Quest’oggi vorremmo prendere spunto dalla vulnerabilità CVE-2022-23131 relativa al bypass dell’autenticazione di Zabbix, il famoso software opensource di monitoring, per parlare in linea generale di come dev’essere effettuata un’analisi di sicurezza che si rispetti. Di seguito elenchiamo alcuni punti fondamentali:
- Deve analizzare i rischi relativi alla segregazione delle reti. Non ci stancheremo mai di ripeterlo: si tratta di un punto di vitale importanza.
- Deve comprendere un elenco dei dati reperibili da tutti i dispositivi secondari (stampanti, speaker, etc.);
- Deve verificare non solo la possibilità di lesione per l’integrità e la riservatezza dei dati ma anche i rischi relativi alla disponibilità dei dati;
- Deve provvedere un’analisi di distribuzione delle vulnerabilità ovverosia deve far capire quali sono le tipologie o, per meglio dire, le macrotipologie di vulnerabilità che si riscontrano all’interno del Network con maggiore frequenza e la relativa origine.
Queste sono solo alcune delle tipologie d’analisi che devono essere eseguite affinché un Vulnerability Assessment o un Penetration Test siano effettivamente utili all’IT Department. Devono dare un quadro esatto di quali siano i trend di vulnerabilità della struttura amministrata in modo da poter correttamente dirigere le relative mitigazioni.
Perché citare Zabbix allora? Perché un Va o un PT, ovviamente, non possono essere omnicomprensivi: ci saranno sempre delle questioni che sfuggiranno all’analisi, vuoi per mancanza di privilegi o di tempo tecnico, vuoi perché – magari – una vulnerabilità critica non è ancora stata resa pubblica. L’importante non è tanto l’assoluta esattezza minuziosa (a cui, comunque, si deve puntare) quanto la valutazione complessiva.
Le patch vanno e vengono, le vulnerabilità note aumentano sempre più, ma non sono queste l’unico vero rischio. In conclusione, come abbiamo detto altre volte, non esiste un sistema sicuro, ma solo un sistema gestito in sicurezza.