Al via SCARR, un nuovo servizio per migliorare la sicurezza delle proprie reti. Perché conoscere le proprie vulnerabilità ci rende più sicuri.

È stato lanciato lo scorso ottobre ed ha già raccolto un successo (in parte) inaspettato.

Parliamo di SCARR, il nuovo servizio GARR per effettuare scansioni di vulnerabilità remote in modo sicuro e flessibile. Non del tutto nuovo in realtà, visto che il servizio è già noto da diversi anni tra gli utenti della rete GARR. La nuova versione però porta con sé novità importanti, che ne rendono l’uso più intuitivo, agevole ed in grado di fornire un valido aiuto agli amministratori delle reti locali. Attraverso una dashboard di semplice utilizzo infatti è possibile scansionare le proprie reti, sottoinsiemi o singoli IP. In questo modo vengono fornite informazioni dettagliate sulle criticità negli asset della propria rete, e offerte indicazioni e suggerimenti sui possibili rimedi. SCARR permette di eseguire scansioni delle proprie reti dall’esterno così come richiesto dall’AgID nel documento Misure minime di sicurezza ICT per le pubbliche amministrazioni. Si tratta di un servizio dedicato ai referenti locali della rete GARR (APM) che possono accedervi tramite l’identità digitale federata IDEM senza necessità di ulteriori registrazioni.

Abbiamo intervistato Simona Venuti, esperta di sicurezza informatica del gruppo GARR-CERT, che ha contribuito allo sviluppo del nuovo servizio.

Perché si è sentita l’esigenza di attivare un servizio come SCARR?

Le reti locali delle università e degli enti di ricerca sono diventate mano a mano nel tempo sempre più complesse sia perché è aumentato il numero e la tipologia dei servizi erogati dagli enti stessi ai propri utenti e cittadini, sia per la complessità delle infrastrutture e delle architetture a supporto dei server per garantire alta affidabilità, disponibilità e integrità dei dati.

Alla complessità si aggiunge il fatto che quotidianamente vengono pubblicate vulnerabilità di qualsiasi tipo di software, che spesso creano veri e propri problemi di sicurezza, aprono brecce nella rete che i malintenzionati possono sfruttare. GARR-CERT pubblica bollettini di sicurezza per i software maggiormente in uso, ma in una situazione del genere risulta spesso molto complicato per un amministratore di rete o un sistemista tenere traccia degli IP pubblici, di tutti i servizi erogati, delle versioni del software per ogni servizio e delle vulnerabilità alle quali si espone la propria rete.

Inoltre, nel tempo sono state emanate, a livello legislativo, norme più stringenti a tutela della sicurezza dei dati e della privacy degli utenti che obbligano gli enti a continue verifiche del proprio asset, nell’ottica di sviluppare un piano organico di analisi del rischio e limitare al massimo i danni dovuti a data breach. Mi riferisco per esempio, oltre che ovviamente al GDPR, a quanto contenuto nel documento di AgID Misure minime di sicurezza ICT per le pubbliche amministrazioni, in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri. SCARR risponde proprio a quelle raccomandazioni ed è stato pensato per facilitare tutte le operazioni richieste o consigliate e per consentire di scansionare gli IP della propria rete. In questo modo, è possibile avere la situazione reale delle macchine esposte, con l’elenco, per ciascuna macchina, delle vulnerabilità riscontrate e le tecniche per poter mitigare o eliminare tali vulnerabilità, con uno strumento semplice, di facile uso e veloce.

SCARR ha già una lunga storia. Possiamo raccontare in breve la sua evoluzione?

All’inizio SCARR non aveva senso di esistere: c’era già Tenable Nessus, uno strumento software gratuito di vulnerability assestment che ognuno poteva usare in autonomia nella propria struttura. Un bel giorno, Tenable Nessus diventò a pagamento. Pensando che la spesa poteva non essere sostenibile per tutti gli enti, GARR acquistò una licenza utilizzabile da tutta la comunità. Creammo così un servizio disponibile a tutti, gratuito per gli enti GARR, che sfruttasse le potenzialità di Nessus.

