Il mancato o ritardato patching è un problema che, secondo l'ultima rilevazione del Ponemon Institute, è la causa del 60% delle violazioni alla sicurezza informatica aziendale. Insieme alle password poco sicure o riciclate è uno dei maggiori problemi di cyber security. Si pensi che ci sono vulnerabilità vecchie di quattro anni che vengono ancora sfruttate con successo.

Al riguardo è intervenuto Chris Goettl, Director of Security Product Management di Ivanti, che ha fatto il punto sui motivi addotti più di frequente dalle aziende per giustificare i ritardi nel patching, e ha esposto soluzioni pratiche che potrebbero fare per abbassare la soglia di rischio.

Perché non si installano le patch

Goettl indica tre principali motivi del mancato patching: pratico, emotivo e operativo. Il primo è una mera questione di priorità: i reparti IT, spesso in carenza di personale, sono surclassati di lavoro. La lista dei problemi urgenti da risolvere è talmente lunga che l'applicazione delle patch finisce immancabilmente in secondo piano.

Chris Goettl, Director of Security Product Management di IvantiIl problema è reale, basti pensare alla situazione in cui si sono trovate le aziende l'aprile scorso, con decine, centinaia o migliaia di dipendenti da rendere produttivi da casa, all'improvviso. Modificare l'infrastruttura, dimensionare le VPN e fornire a tutti gli strumenti indispensabili per lavorare era la priorità assoluta. Il patching è finito nel dimenticatoio.

Passiamo alla questione emotiva. È una scusante che ha il suo fondamento quando si hanno in azienda sistemi e macchinati molto datati, che con l'applicazione delle patch potrebbero smettere di funzionare. O potrebbero perdere la certificazione d'uso, come accade con alcuni dispositivi medicali in uso negli ospedali. Difficilmente un responsabile IT vuole prendersi la responsabilità di bloccare la produttività per l'installazione di un aggiornamento software.

Per quanto concerne i motivi operativi, Goettl parte dal presupposto reale che tutti i produttori software, e spesso anche quelli hardware, pubblicano decine di patch ogni settimana. L'IT dovrebbe sapere quali vulnerabilità rappresentano la minaccia maggiore, e dare priorità all'applicazione di quelle patch in maniera selettiva. Il problema è che le aziende faticano a gestire la varietà di applicazioni presenti nei loro ambienti, e di conseguenza a comprendere la priorità degli aggiornamenti.

Una possibile soluzione

I problemi pratici e operativi accennati sopra si possono risolvere facilmente con il patching automatizzato. È una tecnologia che esiste da anni. Di recente gli esperti di sicurezza hanno iniziato a rimarcare che l'unica via per consentire ai team risicati di gestire tutte le incombenze è l'automatizzazione. Automatizzazione che è stata vista con grande diffidenza, ma di cui oggi non è più possibile fare a meno, considerato l'ampliamento delle infrastrutture con soluzioni ibride on-premises e cloud. 

Esistono procedure e sistemi che possono essere messi in atto per ottimizzare l'applicazione delle patch e ridurre la superficie di rischio dell'azienda. I processi di patch possono essere migliorati di modo che l'applicazione delle patch non sia più un problema operativo dispendioso in termini di tempo.

Come la mettiamo con i possibili problemi dovuti al patching? Goettl taglia corto: "nessun amministratore IT potrà mai testare completamente l'effetto degli aggiornamenti sul proprio ambiente". Si possono fare test su gruppi pilota di utenti, si possono incrociare i dati di telemetria con le segnalazioni sui social media, in modo da eseguire solo test mirati e massimizzare l'efficienza.

Decisioni basate sul rischio

La questione però resta: bisogna prendere decisioni basate sul rischio. Ci si può affidare al punteggio di gravità assegnato alle falle dai produttori stessi, ma così facendo si lasciano comunque aperte molte vulnerabilità ad alto rischio che vengono attivamente sfruttate. Per una decisione consapevole occorre espandere la knowledge base includendo tutte le vulnerabilità attivamente sfruttate, che quindi comportano rischi reali l'azienda.

A quel punto deve subentrare l'automazione, che diffonde le correzioni a tutti i dispositivi, compresi quelli connessi da remoto – che oggi sono la maggioranza. Oltre tutto, molte soluzioni automatiche beneficiano dell'apprendimento automatico per supportare nella rilevazione, diagnostica e correzione proattiva delle vulnerabilità. Un altro strumento oggi indispensabile è l'Intelligenza Artificiale con il machine learning: mediante modelli condivisi di minacce aiuta nelle prioritizzazione del patching, risparmiando ore di lavoro ai team IT.