La criticità delle patch software è ancora una volta sotto i riflettori dopo la scoperta delle vulnerabilità Spectre e Meltdown che hanno colpito la maggior parte dei processori prodotti negli ultimi 20 anni. La situazione odierna ricorda quella dello scorso anno creatasi all’indomani degli attacchi ransomware WannaCry e Petya, che sfruttavano entrambi software non aggiornati da patch tra l’altro già disponibili.

Tali compromessi iniziano a mostrare tutte le complessità che stanno dietro alla gestione delle patch (patch management), una disciplina in cui l’IT e la sicurezza informatica devono comprendere i rischi per la sicurezza e pesarli contro i rischi di interruzioni dell’attività e malfunzionamenti dell’infrastruttura IT, che possono sorgere quando vengono applicate le patch.

Cos’è la gestione delle patch?

La gestione delle patch è semplicemente la pratica dell’aggiornamento del software con nuove porzioni di codice necessarie ad affrontare e risolvere le vulnerabilità che potrebbero essere sfruttate dagli hacker, ma anche per risolvere altri problemi o aggiungere nuove funzioni a un’applicazione o a un sistema operativo. Sebbene questa pratica sembri semplice, in realtà non lo è affatto per la maggior parte delle organizzazioni IT.

L’applicazione di patch software in aziende moderne con ambienti complessi e spesso personalizzati con più punti di integrazione potrebbe infatti rallentare l’hardware o il software, come nel caso delle patch progettate per correggere le vulnerabilità di Spectre e Meltdown. Le patch potrebbero chiudere porte, disabilitare componenti critici dell’infrastruttura, mandare in crash i sistemi o ridurne la disponibilità. Tutti potenziali scenari che potrebbero lasciare le aziende senza questi sistemi di cui hanno bisogno per operare o gestire transazioni.

“Quando si ha a che fare con una grande azienda o reti diverse, l’applicazione di una patch può fare molte cose diverse a molti sistemi diversi. Sì, potrebbe risolvere un buco di sicurezza, ma al tempo stesso ci sono conseguenze indesiderate che possono emergere dalla sua applicazione” afferma Frank Downs, direttore ed esperto di cybersecurity presso ISACA, un’associazione professionale internazionale incentrata sulla governance IT.

Le organizzazioni devono anche fare i conti con il tempo e le risorse necessarie per implementare le patch. Lo staff IT ha infatti bisogno di tempo per testare, distribuire e documentare le patch, tempo che lo allontana da ulteriori attività a valore aggiunto. Lo staff ha inoltre bisogno di tempo per spegnere e riavviare i sistemi e implementare completamente le patch, il che può significare una perdita di produttività significativa per gli altri comparti aziendali.

Rimane il fatto che la gestione delle patch è comunque essenziale. Gartner, nel suo documento Insight for Patch Management Tools del 2017, riporta che il 99% degli exploit si basa su vulnerabilità note, molte delle quali hanno patch che le risolvono.

I passi da seguire nel processo di gestione delle patch

La recente ondata di attacchi che ha sfruttato sistemi privi di patch ha aumentato la pressione sulle organizzazioni per gestire meglio e distribuire più rapidamente patch su server, endpoint, database e applicazioni. “Certo, lo sviluppo di un solido processo di gestione delle patch potrebbe non sembrare esaltante come implementare nuove difese di sicurezza informatica, ma porta a notevoli benefici” dice Terrence Cosgrove, analista di Gartner. “Pensiamo che la cosa più importante che possiate fare sia migliorare il vostro processo di patching. Si tratta di fare bene le cose di base riducendo tutti i rischi connessi”.

patch_d-100526948-primary.idge

Secondo Cosgrove, Downs e altri leader della sicurezza informatica e IT un efficace processo di gestione delle patch si attua in questi sei passaggi chiave.

