Non esiste, forse, infrastruttura It in cui non si insidi una qualche vulnerabilità che espone ad attacchi informatici. Se non nel presente, nel futuro. Dalla crescente complessità delle risorse informatiche aziendali deriva una non banale esigenza di costante aggiornamento, e dunque di una strategia di distribuzione delle patch che risulti tempestiva ed efficace. Darron Gibbard, chief technical security officer di Qualys, ci spiega quali sono i problemi da affrontare e snocciola cinque consigli.
Darron Gibbard, Ctso di Qualys
Ogni anno aumentano i problemi legati alla sicurezza, così come le nuove vulnerabilità del software che possono essere sfruttate. Un modo efficace per prevenire tali rischi è quello di aggiornare le patch previste dai singoli vendor, ma non è semplice come sembra. Il maggior ostacolo è dato dalla scalabilità. Il numero degli apparati It che le aziende utilizzano cresce di continuo, assieme ai dispositivi endpoint, ai server e alle applicazioni in uso che devono esser costantemente aggiornati. Di conseguenza, cresce anche il numero delle vulnerabilità note, mentre si riduce sensibilmente il tempo previsto per aggiornare le relative patch previste.
Il secondo problema è la correzione dell’errore. Le patch infatti potrebbero creare criticità ad altre applicazioni in uso oppure introdurre nuove vulnerabilità che ne minacciano la sicurezza in futuro. In alcuni casi, potrebbero non funzionare o danneggiare gli stessi dispositivi a cui sono collegati. Indipendentemente dall’output, una patch applicata male può causare molti danni.
La terza questione è legata al livello di prioritizzazione. Con così tanti asset da controllare e altrettante applicazioni da testare, può risultare difficile per il team It sapere dove orientare i propri sforzi. In effetti, concentrare le risorse sulle attività di maggior impatto sul business aziendale, ignorando invece le aree di minor importanza, è la sfida cui tutti dobbiamo saper rispondere.
Come risolvere l’aggiornamento delle patch e la gestione delle vulnerabilità
I modi per risolvere questi problemi esistono, attraverso un’applicazione più intelligente delle best practice legate alla sicurezza e anche attraverso una miglior attenzione ai comportamenti umani. Vediamo insieme quali sono i suggerimenti da seguire nel 2019.
1. Conosci la tua struttura
È difficile raggiungere un obiettivo se non si conoscono i propri mezzi. Se non si dispone un elenco completo, accurato e sempre aggiornato degli asset It che l’azienda possiede e ha in uso, risulterà veramente difficile capire quali problemi siano già subentrati e quali potrebbero sorgere in futuro. Redigere manualmente questo elenco può risultare complicato per la maggior parte delle aziende, per questo gli strumenti per la gestione delle risorse It possono aiutare nella creazione della lista degli asset e nel mantenerla costantemente aggiornata. Parliamo di un elenco che andrebbe esteso oltre la rete interna, per individuare tutti i luoghi dove sono impegnate le risorse It e software. Le applicazioni basate su servizi di cloud pubblico o ibrido hanno altrettante probabilità di presentare difetti e anch’esse devono essere sempre aggiornate. Avere una panoramica delle proprie risorse in un sito unico permette di individuare subito dove potrebbero insinuarsi le potenziali vulnerabilità.
2. Identifica i problemi e definisci le priorità
Ci sono sempre molteplici criticità e se si presta troppa attenzione a un singolo problema, si perde di vista ciò che conta davvero. È indispensabile quindi concentrarsi nel definire le priorità sulla base dei rischi reali che potrebbero toccare la nostra organizzazione.
