Il patching di software e sistemi vulnerabili è più importante – e più difficile da gestire – che mai. Ecco come gli MSP possono rendere il loro processo di gestione delle patch più efficiente, eliminare le interruzioni e mantenere i loro clienti al sicuro.
Cosa tratterà questo post:
- Perché una gestione efficiente delle patch è sempre più critica
- Come appare un efficace processo di gestione delle patch
- 3 best practice e linee guida chiave per la gestione delle patch per gli MSP verso il 2021
Perché la gestione delle patch è importante?
Il patch management non solo mantiene i sistemi e le applicazioni senza problemi, ma è anche una delle attività fondamentali per mantenere sicure le organizzazioni di oggi. Lasciare le macchine senza patch le rende vulnerabili agli attacchi informatici, e il rischio è tutt’altro che teorico. Infatti, secondo il Ponemon Institute, la maggior parte delle violazioni di dati (57%) può essere attribuita direttamente agli aggressori che sfruttano una vulnerabilità nota che non era stata patchata.
57% delle violazioni di dati sono attribuite alla cattiva gestione delle patch.
Fonte: Ponemon
Una rapida scansione dei titoli relativi alla sicurezza offre numerosi esempi, da Equifax (colpevole: una vulnerabilità Apache Struts non patchata da due mesi) a SingHealth (dati di 1,5 milioni di pazienti esposti grazie a una versione non aggiornata di Outlook).
Tutti hanno provocato incidenti di sicurezza molto pubblicizzati e violazioni di dati che avrebbero potuto essere evitati con una gestione più rigorosa ed efficiente delle patch.
L’improvvisa corsa per far lavorare i dipendenti in remoto durante la crisi COVID ha aggravato il problema, con gli attaccanti che cercano abitualmente di sfruttare le vulnerabilità nelle popolari soluzioni Virtual Private Network (VPN), tra cui:
- Citrix (CVE-2019-19781)
- Palo Alto (CVE-2020-2021)
- Pulse Secure (CVE-2019-11510)
- SonicWall (CVE-2020-5135).
La sfida per le piccole e medie imprese
Se alcune delle organizzazioni più grandi e ben finanziate del mondo hanno difficoltà con la gestione delle patch, che possibilità hanno le piccole e medie imprese con un supporto IT limitato?
Sono stati pubblicati più di 12.000 CVE nel 2019.
Fonte: CVE details
Alcune delle maggiori difficoltà con il patching si concentrano sul fatto che il processo può richiedere tempo, essere complicato e disturbare gli utenti finali. Di conseguenza, è facile rimandare il patching o semplicemente avere aggiornamenti importanti che si perdono nella confusione. E con più di 12.000 CVE pubblicati nel 2019, non sorprende che molte organizzazioni abbiano difficoltà a tenere il passo.
Il tempo medio per la patch è di 102 giorni.
Fonte: Ponemon
Purtroppo, il rischio che rappresentano i sistemi senza patch è in aumento. Una volta che una vulnerabilità è stata divulgata e una patch è stata rilasciata, è una corsa per le organizzazioni ad applicare la patch prima che gli attaccanti inizino a sfruttarla attivamente. Quella finestra di tempo si sta riducendo drasticamente, con numerosi esempi nel 2018 in cui gli aggressori sono stati in grado di lanciare attacchi abusando di nuove vulnerabilità pochi giorni dopo la loro divulgazione.
Una volta che gli exploit funzionanti sono stati sviluppati, vengono adottati rapidamente. Strumenti di scansione come Shodan, nmap e masscan rendono poi banale per gli attaccanti identificare i sistemi vulnerabili e lanciare campagne mirate.
Per molte piccole imprese, la soluzione per rimanere in cima ai cicli di patch è esternalizzare l’onere agli MSP. Ma come affrontano il problema gli MSP più efficaci?
Come si presenta un efficace processo di gestione delle patch?
Di seguito un modello in 10 fasi che evidenzia le considerazioni fondamentali che devono essere inserite in qualsiasi piano di gestione delle patch. Prima di tuffarvi in questo flusso di lavoro, dovrete assicurarvi di aver lavorato con il vostro cliente per stabilire chiaramente ruoli e responsabilità per ogni fase, e che tutti gli stakeholder chiave siano pienamente a bordo.
Step 1: Discovery
Prima di tutto, dovete assicurarvi di avere un inventario completo della rete. Al livello più elementare, questo include la comprensione dei tipi di dispositivi, sistemi operativi, versioni del sistema operativo e applicazioni di terze parti. Molte violazioni hanno origine perché ci sono sistemi trascurati o dimenticati di cui l’IT ha perso traccia. Gli MSP dovrebbero utilizzare strumenti che consentano loro di eseguire la scansione degli ambienti dei loro clienti e ottenere istantanee complete di tutto ciò che è in rete.
Step 2: Categorizzazione
Segmenta i sistemi gestiti e/o gli utenti in base al rischio e alla priorità. Esempi potrebbero essere il tipo di macchina (server, laptop, ecc.), il sistema operativo, la versione del sistema operativo, il ruolo dell’utente, ecc. Questo vi permetterà di creare politiche di patching più granulari invece di adottare un approccio unico per tutte le politiche.
Step 3: Creazione della politica di gestione delle patch
Creare i criteri di patching stabilendo cosa verrà patchato e quando, in quali condizioni. Per esempio, potreste voler garantire che alcuni sistemi/utenti siano sottoposti a patch più frequentemente e automaticamente di altri (il programma di patch per gli utenti finali di computer portatili potrebbe essere settimanale, mentre le patch per i server potrebbero essere meno frequenti e più manuali). Potreste anche voler trattare diversi tipi di patch in modo diverso, con alcuni che hanno un processo di rollout più rapido o più esteso (pensate agli aggiornamenti del browser rispetto agli aggiornamenti del sistema operativo; aggiornamenti critici rispetto a quelli non critici, per esempio). Infine, vorrete identificare le finestre di manutenzione per evitare interruzioni (prendere in considerazione i fusi orari per le patch “follow the sun”, etc.) e creare delle eccezioni.