  • 1. Stabilire la gestione delle patch come priorità. Gli addetti alle operazioni IT generalmente applicano le patch, ma sono spesso distratti da richieste e priorità concorrenti. Pertanto i leader aziendali che desiderano coltivare una solida disciplina di gestione delle patch devono riconoscerla come priorità, sviluppare un vero e proprio programma di patching e allocare le risorse necessarie per metterlo in pratica e mantenerlo attivo.
  • 2. Avere un inventario accurato. L’IT deve conoscere ogni risorsa nel proprio ambiente per identificare quali patch sono necessarie nel momento in cui i fornitori le rendono disponibili. “Non è possibile applicare patch a ciò che non si sa di avere”, afferma Scott Laliberte, managing director e leader della practice di sicurezza delle informazioni globali della società di consulenza Protiviti. Questo obiettivo può essere impossibile, in particolare nelle grandi organizzazioni, ma i leader aziendali dovrebbero lavorare per raggiungerlo, anche attraverso la mappatura e l’automazione della rete per creare un inventario più accurato possibile.
  • 3. Sviluppare una procedura di test. “È necessario controllare tutti i sistemi prima di applicare le patch e assicurarsi che la patch non danneggi nulla. Testate le patch, seguite tutti i passaggi e assicuratevi che non ci siano conseguenze negative prima di applicarla”, afferma Down. Brian Contos, CISO di Verodin, raccomanda l’implementazione di un laboratorio di test che simuli l’ambiente di produzione. Riconosce che questo approccio può essere costoso e dispendioso in termini di tempo, “ma è meno costoso che danneggiare qualcosa nel vostro ambiente di produzione”.
  • 4. Impegnatevi. Le complessità del moderno stack IT, con i suoi numerosi punti di integrazione e i suoi componenti aggiuntivi spesso diffusi tra più postazioni, rendono il patching più complicato. “L’IT deve accettare il fatto che ci saranno alcuni problemi e lavorare su di essi piuttosto che rimandarne la soluzione ed evitarli”, dice Laliberte.
  • 5. Assegnare la responsabilità. Un tipico dipartimento IT ha molti lavoratori che applicano le patch come parte del loro insieme di responsabilità; di conseguenza, la gestione delle patch può diventare un compito svolto da molti ma di proprietà di nessuno. Ma è difficile per un’azienda avere un efficace processo di gestione delle patch senza una chiara responsabilità. “Non dovete assumere un gestore di patch, a meno che non siate una grande compagnia multinazionale che potrebbe averne bisogno. Ma dovrebbe esserci almeno una figura lavorativa che si prenda carico della responsabilità della gestione delle patch”, dice Down.
  • 6. Tenere traccia delle patch. Una solida disciplina di gestione delle patch dovrebbe includere, oltre a un inventario documentato delle risorse, un modo per identificare e documentare le patch man mano che vengono rilasciate dai fornitori e quando sono pianificate per essere testate e distribuite in azienda. Laliberte raccomanda inoltre di sviluppare metriche e dashboard per illustrare la gestione delle patch, in modo che il management sappia dove sono già state affrontate le vulnerabilità, per quanto tempo il sistema può andare avanti senza patch e dove rimangono le vulnerabilità.

Utilizzo di software di gestione delle patch

Le organizzazioni più piccole con ambienti IT meno complessi possono essere in grado di tracciare, testare, applicare e documentare patch senza appositi strumenti di gestione. Alcuni reparti IT più grandi continuano a seguire questa strada utilizzando script e processi manuali per la patch di alcuni sistemi. Tuttavia, i leader della sicurezza informatica affermano che oggi le aziende devono investire in software di gestione delle patch che consenta loro di applicare rapidamente e coerentemente le patch sulle diverse piattaforme che hanno all’interno dei loro ambienti IT.

Non esiste un unico strumento in grado di gestire ogni singola patch in tutta la gamma di tecnologie nella maggior parte delle organizzazioni. Gli strumenti di gestione delle patch possono far parte di suite di gestione più ampie o essere soluzioni autonome. La maggior parte delle organizzazioni ricorre a più di un tipo di soluzioni, selezionando quelle che meglio soddisfano le loro esigenze in base al software e ai sistemi hardware specifici che già utilizzano, alla velocità con cui desiderano distribuire le patch, ai rischi aziendali e ad altri fattori simili.

Politica di gestione delle patch

A causa delle complessità e dei rischi legati all’applicazione di patch e al fatto che gli staff IT e di sicurezza abbiano così tante altre responsabilità a cui badare, le organizzazioni tendono ad avere un approccio reattivo piuttosto che sistematico per affrontare il processo di patching. Questo, tuttavia, aumenta solo il rischio che gli attacchi vengano indirizzati a sistemi privi di patch o che sfruttino complicazioni derivanti da un patching mal eseguito.

Contos consiglia ai leader aziendali di sviluppare una politica di gestione delle patch che consideri i rischi aziendali e la struttura complessiva della sicurezza dell’organizzazione per determinare con maggiore precisione la frequenza e le scadenze necessarie per l’applicazione delle patch. “Non è nulla di particolarmente affascinante”, ammette, “e quando tutto funziona bene, nessuno sa che avete fatto qualcosa. È solo quando le cose vanno male che a qualcuno interessa la gestione delle patch, una pratica che funziona solo se convalidata nel tempo e non come una reazione istintiva a un problema di sicurezza”.