Un audit di sicurezza server è una revisione sistematica dell’esposizione e della configurazione di un server per individuare dove un attaccante potrebbe entrare e cosa potrebbe fare una volta all’interno. Se vi è stato chiesto di commissionarne uno, o volete condurre una revisione interna, questa guida spiega esattamente cosa esamina un audit approfondito e perché ogni area è importante.

Un audit è diagnostico: vi dice a che punto siete. Si abbina naturalmente all’hardening , che è il lavoro di correzione di ciò che l’audit rileva.

In sintesi

  • Un audit del server esamina la superficie di attacco, la configurazione dell’OS e dei servizi, lo stato delle patch, i controlli di accesso, la configurazione di rete e del firewall e il monitoraggio
  • In genere confronta il server con uno standard riconosciuto come il CIS Benchmark
  • Include una scansione di malware e rootkit e una revisione del logging in modo che le intrusioni vengano effettivamente rilevate
  • L’output dovrebbe essere un elenco di risultanze prioritizzate e classificate per rischio su cui poter agire, non un dump grezzo di scanner

1. Revisione della superficie di attacco

Il primo compito è stabilire cosa il server espone effettivamente.

  • Enumerare tutti i servizi in ascolto e le porte aperte, e confermare che ciascuno sia intenzionale.
  • Individuare i servizi esposti su internet rispetto a quelli che dovrebbero restare solo interni.
  • Segnalare i servizi obsoleti o non necessari che ampliano la superficie di attacco senza aggiungere valore.

2. Audit del sistema operativo e della configurazione

  • Verificare la versione dell’OS e lo stato del supporto; un OS a fine vita è un rischio permanente.
  • Confrontare la configurazione con uno standard riconosciuto, in genere il CIS Benchmark per la distribuzione.
  • Valutare lo stato delle patch per l’OS e il software installato, e verificare che gli aggiornamenti di sicurezza automatici siano attivi.

3. Controllo degli accessi e autenticazione

  • Rivedere gli account utente e di servizio, rimuovendo quelli obsoleti, predefiniti e inutilizzati.
  • Verificare le assegnazioni sudo e dei privilegi secondo il privilegio minimo.
  • Esaminare la configurazione SSH: autenticazione basata su chiave, login root disabilitato, autenticazione con password disabilitata e protezione dal brute-force.
  • Verificare l’autenticazione a più fattori sull’accesso amministrativo.

4. Firewall e segmentazione della rete

  • Confermare che il firewall segua una politica di default-deny ed esponga solo le porte richieste.
  • Rivedere la segmentazione della rete in modo che la compromissione di un host non consenta il libero movimento attraverso la rete.
  • Verificare che le interfacce di gestione siano limitate a fonti attendibili o a una VPN.

5. Rilevamento di malware e rootkit

  • Eseguire la scansione di malware e rootkit per rilevare compromissioni esistenti.
  • Effettuare controlli di integrità dei file per identificare modifiche inattese ai binari di sistema e alla configurazione.

6. Logging, monitoraggio e rilevamento

  • Verificare che gli eventi rilevanti per la sicurezza siano registrati (ad esempio tramite auditd) e conservati.
  • Confermare che i log siano inviati fuori dall’host, in modo che un attaccante non possa cancellarli banalmente.
  • Verificare che le attività sospette generino avvisi, in modo che un’intrusione venga effettivamente notata.

7. Protezione dei dati e backup

  • Confermare che i dati sensibili siano cifrati a riposo e in transito.
  • Verificare che i backup esistano, siano archiviati fuori dal server e siano stati testati tramite ripristino.
  • Verificare che esista un processo di ripristino e che sia documentato.

Come si presenta un buon output

Un audit utile non vi consegna un report grezzo di scanner. Fornisce risultanze classificate per rischio e prioritizzate con passi di remediation chiari, così sapete cosa correggere per primo e perché. Chiunque può eseguire uno scanner; il valore sta nell’interpretazione esperta, nell’eliminazione dei falsi positivi e nella prioritizzazione rispetto al rischio reale.

Punti chiave

  • Un audit di sicurezza server esamina superficie di attacco, configurazione, patching, controlli di accesso, configurazione di rete, malware e monitoraggio.
  • Aspettatevi che confronti con uno standard riconosciuto come CIS e che includa una scansione di malware e rootkit.
  • Il deliverable dovrebbe essere risultanze prioritizzate e classificate per rischio con indicazioni di remediation, non un dump di scanner.
  • Un audit diagnostica; l’hardening corregge. Usateli insieme.

Richiedi un audit di sicurezza server professionale

Un audit approfondito trae beneficio da un occhio esperto che sa quali risultanze contano davvero. Il servizio di audit di sicurezza server copre una revisione completa della superficie di attacco, l’allineamento al CIS Benchmark, il rilevamento di malware e rootkit, la revisione della segmentazione di rete e un report di hardening prioritizzato. Una volta che sapete a che punto siete, il servizio di hardening per server Linux e la guida all’hardening coprono le correzioni.

Domande frequenti (FAQ)

Cos’è un audit di sicurezza server? Una revisione sistematica dell’esposizione e della configurazione di un server per identificare le debolezze di sicurezza, che copre superficie di attacco, configurazione dell’OS e dei servizi, stato delle patch, controlli di accesso, configurazione di rete, malware e monitoraggio. Vi dice dove siete vulnerabili e come porvi rimedio.

In cosa differisce un audit dall’hardening? Un audit è diagnostico: trova e prioritizza le debolezze. L’hardening è il lavoro di remediation che le corregge. Fate un audit per sapere a che punto siete, poi fate hardening per chiudere le lacune.

Un audit del server include una scansione malware? Uno approfondito sì. Oltre alla revisione della configurazione, dovrebbe includere la scansione di malware e rootkit e i controlli di integrità dei file per rilevare qualsiasi compromissione esistente, non solo il rischio futuro.

Con quale standard dovrebbe misurarsi un audit del server? Il CIS Benchmark per il vostro sistema operativo è la base comune. Fornisce uno standard oggettivo e specifico per la distribuzione, così le risultanze sono misurabili e ripetibili anziché soggettive.

Con quale frequenza dovremmo auditare i nostri server? Periodicamente e dopo cambiamenti significativi, perché la configurazione va alla deriva e compaiono nuove vulnerabilità. Molte organizzazioni combinano un audit approfondito annuale o semestrale con patching e monitoraggio automatizzati continui nel frattempo.