Nel corpo umano, le vitamine, l’acido folico, il ferro, il selenio, lo zinco sostengono il sistema immunitario, accanto all’esercizio fisico e al corretto riposo ma, nonostante sia chiaro a tutti, non sempre si seguono le indicazioni raccomandate. Lo stesso accade con il settore dell’IT: sebbene i responsabili IT sappiano che i loro dispositivi, i server e le infrastrutture dovrebbero essere sempre protetti, a volte risulta difficile mantenere sotto controllo tutte le diverse componenti pur considerando lo scenario delle minacce in continua evoluzione.
Nel 2020 si è verificato un incremento degli attacchi informatici dovuto alla rapidità con la quale gli hacker, attraverso siti dannosi e malware mirati ai lavoratori in smart working, hanno sviluppato e implementato nuove minacce a tema covid. Il Centro Nazionale Protezione Infrastrutture Critiche della Polizia Postale e delle Comunicazioni, ha individuato solo nel mese di Marzo 2020, un massivo invio di messaggi email del malware infostealer AZORult. In questa circostanza, i cybercriminali hanno distribuito la minaccia attraverso un’applicazione che mostra la mappa della diffusione del virus nel mondo: la GUI (Graphical User Interface), particolarmente verosimile a quella presente nei sistemi della Johns Hopkins University (ArcGIS).
Il settore dell’IT sa da anni che, il secondo martedì di ogni mese, Microsoft, Adobe e Oracle, rilasciano le patch per i propri prodotti. Per quanto riguarda gli altri vendor, gli aggiornamenti per le correzioni a hoc, sono disponibili solamente sul sito web del produttore o devono essere cercate e installate manualmente. Di conseguenza, è difficile per il team IT riuscire a mantenere il passo con le patch fornite da molteplici vendor e disponibili in luoghi diversi e con tempi differenti. Inoltre, si deve considerare che quando viene rilasciata una patch, la vulnerabilità diventa pubblica ed è visibile anche agli hacker.
La sfida tra hacker e i team di sicurezza IT
Le patch possono essere sottoposte a processi di reverse engineering per comprendere come una vulnerabilità risolta può essere ulteriormente sfruttata, soprattutto nei casi in cui la patch risolve una vulnerabilità già conosciuta.
Gli hacker sono spesso più veloci di chi si difende anche perché in media le aziende impiegano tra i 100 e i 120 giorni per applicare una patch, una volta disponibile. Questo conferma agli hacker un vantaggio dai tre ai quattro mesi per sfruttare ogni vulnerabilità.
Negli ultimi mesi la situazione si è ulteriormente aggravata a causa della necessità dei dipendenti di lavorare da remoto, come rilevato dal recente sondaggio di Ivanti che ha evidenziato come il 92% dei CISO di tutta EMEA concorda sulla necessità di rafforzare le misure di sicurezza IT per consentire il lavoro da remoto.
Come gestire correttamente le patch
Per la gestione adeguata delle patch, le organizzazioni dovrebbero massimizzare la visibilità su tutte le applicazioni e i dispositivi nei loro ecosistemi, includendo tutti i device utilizzati dai dipendenti. Questo approccio eviterebbe il rischio di aggiornamenti che si bloccano a causa, per esempio della mancanza di spazio su disco o di una memoria insufficiente.
Rilevare i sistemi che non vengono riavviati regolarmente e riconoscere le versioni ridistribuibili di C++, Java, Adobe Reader e software simili è una condizione necessaria che viene spesso trascurata anche perché molto spesso nessuno sa quali versioni sono effettivamente richieste e quali sono i livelli di patch installate.
Una soluzione che combina la gestione delle patch, dei privilegi e la white listing, consente di applicare le prime ai dispositivi esterni alla rete aziendale, tramite una componente cloud gratuita, mentre il reparto IT mantiene la supervisione del processo. Il controllo delle patch attraverso una Piattaforma Unificata di Gestione degli Endpoint (UEM), permetterà alle organizzazioni di controllare quali applicazioni vengono scaricate, riducendo i casi di shadow IT e installando automaticamente gli aggiornamenti su tutti i dispositivi.
Automatizzare le attività di routine
Alcuni compiti di routine, come il rilevamento dei dispositivi e delle minacce, possono essere automaticizzati, attraverso un software con automazione integrata. Questo permette di scoprire quali asset vengono utilizzati per accedere ai dati aziendali, fornendo alle organizzazioni un’analisi in tempo reale del loro inventario software e hardware. Di conseguenza, attraverso la scansione attiva e passiva delle reti e dei connettori di terze parti si assicura una visibilità continua e in tempo reale.
L’automazione può anche essere utilizzata per rafforzare la compliance, la produttività degli utenti, la continuità e l’organizzazione degli asset aziendali, rilevando e risolvendo i problemi IT prima che l’utente li noti.
Il futuro della gestione delle patch
Usare software aggiornati e conoscere lo stato dei dispositivi è indispensabile per il corretto funzionamento delle organizzazioni, pur considerando che, se la prevenzione di base evita molti problemi, i controlli regolari identificano i medesimi prima che causino gravi danni.
Dal momento che il team IT deve prendersi cura di centinaia o migliaia di dispositivi, la diagnosi e il trattamento individuale richiede l’automazione. Quest’ultima rafforzerebbe il sistema immunitario IT costantemente e rapidamente, non solo identificando i problemi e le peculiarità, ma anche registrandoli in vista di cambiamenti futuri.
Le aziende dovrebbero cercare di implementare l’automazione per massimizzare le capacità di auto-riparazione e auto-protezione dei loro dispositivi, affrontando dove possibile le minacce.