Il catalogo delle vulnerabilità 2.0 è in arrivo!
Per continuare a individuare efficacemente le vulnerabilità sugli endpoint, in futuro verranno apportate alcune modifiche al baramundi Vulnerability Scanner. Il segnale di partenza sarà dato all’inizio dell’anno con ampie modifiche ai cataloghi delle vulnerabilità.
In sintesi
- baramundi sta apportando delle modifiche al catalogo delle vulnerabilità: il nuovo profilo “Professional 2.0” sostituisce il vecchio profilo “Community”.
- Meno regole non significa necessariamente meno vulnerabilità rilevate. Al contrario, si riducono i falsi positivi.
- Le vulnerabilità del framework vengono rilevate in modo più efficiente, concentrandosi sulle applicazioni principali.
- Importante: il nuovo catalogo richiede un adattamento consapevole dei lavori esistenti e la cancellazione dei vecchi risultati. Il profilo “Professional” è congelato da aprile 2023.
“Non toccate mai un sistema in funzione!”, questo mantra persiste da decenni nel settore IT. Ma è anche un settore che prospera grazie all’innovazione e alla sua capacità di cambiare. Inoltre, gli amministratori “front-line” della prima linea, cioè coloro che si occupano dei dispositivi finali degli utenti, sanno bene che senza un “ritocco” regolare, la sicurezza dei dispositivi ne risente e con essa la sicurezza dell’intera azienda. Come primo passo, baramundi ha apportato diverse modifiche ai cataloghi delle vulnerabilità.
Tagliare i rami vecchi per dare spazio a qualcosa di nuovo
Come prima cosa, è stato rimosso il profilo di scansione “Community”. Questo profilo era già stato fornito con l’introduzione del Vulnerability Scanner e inizialmente era
l’unico catalogo. Da allora, questo catalogo è stato alimentato solo sporadicamente con regole dalla community e quindi nel 2016 abbiamo aggiunto un nuovo catalogo: il profilo
“Professional”. Per ragioni di compatibilità, abbiamo mantenuto il profilo Community, anche se non sono state aggiunte nuove regole.
Il catalogo, su cui si basa il profilo Professional, si è ampliato molto negli ultimi anni. Il tempo necessario per controllare tutte le regole è aumentato, a volte in modo drastico, e si è
resa necessaria una nuova soluzione: il nuovo profilo “Professional 2.0”! Questo profilo si basa su un nuovo catalogo con un insieme ottimizzato di regole,
che a sua volta si basa su una meccanica e una logica modificate per individuare i punti deboli. L’obiettivo principale è quello di individuare le installazioni di software esistenti e non
più la semplice esistenza di singoli file, librerie o componenti.
La quantità non è sinonimo di qualità
Avete la possibilità di scegliere tra una lampadina tradizionale da 60 watt e una lampada LED da 8 watt. Quale prendereste? Entrambe promettono una capacità di illuminazione simile, pari a
circa 700 lumen, ma il LED è decisamente più efficiente. Consuma solo una frazione dell’energia e ha una minore perdita di potenza sotto forma di calore residuo. Il nuovo catalogo delle
vulnerabilità per il profilo “Professional 2.0” è simile. Questo profilo contiene un numero inferiore di regole e, oltre all’ottima individuazione delle vulnerabilità, è ottimizzato
per le prestazioni e per evitare i falsi positivi.
Ma cos’è esattamente una regola, cosa significa e che ruolo ha il numero di regole? Una regola del catalogo delle vulnerabilità descrive come e dove è possibile identificare un componente
vulnerabile. Quanto più precisa è la definizione della regola, tanto più efficiente è il suo controllo. Se, ad esempio, si cerca un file nell’intero file system (in tutte le unità
esistenti), ciò richiede molto più tempo e risorse rispetto alla ricerca in una o più directory specifiche. La verifica è ancora più rapida se non è necessario effettuare alcuna ricerca nel
file system. L’installazione di un software può essere provata tramite voci specifiche nel registro di sistema e la verifica di un file nella relativa directory di installazione.
Naturalmente, si ipotizza che con un minor numero di regole, verranno individuate meno vulnerabilità. Ma non è detto che sia così. Non esiste un rapporto 1:1 tra le vulnerabilità e le regole. È quindi possibile che sia necessaria una sola regola per individuare una vulnerabilità, ma vengono utilizzate e controllate più regole. È qui che interviene il catalogo ottimizzato, riducendo il tempo necessario per la scansione in media di oltre la metà!
Meno ricerche, più focus
Proprio l’elevato numero di regole e il tipo di ricerca delle vulnerabilità hanno talvolta prodotto un gran numero di vulnerabilità individuate. In particolare, framework vulnerabili come OpenSSL o Microsoft .NET hanno talvolta portato alla scoperta di dozzine di vulnerabilità, senza indicare l’effettiva applicazione principale che utilizza il framework. Per gli amministratori, questo di solito significava un’analisi manuale, per poi scoprire alla fine che il framework vulnerabile non poteva essere sostituito isolatamente. Nella maggior parte dei casi, l’applicazione principale deve essere interamente aggiornata.
