<x-app-layout>
    <div class="bg-white">
        <div class="max-w-7xl mx-auto py-16 px-4 sm:px-6 lg:py-20 lg:px-8">
            <div class="lg:grid lg:grid-cols-3 lg:gap-8">
                <div>
                    <h2 class="text-3xl font-bold text-gray-900">Concetti e definizioni</h2>
                    <p class="mt-4 text-lg text-gray-500">
                        In questa sede vengono date delle definizioni di alcuni concetti utilizzati con lo scopo di rendere più comprensibile la reportistica presentata in dashboard. Non si ha pretesa di esaustività o completezza: il grado di esattezza di ciascuna definizione varia ed è puramente funzionale a facilitare la comprensione dei risultati presentati (riteniamo che concetti oscuri ma esatti siano meno utili di informazioni semplificate con un grado di imprecisione accettabile).
                    </p>
                </div>
                <div class="mt-12 lg:mt-0 lg:col-span-2">
                    <dl class="space-y-12">
                        <div>
                            <dt class="text-xl leading-6 font-medium text-gray-900">Compliance AgID - SCA, o Security Configuration Assessment</dt>
                            <dd class="mt-2 text-base text-gray-800">
                                Con il documento 2016 “Misure minime di Sicurezza ICT per le pubbliche amministrazioni” AgID (l’Agenzia per l’Italia Digitale) ha definito un set di controlli (detti ABSC, a loro volta derivati dall’insieme di controlli SANS 20 pubblicato dal Center for Internet Security – CIS) composti sia da misure organizzative che da indicazioni di configurazioni dei sistemi operativi che – se rispettate – hanno l’obiettivo di portare il livello di sicurezza informatica degli strumenti digitali ad un livello Minimo, Standard o Alto a seconda del grado di complessità implementativa e dell’impatto atteso.<br/>
                                I controlli di compliance AgID definiti all’interno di questa piattaforma non hanno pretesa di rispecchiare con assoluta esattezza i controlli ABSC né vogliono rappresentare uno standard di riferimento, ma costituiscono misure di buon senso che vanno nella direzione indicata dal citato documento dell’Agenzia, attingendo il contenuto specifico dalle stesse misure SANS 20 da cui sono stati poi derivati gli ABSC.<br/>
                                In sostanza, per ogni “problema” posto da ciascun ABSC, si è cercato il test più semplice a livello di sistema operativo MS Windows che potesse indicare l’implementazione o meno della misura prescritta sulla maggior parte delle macchine.<br/>
                                Ad esempio, per il controllo ABSC 8.8.1 “Eseguire automaticamente una scansione anti-malware dei supporti removibili al momento della loro connessione” ci si è concentrati sul software di endpoint protection nativo di Windows (Microsoft Defender), dando come presupposto che sia attivo sulla maggior parte delle macchine analizzate dal momento che non ne è generalmente necessaria la disattivazione qualora si installi un differente prodotto antivirus. Ci sono chiaramente eccezioni a questa regola (esiste cioè la possibilità che su una macchina sia attivo un differente software di protezione terzo adeguato e Microsoft Defender sia stato disabilitato dall’Amministratore), ma si è scelto di effettuare il test di riferimento sulla situazione di gran lunga più comune.<br/>
                                I punteggi di compliance vanno quindi interpretati alla luce di questa limitazione, con la consapevolezza che esistono sempre più strade implementative per ciascun controllo: lo scopo dei test definiti su questa piattaforma non è ovviamente quello di ricomprenderle tutte.<br/>
                                La libreria di controlli a livello di configurazione OS è soggetta a revisione ed espansione periodica con nuovi suggerimenti di implementazione da parte degli sviluppatori. Le misure puramente organizzative prescritte dal documento AgID non sono validabili tramite questa piattaforma; tuttavia, l’adozione di uno strumento di questo tipo assolve implicitamente ad alcuni controlli, in particolare quelli ricompresi sotto ABSC 4 “Valutazione e correzione continua della vulnerabilità”, ma anche in parte – ad esempio – ABSC 1.1.1 e 1.1.2 (inventario automatico delle risorse attive) e ABSC 2.4.3 (strumenti automatici di inventario software).<br/>
                            </dd>
                        </div>
                        <div>
                            <dt class="text-xl leading-6 font-medium text-gray-900">CVE – Common Vulnerabilities and Exposures</dt>
                            <dd class="mt-2 text-base text-gray-800">
                                Si tratta di un progetto della MITRE sponsorizzato anche dal U.S. Department of Homeland Security e dal CISA americani, con lo scopo di catalogare tutte le vulnerabilità note a livello di software e categorizzarle con punteggi complessi di gravità in base a diverse metriche, tra cui l’impatto atteso su confidenzialità, integrità e disponibilità e la facilità di sfruttamento/disponibilità di exploit pubblici sul Web.<br/>
                                A ciascuna vulnerabilità viene assegnato un ID “CVE-XXXX-XXXX”, dove il primo gruppo di cifre rappresenta l’anno di catalogazione e il secondo è un numero progressivo. A ciascuna CVE viene solitamente assegnato uno score di gravità CVSS. CVE con punteggio di gravità più elevato generalmente vanno trattate con maggiore urgenza rispetto a vulnerabilità meno impattanti. La piattaforma riporta per ciascuna CVE o vulnerabilità alcuni suggerimenti di mitigazione: anche in questo caso si tratta di meri suggerimenti, dal momento che per ciascun problema esistono solitamente più strade di risoluzione. L’effettiva procedura di mitigazione adottata resta a discrezione dell’Amministratore di Sistema.<br/>
                                Per alcune macchine potrebbero venire evidenziati aggiornamenti di Windows mancanti (in base a specifici pacchetti KB non rilevati) che tuttavia non risulterebbero singolarmente installabili sulle macchine target: si tratta di un comportamento atteso, dal momento che alcune vulnerabilità a livello di sistema operativo vengono progressivamente risolte tramite aggiornamenti successivi che comprendono anche mitigazioni a problemi già presi in considerazione con aggiornamenti puntuali “d’emergenza”. Si consiglia in questi casi di verificare che la versione del sistema operativo sia supportata e che gli aggiornamenti automatici siano attivi, riducendo la priorità di eventuali alert residui nella pianificazione operativa.<br/>
                                La libreria delle CVE note viene mantenuta costantemente aggiornata tramite processi automatici.<br/>

                            </dd>
                        </div>
                    </dl>
                </div>
            </div>
        </div>
    </div>
</x-app-layout>