In passato, la gestione delle patch era un problema che riguardava unicamente il settore IT, escludendo la cybersecurity. Nel 2001, con la diffusione di Code Red, Microsoft ha iniziato a rilasciare patch per rimediare alle vulnerabilità di sicurezza presenti nel proprio software. Sempre in ambito cybersecurity, i worm del 2009, 2011 e 2012, incluso WannaCry nel 2017, hanno colpito intere reti aziendali. Questi incidenti hanno imposto alle imprese di adottare controlli regolari di patch management.
Per fronteggiare queste criticità, è stato anche implementato un sistema capace di catalogare ed individuare le vulnerabilità. Il primo di essi è stato istituito nel 1999 e utilizzato per la prima volta da agenzie federali statunitensi, su raccomandazione del National Institute of Standards and Technology. Tuttavia, l’utilizzo su larga scala è cominciato solo nel 2011, con l’implementazione del primo National Vulnerability Database (NVD).
Si tratta di un database del governo USA, disponibile pubblicamente, che integra tutte le informazioni relative alle vulnerabilità di cybersecurity, fungendo da punto di riferimento per le aziende. Il medesimo, si fonda sull’elenco CVE, che usa un sistema di punteggio per valutare la gravità di rischio di ciascuna falla. Al giorno d’oggi, l’NVD è uno strumento efficace, poiché rileva le vulnerabilità e assegna loro priorità diverse a seconda del livello di rischio.
A partire dal 2011, il patch management è diventato una best practice di sicurezza in tutto il settore. È tuttavia un’attività complicata, a causa dell’aumento delle vulnerabilità e della complessità dell’infrastruttura IT. Altri fattori critici sono i sistemi mission-critical, che non possono essere interrotti, e la mancanza di budget o di competenze per controllare, implementare e applicare patch con regolarità.
Creando l’NVD si è compiuto un primo passo importante nell’ambito della gestione di vulnerabilità e patch. Tuttavia, il fattore tempo è un elemento critico, poiché ci sarà sempre un periodo di latenza. Difatti, una volta individuata una falla, inizia una corsa contro il tempo per implementare una patch, distribuirla ed applicarla prima che possa essere sfruttata da un cybercriminale. In passato la latenza era di 15-60 giorni, al giorno d’oggi è di un paio di settimane. In secondo luogo le organizzazioni devono anche considerare che non tutte le vulnerabilità però possono essere risolte. I dati, infatti, mostrano che solo il 10% delle falle conosciute può essere corretto con l’attività di patch management. Di conseguenza, il restante 90% non può essere patchato, il che lascia alle aziende con la possibilità di modificare il sistema di controllo o quella di correggere il codice.
L’NVD, tuttavia, oltre ad aiutare le imprese a difendersi, può anche essere sfruttato dai malintenzionati. Negli ultimi cinque anni, essi hanno migliorato le proprie tecniche di attacco attraverso l’automazione e il machine learning. Attualmente, grazie a queste ultime, riescono ad individuare con rapidità i sistemi privi di patch di un’azienda, sfruttando anche i dati sulle vulnerabilità dell’NVD.
Da una parte, quindi, ci sono le imprese che tentano di correggere ogni singola vulnerabilità, dall’altra ci sono i cybercriminali che cercano la falla sprovvista di patch per attaccarla. Di conseguenza, l’attività di patch management deve coinvolgere un’intera organizzazione, oltrepassando il reparto IT.
La gestione delle patch è anche una pratica obbligatoria per dimostrare la conformità alle norme di sicurezza, ed è un requisito essenziale per l’assicurazione informatica. Con l’incremento degli attacchi ransomware che colpiscono servizi ospedalieri mission-critical, essa è diventata un’attività cruciale. I team di sicurezza e IT, tuttavia, essendo sotto pressione, non riescono a tenere il passo per fronteggiare in modo efficace queste criticità. Il settore informatico deve quindi adottare un nuovo approccio per automatizzare il processo di patch management.
A cura di Srinivas Mukkamala, Senior Vice President of Security Products di Ivanti