La distribuzione di una singola patch per un singolo sistema è semplice. Possibile, la distribuzione dello stesso aggiornamento su più macchine, o dispositivi. Compito estremo, invece, la distribuzione di più patch, su sistemi multipli che richiedono il testing, e tra cui potrebbero essercene di collegati alla rete.
E’ noto che l’aggiornamento delle patch non è semplice, al contrario è un ambito complesso e mutevole. In sintesi, avere un sistema corretto di patch management, può semplificare la sicurezza nel tempo, eliminando uno dei principali rischi che le aziende devono affrontare. Ottenendo dati accurati su come siano distribuiti gli asset IT su tutta l’infrastruttura IT, organizzando le priorità delle patch in base a profili di rischio, e risolvendo la loro implementazione con l’automazione, si raggiunge l’efficienza della sicurezza sulle vulnerabilità.
Su come risolvere l’aggiornamento delle patch e la gestione delle vulnerabilità Darron Gibbard, Chief Technical Security Officer di Qualys propone alcuni suggerimenti raggruppati nei seguenti cinque punti.
1. Conosci la tua struttura
E’ difficile raggiungere un obiettivo se non si conoscono i propri mezzi. Se non si dispone un elenco completo, accurato e sempre aggiornato degli asset IT che l’azienda possiede e ha in uso, risulterà veramente difficile capire quali problemi siano già subentrati e quali potrebbero sorgere in futuro. Redigere manualmente questo elenco può risultare complicato per la maggior parte delle aziende, per questo gli strumenti per la gestione delle risorse IT possono aiutare nella creazione dell’asset list, e nel mantenerla costantemente aggiornata. Parliamo di un elenco che andrebbe esteso oltre la rete interna, per individuare tutti i luoghi dove sono impegnate le risorse IT e software. Le applicazioni basate su servizi di cloud pubblico o ibrido hanno altrettante probabilità di presentare difetti, e anch’esse devono essere sempre aggiornate. Avere una panoramica delle proprie risorse in un sito unico permette di individuare subito dove potrebbero insinuarsi le potenziali vulnerabilità.
2. Identifica i problemi e definisci le priorità
Alcune vulnerabilità si applicano a tutte le imprese perché presenti in applicazioni o sistemi operativi comuni: si pensi ad esempio a Microsoft Windows, alle applicazioni di Office o ai browser internet. Questo non esclude però la presenza di ulteriori criticità legate ad applicazioni più specializzate, con problemi che possono essere decisivi per coloro che utilizzano queste specifiche applicazioni, ma irrilevanti per tutti gli altri. Al contempo, però, nonostante siano applicazioni di nicchia, è bene non ignorarle e prenderle in considerazione perché, come è successo nel 2017 con gli attacchi di NotPetya, potrebbero fungere da gateway per un’intrusione di rete potenzialmente più ampia. E’ importante comprendere quali siano i problemi impellenti e quali invece possano considerarsi in un secondo momento, quindi quali patch devono essere applicate e in quale ordine cronologico. Seguire un ordine di priorità nell’applicazione di queste patch è per Gibbard il metodo più efficace per rendere il processo di sicurezza gestibile dalle aziende di ogni dimensione.
3. Test, test, test
Avere le patch testate, rapidamente e in maniera appropriata, è essenziale. Automatizzare il processo di patching può alleggerire il lavoro del team IT in merito ai problemi più comuni, come accade in Microsoft con il rilascio programmato ogni mese per la Patch Tuesday. Per quelle con rischi specifici di sicurezza, testarne manualmente l'implementazione e i risultati può aiutare a velocizzare il processo, concentrandosi maggiormente dove questo è necessario. Al contrario, quelle di bassa priorità o che potenzialmente si possono considerare in cicli più ampi di patching, posso essere gestite da altri. Il fatto di dare la precedenza a patch specifiche per velocizzarne il lancio aiuta anche a definire l’ordine da seguire per il testing, dove è necessario prestare maggiore attenzione, e dove invece è possibile sorvolare.
4. Dove possibile, automatizza
Automatizzare il processo di individuazione degli asset IT, cosicché siano tutti automaticamente registrati e tenuti sempre aggiornati, è uno dei passaggi che può agevolare a mantenere leggero il carico di lavoro. Anche l’automazione della gestione delle vulnerabilità e il processo di scanning possono aiutare a questo proposito: tenere sotto controllo le applicazioni web che lavorano al di fuori della rete interna e le risorse archiviate sul cloud, così da avere tutti i dati in un’unica posizione, e fornire gli strumenti che facilitano la gestione dei loro aggiornamenti.
5. Lavora sul tuo processo di gestione delle modifiche
Come parte di qualsiasi alterazione che riguardi l’IT, è comune doverne formalizzare un processo di revisione. Esistono schede di gestione dei cambiamenti utili a fornire una struttura ufficiale per gli aggiornamenti, e che ne garantiscono la totale aderenza e completezza. Tuttavia, questo processo può rallentare la distribuzione tempestiva delle patch.
Arriva HP Elite x2
Dunque, è bene esaminare come ottimizzare il processo in base agli aggiornamenti. Dare priorità alle questioni nelle applicazioni a rischio che sono responsabili del fatturato o rappresentano un serio rischio per la sicurezza, può aiutare a far accettare le modifiche più rapidamente; per le applicazioni di livello inferiore, o in cui i test sono stati completati con successo, ottenere l’approvazione dovrebbe essere una formalità. A prescindere da quale sia il metodo di gestione delle modifiche di ogni singola azienda, vale sempre la pena controllare che il processo sia ancora adatto allo scopo.