Alcune vulnerabilità si applicano a tutte le imprese perché presenti in applicazioni o sistemi operativi comuni: si pensi ad esempio a Microsoft Windows, alle applicazioni di Office o ai browser internet. Questo non esclude però la presenza di ulteriori criticità legate ad applicazioni più specializzate, con problemi che possono essere decisivi per coloro che utilizzano queste specifiche applicazioni, ma irrilevanti per tutti gli altri. Al contempo, però, nonostante siano applicazioni di nicchia è bene non ignorarle e prenderle in considerazione perché, come è successo nel 2017 con gli attacchi di NotPetya, potrebbero fungere da gateway per un’intrusione di rete potenzialmente più ampia. È importante comprendere quali siano i problemi impellenti e quali invece possano considerarsi in un secondo momento, quindi quali patch debbano essere applicate e in quale ordine cronologico. Seguire un ordine di priorità nell’applicazione di questi correttivi è il metodo più efficace per rendere il processo di sicurezza gestibile dalle aziende di ogni dimensione.
3. Test, test, test
Far sì che le patch siano testate rapidamente e in maniera appropriata è essenziale. Automatizzare il processo di patching può alleggerire il lavoro del team It in merito ai problemi più comuni, come accade in Microsoft con il rilascio programmato ogni mese per la Patch Tuesday. Per quelle con rischi specifici di sicurezza, testarne manualmente l'implementazione e i risultati può aiutare a velocizzare il processo, concentrandosi maggiormente dove questo è necessario. Al contrario, quelle di bassa priorità o che potenzialmente si possono considerare in cicli più ampi di patching possono essere gestite da altri. Il fatto di dare la precedenza a patch specifiche per velocizzarne il lancio aiuta anche a definire l’ordine da seguire per il testing, dove sia necessario prestare maggiore attenzione e dove invece sia possibile sorvolare.
4. Dove possibile, automatizza
Oggigiorno, i problemi di sicurezza cui dobbiamo far fronte sono tantissimi, al punto che l’automazione è per i team di sicurezza l’unico modo per tenere il passo. Automatizzare il processo di individuazione degli asset It, cosicché siano tutti automaticamente registrati e tenuti sempre aggiornati è uno dei passaggi che può agevolare a mantenere leggero il carico di lavoro. Anche l’automazione della gestione delle vulnerabilità e il processo di scanning possono aiutare a questo proposito: tenere sotto controllo le applicazioni web che lavorano al di fuori della rete interna e le risorse archiviate sul cloud, così da avere tutti i dati in un’unica posizione, e fornire gli strumenti che facilitano la gestione dei loro aggiornamenti.
5. Lavora sul processo di gestione delle modifiche
All’interno di qualsiasi alterazione che riguardi l’It è comune dover formalizzare un processo di revisione. Esistono schede di gestione dei cambiamenti che sono utili per avere una struttura ufficiale per gli aggiornamenti, e che ne garantiscono la totale aderenza e completezza. Tuttavia, questo processo può rallentare la distribuzione tempestiva delle patch.
Dunque, è bene esaminare come ottimizzare il processo in base agli aggiornamenti. Dare priorità alle questioni nelle applicazioni a rischio che sono responsabili del fatturato o rappresentano un serio problema per la sicurezza può aiutare a far accettare le modifiche più rapidamente; per le applicazioni di livello inferiore, o quelle i cui i test siano stati completati con successo, ottenere l’approvazione dovrebbe essere una formalità. A prescindere da quale sia il metodo di gestione delle modifiche di ogni singola azienda, vale sempre la pena controllare che il processo sia ancora adatto allo scopo.
Il patching non è semplice
La distribuzione di una singola patch su un singolo sistema è semplice. La distribuzione dello stesso aggiornamento su più macchine o dispositivi è fattibile. Compito estremo, invece, è la distribuzione di più patch, su sistemi multipli che richiedono il testing, e tra cui potrebbero essercene di collegati alla rete.
Dobbiamo essere sinceri: l’aggiornamento delle patch non è semplice, al contrario è un ambito complesso e mutevole. In sintesi, avere un corretto sistema di patch management può semplificare la sicurezza nel tempo, eliminando uno dei principali rischi che le aziende devono affrontare. Ottenendo dati accurati su come siano distribuiti gli asset It su tutta l’infrastruttura informatica, organizzando le priorità delle patch in base a profili di rischio e risolvendo la loro implementazione con l’automazione si raggiunge l’efficienza della sicurezza sulle vulnerabilità.