Siamo ormai giunti al termine del terzo trimestre 2022, è ora d’iniziare a tirare un po’ le somme: ci aiuterà ad affrontare correttamente la prossime riunioni sul budget e sulla direzione da intraprendere nel corso del prossimo anno.
Facciamoci qualche semplice e basilare domanda:
- Sono riuscito ad ottenere dai fornitori le varie configurazioni in maniera corretta? Ad esempio: ho fatto un VA interno, mi sono state segnalate misconfigurazioni su Switch e stampanti, presenza di console dimenticate che dovrebbero essere disabilitate e la possibilità d’eseguire privilege escalation su nodi fondamentali dell’infrastruttura. Ho segnalato la cosa al mio fornitore, e ora? Sono sicuro che sia stato risolto?
- Sono riuscito ad ottimizzare il processo di gestione degli aggiornamenti in maniera soddisfacente in ogni punto del mio ecosistema o ci sono punti sguarniti dagli agents che dovrei ancora aggiornare manualmente (senza che ne sia salvaguardata l’operatività, ovviamente)?
- Sono riuscito a chiedere al fornitore esterno la risoluzione di quella fastidiosa vulnerabilità XSS sull’applicazione custom che mi è stata chiesta dal reparto marketing?
Ecco, queste sono solo alcune domande che potremmo porci per cercare di capire come siano andati, finora, questi mesi del 2022.
Come tutti sappiamo, però, anche se avessi compiuto ogni singolo passaggio correttamente, sarei fermo a – probabilmente – due, tre o sei mesi prima: come si sono evoluti i trend? Sono ancora al passo con i tempi?
In un articolo precedente abbiamo parlato delle innovazioni dell’OWASP 2021 (se te lo sei perso puoi recuperalo qui: https://www.studioconsi.com/articoli/restare-al-passo-owasp-2021/). Non sarebbe il caso di verificare se la tua struttura sta recependo correttamente tutte le implementazioni necessarie e per le quali stai pagando?