In questo caso, il nuovo catalogo consente un’analisi molto più semplice, poiché ora non viene individuato solo il componente vulnerabile, ma anche l’applicazione principale che lo contiene.
Questo nuovo meccanismo di scansione significa che ora non vengono visualizzate tutte le posizioni possibili nel file system. Questo perché la presenza di una libreria nel file system non
significa necessariamente che anche questo componente sia utilizzato e che quindi rappresenti un potenziale pericolo. Il fattore decisivo è piuttosto se e in che misura vengono
utilizzate le funzioni in esso contenute.
Grazie all’intenso scambio con i nostri clienti, abbiamo appreso che l’individuazione delle vulnerabilità dei framework comporta una notevole mole di lavoro, soprattutto
per le aziende particolarmente sensibili per quanto riguarda la sicurezza. In parole povere, per ogni vulnerabilità trovata in una libreria, viene aperta una richiesta di assistenza al
produttore dell’applicazione principale. Si richiede un parere sulla vulnerabilità dell’applicazione principale nel contesto della vulnerabilità singola. In base alla risposta, vengono
quindi adottate misure, ad esempio un aggiornamento immediato (se disponibile) o addirittura la disinstallazione del software in questione. Se l’applicazione principale non è affetta da
questa vulnerabilità nonostante utilizzi il componente vulnerabile, viene definita un’eccezione nella suite di gestione. Questo “falso positivo” non viene quindi considerato nelle
valutazioni.
Sulla base di questo feedback, nel caso di vulnerabilità specifiche del framework, viene ora elencata solo la posizione effettiva dell’applicazione principale con le relative informazioni
(componente, ID CVE, gravità, vettore di attacco, ecc.), se la vulnerabilità è stata confermata anche dal produttore dell’applicazione principale. Questo approccio riduce
significativamente il numero di potenziali falsi positivi e il conseguente carico di lavoro negli ambienti dei nostri clienti.
Inoltre, questa visione consolidata riduce il numero di elementi da analizzare, facilitando la ricerca di soluzioni. Spesso l’applicazione principale può essere aggiornata comodamente
tramite “Managed Software” o “Deploy”.
Passate subito all’azione!
Poiché il nuovo catalogo delle vulnerabilità funziona con un proprio insieme di regole, crea anche una nuova voce nel database per ogni vulnerabilità individuata. Ad esempio, se la vulnerabilità CVE-2022-41089 menzionata in precedenza nell’articolo è già stata individuata con il profilo “Professional” e non è ancora stata risolta, il profilo “Professional 2.0” la individuerà di nuovo e la aggiungerà all’elenco. Questa vulnerabilità viene quindi individuata due volte sull’endpoint corrispondente. Naturalmente, questa duplicazione riguarda anche le dashboard e le statistiche.
Poiché questo potrebbe causare confusione, l’ambiente non verrà automaticamente passato al nuovo profilo.
Per sfruttare il nuovo catalogo delle vulnerabilità, è necessario cambiare attivamente i lavori esistenti e cancellare i vecchi risultati dal profilo “Professional”. I
risultati possono essere cancellati sia per singoli endpoint che per interi gruppi, e quindi anche per il “Logical Grouping” (raggruppamento logico). Per cancellare un
endpoint, è necessario aprirlo in un’altra scheda. Qui, selezionare “Compliance“ dal menu a sinistra e “Scan-Status“ poco sotto. Verranno visualizzati i profili scansionati su
questo endpoint. Cliccare con il tasto destro del mouse su “Professional - DEPRECATED” e poi “Delete”. Apparirà una richiesta: non appena la confermate, i risultati verranno rimossi dal
database.
Allo stesso modo, per cancellare i risultati a livello di gruppo: aprire il gruppo desiderato in un’altra scheda e navigare in “Compliance (Windows)”, “Scan status of devices”. Ora viene visualizzato un elenco di tutti i profili utilizzati su tutti gli endpoint del gruppo selezionato e di tutti i gruppi sottostanti. Per restringere l’elenco al profilo che si desidera eliminare, scrivere “deprecated” nel campo del filtro.
Ora dovrebbero essere elencate solo le voci del vecchio profilo. È possibile selezionarli ed eliminarli, e il gioco è fatto!
Naturalmente, è anche possibile creare un nuovo lavoro con il profilo “Professional 2.0” ed eseguirlo sugli endpoint selezionati, senza cancellare prima i vecchi risultati. In questo modo è
possibile confrontare direttamente i risultati del vecchio e del nuovo profilo. Tuttavia, si consiglia vivamente di eliminare i vecchi risultati prima di distribuire il
nuovo profilo ovunque.
Importante:
il profilo “Professional” sarà congelato a partire dal 1° aprile, non saranno aggiunte nuove regole e quelle esistenti non potranno più essere modificate. Assicuratevi di aver completato il
passaggio al profilo “Professional 2.0” entro questa data