Dopo il precedente articolo sul tema, in cui si è stilata la “lista della spesa”, in questo secondo articolo si approfondiranno alcune delle soluzioni tecnologiche che è necessario implementare per soddisfare le misure minime di sicurezza ICT per le PA. |
Gli inventari
La finalità degli inventari, in prima battuta, è quella di conoscere il proprio patrimonio IT, in modo da disporre delle informazioni necessarie per gestire efficacemente le risorse e intervenire prontamente in caso di necessità. Per queste necessità si potrebbe pensare a sistemi statici o a elenchi di informazioni relative alle attrezzature in uso. In realtà non c’è solo questo: le misure relative all’inventario prevedono anche l’individuazione di dispositivi non autorizzati (misura ALTA, al fine di identificare dispositivi che potrebbero essere portatori di minacce), così come la mappatura dei software autorizzati (in questo caso l’inventario software potrebbe essere uno strumento di controllo). Inoltre, la misura 2.3.1 prevede di eseguire regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzato. L’utilizzo degli strumenti di inventario software potrebbe supportare la gestione di configurazioni standard per i dispositivi.
Il patch management
Tra i gruppi di controllo relativi alle configurazioni e quelli relativi alle vulnerabilità è trattato l’aspetto della distribuzione delle patch di sicurezza. In particolare, il controllo 4.5.1 specifica di Installare automaticamente le patch e gli aggiornamenti del software sia per il sistema operativo sia per le applicazioni. Questa misura (minima) potrebbe essere interpretata come l’attivazione degli automatismi di scarico delle patch di sicurezza. In realtà, anche in questo caso si deve vedere oltre. E’ il caso di implementare un sistema di patch management, che consenta di rilasciare le patch di sicurezza sulle risorse che ne necessitano, implementando un processo operativo che preveda una valutazione di opportunità: in alcuni casi, infatti, le patch potrebbero inficiare il funzionamento di alcuni applicativi. Per questo motivo è necessario ponderarne la distribuzione, mettendo sulla bilancia i rischi che comporterebbe l’adozione della patch contro il rischio residuo di non adottarla. Oltre alla soluzione tecnologica (automatizzata) occorre implementare una misura organizzativa che ragioni anche sul trattamento delle vulnerabilità, oggetto del punto successivo.
Un sistema di valutazione/correzione delle vulnerabilità
Quando si parla di valutazione e correzione delle vulnerabilità si deve ragionare su due perimetri: il front-end, cioè l’aggiornamento costante in rete delle vulnerabilità che possono colpire i sistemi; il back-end, cioè la verifica sulla propria rete della presenza di asset che potrebbero essere vulnerabili rispetto alle minacce rilevate e l’adozione di processi correttivi.
L’aggiornamento delle vulnerabilità scoperte è auspicabile venga effettuato con strumenti automatici. Un eventuale controllo manuale, tramite consultazione di siti specifici o ricezione di newsletter, è di sua natura critico: sarebbe necessario implementare una procedura in cui si individui un soggetto che esegue giornalmente il controllo, documenti l’operazione svolta, venga previsto un suo vicario in caso di assenza… Si tratta elementi procedurali che presentano troppi punti deboli per poter garantire la sicurezza del processo. Inoltre, uno strumento automatico consentirebbe di sfruttare le potenzialità dei software in tema di valutazione delle vulnerabilità, che prevedono anche la possibilità di impostare delle operazioni automatiche a seconda della criticità delle vulnerabilità riscontrate (la misura 4.8.2 prevede infatti di Attribuire alle azioni per la risoluzione delle vulnerabilità un livello di priorità in base al rischio associato. In particolare applicare le patch per le vulnerabilità a partire da quelle più critiche).
In ogni caso, la soluzione tecnologica andrà affiancata da un processo di escalation per gestire quei casi in cui la vulnerabilità è stata riscontrata ma non sono ancora disponibili delle patch risolutive.
Il sistema di protezione dai malware
Il gruppo di controllo relativo al trattamento dei malware impone di configurare i sistemi di difesa in modo da bloccare una serie di funzionalità che potrebbero attivare automaticamente delle minacce (es. apertura automatica dei messaggi di posta elettronica, anteprima dei files, ecc). Niente di nuovo, per chi gestisce una rete con consapevolezza. Potrebbe essere interessante implementare, almeno sui server, degli strumenti Edr (Endpoint Detection and Response) in grado di arrestare immediatamente processi con comportamenti anomali (es cifratura di file…).
Alcuni antivirus hanno affiancato alle funzionalità tradizionali delle features interessanti, come ad esempio l’inventory dinamico delle macchine su cui sono installati o la possibilità di distribuire patch di sicurezza. Caratteristiche efficaci, che vanno adeguatamente contestualizzate nello specifico ambiente che si deve gestire.
______________________________________________________
Visita la pagina del nostro sito dedicata alla Protezione dei dati e sicurezza informatica e contattaci, senza impegno, per ogni tua esigenza in merito: scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter e su Facebook, YouTube e LinkedIn
Salva
Salva
Salva
Salva
Salva
Salva