La prima versione di SCARR era una semplice interfaccia che aveva già tutte le “comodità” che ci siamo portati dietro nelle varie versioni: l’autonomia dell’APM nel fare login e richiedere le proprie scansioni, la possibilità di prenotare scansioni e di programmarle ripetendole nel tempo. Successivamente Nessus, dalla versione 7 in poi, eliminò l’utilizzo delle API, cioè di fatto tolse la possibilità di usare il sistema di autenticazione, autorizzazione e di sottomissione delle scansioni attraverso SCARR. La versione con le API diventò insostenibile.
Quelli furono tempi bui, in cui, non avendo nessuna alternativa disponibile sul mercato, e tuttavia non volendo dismettere il servizio, il GARR-CERT effettuava manualmente le scansioni su richiesta degli APM. Poi è uscito OpenVAS, gratuito e con un buon livello di maturità, quindi abbiamo pensato di ridisegnare tutta l’architettura in maniera moderna e flessibile, modulabile ma con tutte le feature che gli APM erano abituati a trovare. Il bello è che la versione attuale è molto più scalabile e performante e utilizza la frontiera delle tecnologie di virtualizzazione/cloud che viene studiata sviluppata e implementata totalmente dal Dipartimento Infrastruttura di GARR.

Dashboard di GARR SCARR in cui si mostrano le scansioni in corso

È semplice utilizzare SCARR? Come funziona? Quali sono le fasi del suo processo?

L’utilizzo di SCARR è semplicissimo: l’APM che desidera fare una scansione deve fare login attraverso la Federazione IDEM, autenticandosi con le credenziali della propria organizzazione. Una volta autenticato, SCARR effettua tutti i controlli necessari per verificare che la persona sia realmente il gestore della rete e quindi sia autorizzato ad effettuare le scansioni su qualsiasi IP o rete desideri. Ovviamente solo su quelle di sua pertinenza: il sistema è molto attento ad evitare che si possano scansionare IP esterni alla rete GARR o appartenenti ad un’altra organizzazione.

Attraverso una semplice interfaccia è possibile specificare singoli IP, o più IP separati da virgola, o reti in notazione/CIDR, spuntando i box di prenotazione e/o ripetizione possiamo prenotare la scansione ad una data e ora precisa, o programmare una scansione ripetendola a distanza mensile, bimestrale o semestrale.

Una volta sottomessa la richiesta il sistema prepara l’ambiente e inizia a scansionare gli IP richiesti. Se il numero degli IP richiesti è molto elevato il sistema, in modo trasparente all’utente, accende tanti server quanti sono necessari per ridurre al minimo i tempi di attesa, compatibilmente con le risorse a disposizione (che sono molte visto che usiamo la Cloud GARR) e la coda delle scansioni richieste da altri enti.

L’APM ha a disposizione una dashboard in cui sono visibili tutte le scansioni richieste, con il relativo stato di avanzamento. Per le scansioni completate è possibile scaricare il report, che in maniera semplice, visualizza per ogni IP richiesto e in ordine di criticità, le vulnerabilità riscontrate insieme ai possibili rimedi per eliminarle, arginarle o mitigarle.

A distanza di pochi mesi dal lancio del nuovo servizio, quali sono i risultati?

Siamo veramente soddisfatti ed orgogliosi. SCARR ha avuto un’accoglienza enorme e calorosa, neanche immaginavamo così tanto interesse! In un mese abbiamo scansionato l’equivalente di circa 280 classi C, per un totale di quasi 71.000 IP su 53 enti distinti della rete GARR. Sono numeri impressionanti!

Chi sono i principali utilizzatori?

I dati sono in continua evoluzione. Al momento tra i maggiori utilizzatori ci sono alcune università (Cassino, Milano-Bicocca, Modena e Reggio Emilia, Reggio Calabria), istituti del CNR, INFN, INAF, IIT… Ma abbiamo anche diverse scuole!

Come potrà evolvere il servizio nel futuro?

In futuro abbiamo già in cantiere delle belle novità, ma per il momento non vogliamo anticipare niente. Chiaramente l’idea è migliorare ancora il servizio ed aumentare l’offerta per la nostra comunità. Per il momento, ci vogliamo concentrare sul creare un bel gruppo di supporto agli utenti, per poter aiutare e dare assistenza in maniera strutturata in caso di problemi o richieste di consulenza. Invece, per le nuove strabilianti feature, ci saranno sicuramente aggiornamenti durante la prima parte del 2020!

Descrizione di una vulnerabilità riscontrata. Viene descritto come è stata identificato il problema e le possibili soluzioni