Non limitarti a vedere le CVE: chiudile in automatico

Il problema: rilevare le vulnerabilità è solo metà del lavoro

Gli scanner di vulnerabilità tradizionali sono bravi a trovare i problemi. Alla fine resta un elenco: "14 CVE aperte su questo server". Ciò che segue è lavoro manuale: qualcuno deve verificare, definire le priorità, individuare una finestra di manutenzione, installare l'aggiornamento e documentare che è stato fatto. Nei team senza personale Ops dedicato 24/7, questo passaggio resta spesso indietro. La falla è stata rilevata, ma è ancora aperta.

Più server gestisce un'azienda, più questo ciclo di patching manuale diventa insostenibile. La dashboard lampeggia in rosso, ma l'effettiva riduzione del rischio avviene solo quando interviene una persona. È proprio questo divario tra rilevamento e correzione che Server Monitor risolve in modo diverso.

Il ciclo chiuso: rilevare → allertare → correggere → rendicontare

Server Monitor automatizza non solo il rilevamento, ma anche la correzione. L'agente in Go rileva gli aggiornamenti aperti, l'hardening SSH, lo stato del firewall e la versione del kernel e ne ricava un security score. Le vulnerabilità individuate possono poi essere chiuse direttamente dalla piattaforma, in modo controllato e tracciabile.

Prima il dry-run, poi l'aggiornamento reale

La remediation passa attraverso una catena di comandi volutamente molto ristretta. Per prima cosa, un dry-run mostra in modo trasparente che cosa verrebbe applicato come patch, senza modificare nulla. Solo dopo l'approvazione l'agente avvia il vero `security_update`; un reboot avviene solo se è stato autorizzato e ricade in una finestra di manutenzione valida. A tal fine l'agente riconosce autonomamente se è necessario un riavvio.

Fondamentale per la sicurezza: l'agente esegue esclusivamente una allowlist di comandi predefinita (`dry_run`, `security_update`, `reboot`). I dati dell'utente non vengono interpolati nei comandi di sistema. In questo modo la Remote Code Execution è esclusa a livello architetturale: l'automazione non amplia la superficie di attacco.

Sei fonti di vulnerabilità, incluso il BSI tedesco

La qualità della remediation dipende interamente dalla qualità del rilevamento. Server Monitor confronta i pacchetti individuati con sei fonti:

• OSV — Open Source Vulnerabilities, il database trasversale per le vulnerabilità open source.
• NVD — il National Vulnerability Database come riferimento internazionale.
• Debian e Ubuntu — i security tracker specifici delle distribuzioni per un matching preciso dei pacchetti.
• CISA-KEV — il catalogo delle vulnerabilità note e attivamente sfruttate.
• BSI — il feed dell'ente federale tedesco per la sicurezza informatica (Bundesamt für Sicherheit in der Informationstechnik).

Il confronto delle versioni, consapevole di dpkg, è ottimizzato per Debian e Ubuntu. Questo confronto multi-fonte aumenta la qualità delle corrispondenze e riduce sensibilmente i falsi allarmi rispetto agli strumenti che consultano un solo database.

Ogni passaggio registrato a prova di revisione

Ogni cambio di stato di una vulnerabilità viene registrato in un audit-trail append-only: le voci non possono essere né sovrascritte né cancellate. Così da "hai 14 CVE" non si passa solo a "14 CVE sono state chiuse", ma a una prova solida e verificabile: quando ogni falla è stata rilevata, quando è stata corretta e in quale fase. È esattamente ciò che serve per gli audit di sicurezza e conformità.

Le interruzioni pianificate possono essere gestite tramite le finestre di manutenzione, così che né gli allarmi né i reboot diano luogo a falsi allarmi o riavvii indesiderati. In questo modo l'automazione di Server Monitor resta prevedibile, anche quando applica le patch in autonomia durante la notte.