Scansione vulnerabilità


Servizi per garantire all’utente la fruizione di un ambiente informatico sicuro per rete, sistemi e applicazioni (antivirus, antispam, firewall, certificati web…).

Il servizio vuole essere un supporto ai tecnici che gestiscono server/servizi sulla rete di Ateneo, che possono così avere un’idea (non esaustiva) del livello di sicurezza della macchina. Il software di security assessment effettua scansioni periodiche (settimanali) per tutti gli indirizzi IP di Datacenter (Povo e Trento), da cui risulta un elenco di vulnerabilità per ciascun sistema. Tale elenco che viene inviato via mail al tecnico di riferimento del sistema stesso.

Data rilascio

17 maggio 2019

Descrizione

Il software di security assessment effettua scansioni periodiche per tutti gli indirizzi IP di Datacenter (Povo e Trento), da cui risulta un elenco di vulnerabilità per ciascun sistema. La scansione viene effettuata una volta alla settimana (il martedì mattina alle 8) e termina mediamente in circa 2 ore. Il tempo impiegato per scansionare una singola macchina si attesta sui 2-3 minuti.

Dopo aver effettuato la scansione, il sistema provvede ad inviare (mercoledì mattina verso le 8:00) un report al tecnico di riferimento se il sistema in oggetto è affetto da vulnerabilità considerate Critical o High (nel report sono riportate anche le vulnerabilità Medium, Low e Info).

Per ogni sistema devono essere definiti:

  • contatto Tecnico: indirizzo email di un amministratore di sistema (o lista di distribuzione) che direttamente opera o coordina le operazioni di altri amministratori di sistema per l’installazione degli aggiornamenti, patch e quant’altro ed eventualmente propone al responsabile altre azioni correttive;

  • contatto Responsabile: il referente del servizio ovvero colui il quale può decidere degli aggiornamenti dei server valutandone l’impatto sui servizi;

Il tecnico ha il compito di:

  • aggiornare i sistemi e/o coordinare le attività di altri amministratori al fine di aggiornare i sistemi nel loro complesso

  • informare il responsabile riguardo ai rischi legati alle vulnerabilità (utilizzando una checklist predisposta dal CERT)

  • informare il responsabile riguardo ad eventuali criticità legate agli aggiornamenti necessari per correggere le vulnerabilità

  • proporre eventuali misure alternative per mitigare le vulnerabilità (ad esempio: non possiamo aggiornare quello specifico software, ma possiamo configurare iptables per limitare accessi indesiderati)

Il tecnico può accedere in autonomia alla knowledge base messa a disposizione dal software di security assessment per valutare i rischi legati alla vulnerabilità. Il personale del CERT rimane a disposizione per aiutare gli utilizzatori a stimare il reale impatto (e criticità) delle vulnerabilità segnalate dal software.

Il responsabile decide (in tempi definiti e comunque non oltre i 5 giorni lavorativi) se:

  • procedere tempestivamente all’aggiornamento;

  • rinviare l’aggiornamento per tutte o alcune vulnerabilità pianificando eventuali misure alternative per mitigare i rischi;

  • escludere che tutte o alcune vulnerabilità vengano sistemate (ad esempio se il sistema è in dismissione) pianificando eventuali misure alternative per mitigare i rischi

Se il responsabile decide di non correggere alcune (o tutte) le vulnerabilità, il sistema viene comunque sottoposto a scansione, il responsabile può scegliere se continuare a far inviare le notifiche al tecnico o meno nel qual caso però non arrivano nemmeno le notifiche di nuove vulnerabilità.

Nel caso NON si proceda tempestivamente all’aggiornamento deve essere indicato al servizio CERT il motivo mettendo in copia tutti gli attori che possono avere potere decisionale, questa comunicazione sarà conservata all’interno del sistema di ticketing del CERT.

Il servizio CERT è a disposizione per valutare la criticità delle vulnerabilità e per condividere con il tecnico, e/o con il responsabile, le azioni più opportune. Il CERT si riserva in ogni caso di valutare le motivazioni/azioni correttive proposte.

Nel caso in cui non ci sia risposta (entro i 5 giorni lavorativi), il servizio CERT aprirà un incidente di sicurezza.

A seguito dell’avvenuto aggiornamento (o comunque in qualsiasi caso lo si ritenga opportuno) è possibile contattare il servizio CERT per effettuare scansioni specifiche al di fuori della normale schedulazione.

Disponibilità

24x7

Opzioni

Mancante

Dettaglio profilatura

Abilitazione ad personam

Prerequisiti

Il sistema sottoposto a scansione deve essere censito nel sistema IPAM (IP address management)

 Serve aiuto?