Per chi non ne avesse mai sentito parlare di risk-based patch management (RBPM) s’intende una strategia accessibile, logica ed efficace da adottare in un contesto di sicurezza informatica instabile, dove il termine instabile potrebbe non essere sufficientemente esplicativo. Questo perché se da un lato la trasformazione digitale e il passaggio all’everywhere workplace hanno creato enormi opportunità per i dipendenti e i dirigenti di ampliare geograficamente le proprie attività e il proprio business, dall’altro lato ha anche permesso ai criminali informatici di trarre benefici dal cambiamento stesso, cui si è arrivati senza un’adeguata adozione di best practice e standard di sicurezza. In tutto il mondo, i diversi organi preposti alla sicurezza lavorano incessantemente per l’adozione di misure idonee a contrastare la criminalità informatica. In Italia, l’Agenzia per la Cybersicurezza Nazionale ha pianificato ben 82 misure di sicurezza da attuare entro il 2026 con l’obiettivo di rendere più sicuro e resiliente il Paese. Tra queste rientrano le strategie per assicurare una transazione digitale cyber resiliente della Pubblica Amministrazione e del tessuto produttivo, la gestione di crisi cibernetiche attraverso il coinvolgimento e coordinamento di soggetti pubblici e privati e il raggiungimento di un’autonomia strategica nazionale ed Europea nel settore digitale.
Questi organismi esortano le organizzazioni di tutto il mondo ad applicare tempestivamente la patch, a disattivare porte e protocolli non necessari, a sostituire l’infrastruttura a fine vita e a implementare un sistema centralizzato di patch management. Sono tutte raccomandazioni che arrivano in un momento in cui i cyber criminali, anche quelli finanziati dallo Stato, continuano a sfruttare vulnerabilità note per ampliare la rete delle infrastrutture compromesse.
Al rapido aumento delle minacce non corrisponde però un adeguamento del personale IT dedicato e questo crea enormi problemi di sovraccarico di lavoro. I team si trovano a dover scegliere se tentare di applicare quante più patch possibili o se arrendersi e rinunciare del tutto.
Il primo approccio porta rapidamente al burnout, con il rischio di concentrarsi su una minaccia minore e non individuarne una più grave. Il secondo, pur comprendendo lo sconforto dei team, non rappresenta una soluzione praticabile. Basti solo pensare che, come riporta un recente report di Ivanti, le vulnerabilità connesse al ransomware sono in aumento del 29% rispetto all’anno scorso.
Che cosa si intende per patch management basato sul rischio?
Fortunatamente, l’RBPM offre una terza opzione. Ecco quattro validi motivi per cui l’RBPM rappresenta un valido approccio per le aziende:
- È una alternativa pragmatica al “tutto o niente”. Questo approccio non prevede di fare tabula tasa di tutte le minacce né di ignorarle sperando che svaniscano da sole. L’RBPM implica l’applicazione di una patch basata sul rischio, che rappresenta una mediazione strategica tra le due opzioni.
- L’RBPM è contestualizzato e personalizzato. La strategia di un’organizzazione si fonda sulla combinazione di informazioni relative alle minacce esterne, alle vulnerabilità e sul proprio specifico ambiente di sicurezza. Ed è proprio la personalizzazione che rende l’RBPM una soluzione molto efficace perché, non essendo generalizzata, è più difficile da eludere anche una volta che gli hacker scoprono come un’azienda opera.
- È più veloce e più efficiente rispetto ad altre strategie di patch management. Considerando il costante aumento di nuove minacce e violazioni, la velocità è essenziale.
- Infine, l’RBPM offre l’opportunità di sciogliere quei reparti IT di security e operations, che spesso lavorano isolati. Considerato che gli ambienti di sicurezza interni e la valutazione delle minacce esterne sono entrambi componenti essenziali dell’RBPM, questi reparti possono lavorare in modo interfunzionale per migliorare il lavoro reciproco.
Questo è solo un elenco sommario. L’RBPM indica quali minacce dovrebbero essere in cima all’elenco delle priorità, in modo che i team IT possano utilizzare al meglio il loro tempo affrontando le minacce che, statisticamente parlando, sono più preoccupanti. In questo modo l’RBPM produce anche un impatto sul morale del team e compensa parte dell’onere di essere sotto organico.
Le best practice dell’RBPM
Prima di adottare strategie e soluzioni RBPM le aziende devono capire come classificare e rispondere ai rischi. Per questo motivo si consiglia di:
- Effettuare un asset discovery per individuare gli endpoint e gli utenti attivi. È un passaggio importante poiché non si può pensare di intervenire su ciò che non si conosce.
- Assicurarsi che tutti possano accedere alle stesse informazioni. L’efficienza dell’RBPM dipende dalla sincronia tra tutte le parti, inclusi i team IT di security e operations.
- Ridurre il tempo di manutenzione assegnando priorità alle vulnerabilità e intervenendo proattivamente su quelle più critiche. Ciò richiede un’azione congiunta dei team di security e operations, con l’utilizzo delle stesse metodologie per assegnare le priorità ai rischi.
- Individuare i principali stakeholder che possano servire da campione per definire le priorità e testare le patch. I gruppi pilota forniscono informazioni reali più accurate rispetto a quelle che si possono ricavare da un ambiente di laboratorio controllato.
- Valutare possibili soluzioni di automazione. Queste rappresentano un importante vantaggio per l’RBPM, perché forniscono la raccolta, la contestualizzazione e la definizione delle priorità in tempi rapidi e accurati, impiegando meno risorse rispetto alle soluzioni RBPM manuali.
Oltre alle funzionalità di automazione, una soluzione RPBM dovrebbe prendere in considerazione altri elementi come ad esempio delle dashboard personalizzabili, un sistema di alert e uno di classificazione del rischio. È necessario avere a disposizione informazioni sulle minacce reali e la capacità di valutare fattori di rischio unici. La soluzione deve anche garantire un supporto eterogeneo a copertura dei diversi sistemi operativi in uso. Infine, naturalmente, non si può trascurare l’importanza dei dati. Una soluzione idonea deve offrire fonti di informazione diversificate e personalizzate, in grado di recepire i dati raccolti manualmente. Idealmente, l’RBPM fa parte di un sistema completo di gestione delle vulnerabilità basato sul rischio. Questo tipo di approccio può ridurre dell’80% le violazioni dei dati all’interno di un’organizzazione. Si tratta di una ridefinizione relativamente semplice del patch management che può dare risultati significativi. Ma soprattutto, i team IT devono passare da un approccio “check-the-box” delle patch di dispositivi/infrastrutture a un modello operativo efficace di prevenzione da eventuali attacchi.
