente per applicare gli aggiornamenti. Ritardare gli aggiornamenti significa lasciare i sistemi vulnerabili alle penetrazioni.

Un esempio di cosa succede quando le vulnerabilità della sicurezza informatica vengono ignorate:

• Un esempio lampante di un produttore che trascura la gestione delle vulnerabilità e non segue le migliori pratiche di sicurezza informatica è stato la violazione dei dati di Equifax (2017). Una vulnerabilità nota di Apache Struts (CVE-2017-5638) non è stata corretta in tempo, con conseguente esposizione di 147 milioni di record, compresi i numeri di previdenza sociale negli Stati Uniti. La violazione ha comportato una multa di 700 milioni di dollari e danni irreparabili alla reputazione.

Questo caso sottolinea una lezione fondamentale: identificare le vulnerabilità non è sufficiente, la risposta rapida e la comunicazione trasparente sono fondamentali.

Perché collaborare con produttori trasparenti?

• Per proteggere i tuoi clienti: quando i clienti investono in prodotti di alta qualità, si aspettano un sistema sicuro e aggiornato. Collaborando con produttori che rilasciano tempestivi aggiornamenti di sicurezza, ti assicuri che i sistemi dei tuoi clienti rimangano resilienti, rafforzando relazioni e fiducia a lungo termine.

• Per rafforzare la tua esperienza: sapere come gestire le vulnerabilità della sicurezza informatica ti rende un partner più prezioso per i tuoi clienti. Inoltre, puoi offrire pacchetti di manutenzione e aggiornamenti proattivi come parte del modello di servizio, creando nuovi flussi di entrate.

• Per assicurarti di lavorare con produttori responsabili: i fornitori che prendono sul serio la sicurezza forniranno politiche chiare e trasparenti di gestione delle vulnerabilità della sicurezza informatica, inclusi avvisi tempestivi, avvisi di sicurezza e indicazioni sulla protezione dei sistemi implementati.

La sicurezza informatica è una responsabilità condivisa

Abbiamo chiuso il cerchio: nessun sistema sarà mai sicuro al 100% e le vulnerabilità si presenteranno sempre. Ma con una segnalazione responsabile, un test proattivo delle vulnerabilità di sicurezza e una collaborazione trasparente tra produttori e integratori, è possibile ridurre i rischi e creare fiducia.

Che siate integratori, sviluppatori o ricercatori di sicurezza, il vostro ruolo nella sicurezza informatica è importante. E capire come gestire le vulnerabilità è una delle competenze più importanti che potete acquisire.