In ottica di sicurezza informatica aziendale risulta estremamente importante seguire le Best practices per quanto riguarda il patch management. L’attività di patching può risultare complessa, ma se gestita all’interno di un processo efficiente ed efficace, porta benefici in termini economici e di sicurezza aziendale.

Studio Ponemon Institute relativo al patch management

Secondo un recente studio condotto da Ponemon Institute è interessante notare come il 60% dei Security Breach avvenuti nel 2019, ha avuto successo sfruttando delle vulnerabilità, per le quali era già stato messo a disposizione un’apposita Hotfix. Sempre secondo lo stesso studio, mi ha colpito questo dato: il ransomware Emotet (un banking trojan che ha fatto parecchie aziende “vittime”) nel quarto trimestre del 2019 ha subito un rallentamento della diffusione del 70% in seguito ad un parallelo processo di upgrade dei sistemi Windows 7 a favore di Windows 10.

patch management

Cosa è una patch e a cosa serve

Prima di parlare di patch management, facendo un passo indietro, vediamo effettivamente cosa è una patch e cosa significa patchare.

Patch (dall’inglese “toppa”) sta ad indicare in ambito informatico una porzione di software scritto per correggere, aggiornare, oppure migliorare le funzionalità di un programma. Le correzioni, i miglioramenti comprendono il superamento di vulnerabilità di sicurezza e altri errori (bug) generici. In tal caso queste patch vengono anche chiamate fix o bugfix.

Con il termine Patching, da cui deriva il gergo informatico patchare, si indica, invece, l’applicazione e l’installazione effettiva delle patch. Alcune patch per loro natura potrebbero essere applicate “a caldo”, ovvero senza fermare/stoppare applicativi o sistemi, altre vanno gestite “a freddo” andando ad interrompere l’esecuzione di determinati processi e servizi, con relativa indisponibilità dello stesso e di conseguenza applicazioni/sistemi coinvolti.

L’importanza del patch management per la sicurezza aziendale

Gestione di un sistema di patch management

In ambito aziendale risulta importante affidare ad un sistema la gestione del patch management. Il tempo utilizzato per le operazioni di deployment effettive delle patch dovrebbe essere ridotto al minimo, al fine di concentrare le risorse disponibili sulle operazioni di manutenzioni quotidiane. Un efficace sistema di patch management dovrebbe “soddisfare” questi 6 punti chiave:

  • 1. Identificare come prioritario il management delle patch. I tecnici IT nelle loro attività quotidiane applicano spesso le patch, ma spesso vengono distratti da richieste e priorità diverse dal patching. Pertanto i decisori aziendali a livello IT devono riconoscerla come priorità, in modo da sviluppare un vero e proprio programma di patching, allocando le risorse necessarie per attivarlo e successivamente mantenerlo.
  • 2. Effettuare un inventario delle patch. Il personale IT deve conoscere ogni risorsa nel proprio ambiente e qualora non sia di diretta conoscenza/competenza bisognerà automatizzare una scansione e relativa identificazione dei prodotti, in modo da trovare quali patch si renderanno necessarie. “Non è possibile applicare patch a ciò che non si sa di avere”: i responsabili IT aziendali dovranno quindi lavorare ed investire in attività inerenti la mappatura e l’automazione della rete per creare un inventario, che sia il più accurato possibile.
  • 3. Sviluppare una procedura di test. È necessario implementare un ambiente di test, laddove si possa verificare che l’applicazione della patch, non provochi malfunzionamenti o disservizi. Questo approccio potrebbe essere visto come costoso e dispendioso in termini di tempo, ma sarà sicuramente meno costoso che provocare disservizi nell’ambiente di produzione.
  • 4. Impegno. Le complessità delle moderne infrastrutture IT, con le numerose personalizzazioni, sistemi di integrazione e rispettivi componenti aggiuntivi, rendono il patching più complicato. L’IT dovrà quindi essere in grado di dare le corrette priorità ai numerosi problemi che potrebbero incorrere e applicare un impegno costante sia dal punto di vista tecnico che formativo.
  • 5. Assegnare la responsabilità. In una realtà aziendale diverse figure potrebbero applicare le patch come parte delle attività del loro insieme di responsabilità; di conseguenza, la gestione delle patch può diventare un compito svolto da molti ma di proprietà di nessuno. Vanno quindi definite ed assegnate le diverse responsabilità, al fine di ottenere un efficace processo di gestione delle patch. 
  • 6. Documentare il patching. Un processo efficace ed efficiente di gestione delle patch dovrebbe includere metriche e dashboard che permettano di identificare e documentare le patch mano a mano che vengono rilasciate dai vendor e relativa corrispondente schedulazione per il test in ambiente di staging e relativa applicazione in quello di produzione. Come Best Practices, la visione della dashboard dovrebbe permettere di illustrare la gestione delle patch, in modo da fornire al management informazioni relative  alle vulnerabilità evidenziate e relativa copertura delle hotfix.
L’importanza del patch management per la sicurezza aziendale

Patching e regolamentazioni

Il riferimento alla metodologia di Patching è menzionata in molte delle normative di riferimento in ambito sicurezza, come ad esempio l’art. 32 GDPR, o il Controllo 12.6 della ISO-IEC 27002:2014, senza tralasciare quanto indicato dal “Framework Nazionale per la Cyber Security e la Data Protection” adottato dall’Italia per la definizione delle linee guida per gli Operatori di Servizi Essenziali.

Essenzialmente quindi una corretta gestione dell’attività di Patching rientra tra i vincoli di corretta gestione aziendale.

X