L’attività di gestione delle patch coinvolge analisti della sicurezza, professionisti IT e criminali informatici. Fronteggiare adeguatamente questi ultimi è spesso difficile, a causa dell’attrito tra team di sicurezza e IT. Inoltre, se per avere successo è sufficiente sfruttare una singola vulnerabilità, un’azione di difesa efficace richiede la conoscenza di tutte le falle di sicurezza.
A fronte di frequenti cyberattacchi, gli analisti della sicurezza utilizzano spesso diversi strumenti per valutare il potenziale rischio, con difficoltà nel gestire eventuali incidenti. Inoltre, rimangono sempre aggiornati su minacce ed eventi in grado di compromettere la sicurezza della propria azienda.
I team IT, invece, devono garantire la continuità del sistema e la sua capacità di risposta. Per questo motivo a volte sono restii a implementare patch se non vi sono segnalazioni di priorità. Difatti, devono bilanciare la necessità di un uptime continuo con quella di implementare patch di sicurezza, non pianificate e potenzialmente in grado di compromettere prestazioni e affidabilità del sistema. Questi professionisti spesso lavorano in silos, gestendo la manutenzione del comparto IT e il rischio per il proprio settore di competenza.
Infine, ci sono i criminali informatici, che sfruttano lacune di sicurezza attraverso il cybercrime-as-a-service per attaccare su larga scala. Ad esempio, Conti, uno dei maggiori gruppi ransomware al giorno d’oggi, sfrutta un modello di ransomware as-a-service. A questo riguardo, la Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) hanno di recente rilevato un incremento nell’uso del ransomware Conti in oltre 400 attacchi ad aziende internazionali.
Per contrastare efficacemente i cybercriminali, team di sicurezza e IT devono quindi collaborare, riducendo il tempo di applicazione delle patch. In questa prospettiva, è fondamentale l’approccio di gestione delle vulnerabilità basato sul rischio. Difatti, non è possibile correggere ogni falla di sicurezza, ma è necessario assegnare delle priorità, adottando le patch in base alla gravità della minaccia. Inoltre, le vulnerabilità sono molto diverse tra di loro, con meno del 10% che ha exploit noti. Attualmente, ci sono 200.000 falle di sicurezza diverse, di cui 22.000 provviste di patch. In aggiunta, delle 25.000 falle sfruttate con exploit o malware, solo 2.000 hanno patch, per cui team di sicurezza e IT possono ignorare con facilità oltre 20.000 patch.
È cruciale quindi che le aziende individuino le vulnerabilità più critiche. Ad esempio, se tra 6.000 falle di sicurezza 130 sono quelle più sfruttate, e per esse sono disponibili 68 patch, è fondamentale implementare queste ultime in via prioritaria. Professionisti del settore e società di analisi raccomandano pertanto di adottare un approccio basato sul rischio, identificando e prioritizzando la correzione delle vulnerabilità più critiche. A questo proposito, la Casa Bianca ha di recente rilasciato una circolare che incoraggia le aziende ad utilizzare una strategia di valutazione basata sul rischio, attraverso attività di patch management e di cybersecurity adeguate.
È fondamentale, inoltre, che le imprese dispongano di informazioni dettagliate su ogni patch e sulle maggiori vulnerabilità, prioritizzando queste ultime in base al rischio ed automatizzando il sistema di patch intelligence per fronteggiare efficacemente eventuali cyber-minacce.
Di Srinivas Mukkamala, Senior Vice President of Security Products di Ivanti
