i consigli

Applicare le patch di sicurezza in azienda: la guida per evitare problemi

Applicare gli aggiornamenti, seguendo le procedure di patch management e le politiche a tutela dell’IT Security non è semplice né banale e rischia di creare enormi danni in una azienda. Vediamo quali e come fare bene

27 Feb 2018
Alessio Pennasilico

Information & Cyber Security Advisor, Partners4Innovation

cyber_497672245

Il recente bug Spectre e Meltdown nella progettazione dei processori di tutti i principali produttori ha prodotto una enorme quantità di bollettini ed approfondimenti sul tema, che concludevano consigliando di “installare le patch”, come spesso accade quando viene scoperta una nuova vulnerabilità.

Se ad un pubblico consumer, o di micro-aziende senza governance dei sistemi informatici o del sistema di gestione della sicurezza delle informazioni, è possibile consigliare in modo semplice di applicare gli aggiornamenti per tutti i dispositivi elettronici che lo richiedano, per le aziende o PA con maggiore complessità questo consiglio nasconde in realtà l’esigenza di un processo strutturato per la gestione del tema.

I rischi delle patch nelle aziende

L’installazione di aggiornamenti, in contesti dal medio al large enterprise, passando per la PAC, nasconde dei rischi non indifferenti. Spesso molte applicazioni sono personalizzate per il contesto specifico, alcune applicazioni sono state sviluppate specificatamente per un’organizzazione. Altre volte alcune patch contengono degli errori che creano problemi o effetti non voluti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Si pensi, a titolo di esempio a gestionali o CRM che per funzionare richiedono specifiche versioni di sistema operativo o browser, o di patch che inibiscono il funzionamento di alcune componenti.

In un quadro che comporti il minimo di complessità ed una forza lavoro non numericamente impressionante, applicare un aggiornamento che blocchi completamente l’accesso ad una applicazione o ad una funzionalità potrebbe bloccare completamente l’organizzazione.

In uno scenario large enterprise, un blocco dovuto ad un aggiornamento magari colpirebbe un solo ufficio, quello che usa quello specifico servizio. Ma potrebbe essere un ufficio di centinaia di persone o una funzione di business critica.

Questi, che sono scenari da tenere normalmente in considerazione, nel caso specifico delle patch rilasciate da Intel per i bug Spectre e Meltdown, hanno realizzato i peggiori incubi di tutti. Il produttore, infatti, ha consigliato di non installare le patch rilasciate perché, in alcuni casi, potrebbero bloccare completamente i sistemi aggiornati.

Nelle comunicazioni di Intel, infatti, si trova il seguente consiglio: “We recommend that OEMs, Cloud service providers, system manufacturers, software vendors and end users stop deployment of current versions on the below platforms, as they may introduce higher than expected reboots and other unpredictable system behavior.”

Per maggiori informazioni è possibile consultare il comunicato stampa e l’approfondimento tecnico.

Le best practice per la gestione delle patch

Per questa ragione le best practice prevedono una procedura di test degli aggiornamenti, per verificare che non creino problemi non voluti, prima del “mass deploy”, dell’aggiornamento automatico di tutti i dispositivi interessati.

Questo comporta un ambiente non di produzione, un ambiente di test, non utilizzato dai collaboratori per lavorare, su cui eseguire i test. Significa che tale ambiente deve essere il più possibile fedele a quello di produzione (pena l’inefficacia del test) e che secondo leggi (Es. GDPR) e best practice (es. ISO/IEC 27001:2013) preveda la corretta gestione del se e quali dati reali possono esistere in tali ambienti (gestione dei dati di test). È necessario, quindi, avere una checklist formale dei test da eseguire e dell’esito atteso, così da poter marcare il test come di successo. È poi pensabile, a seconda del contesto, un primo rilascio controllato su una porzione dei sistemi di produzione, assicurandosi la possibilità di eseguire rapidamente roll-back in caso di problemi, vale a dire la possibilità di rimuovere gli aggiornamenti appena installati.

Se queste procedure sono una indispensabile misura a tutela dell’organizzazione parlando di device end-user (computer, telefoni, tablet, etc.) diventano molto più complesse da gestire parlando di Internet of Things (che nel caso specifico del bug delle CPU è uno degli ambiti in cui si trovano molti device vulnerabili) o server.

Se poi, come in tutte le moderne organizzazioni è presente una infrastruttura virtualizzata (si pensi alle soluzioni Vmware, Citrix, Microsoft solo per fare qualche esempio), l’impatto di una patch “problematica” rischia di essere incommensurabile: un piccolo set di server che dovesse smettere di funzionare, o rallentare significativamente, potrebbe rendere non più disponibili decine di servizi.

Il problema tempo e la window of exposure agli attacchi

Anche l’introduzione di nuovi strumenti (es. gli ad-blocker consigliati per evitare che tali bug possano essere sfruttati da siti malevoli visitati per sbaglio) spesso comportano progetti che tra test e deploy potrebbero richiedere settimane.

L’applicazione massiva di patch, inoltre, in organizzazioni complesse, richiede, oltre al tempo necessario per i test, giorni se non settimane per il deploy. Si immagini una rete geografica con anche solo centinaia di end-point: oltre ai normali tempi necessari per i test ci sono i tempi di distribuzione, applicazione, reboot dei device e gestione della piccola percentuale sistematica di device che hanno dato errore durante la procedura automatica e vanno quindi gestiti a meno.

In questi casi significa che la finestra temporale in cui l’organizzazione resta esposta al rischio di subire un attacco andato a buon fine, la window of exposure, non finisce, come troppo spesso si sente dire, nel momento in cui la patch è disponibile, ma quando è stata effettivamente installata su tutti i dispositivi. La durata della window of exposure, quindi inizia con la scoperta di un metodo di utilizzo della vulnerabilità per sferrare un attacco, metodo noto al grande pubblico oppure no, e termina con la reale messa in sicurezza di tutti i device.

Figura 1: La Window of Exposure Reale

Approfondimento: la gestione dei dati di test

Questo tema è molto delicato poiché, oltre a mettere a rischio la riservatezza dei dati aziendali, ha profonde implicazioni nell’adeguamento al GDPR.

Gli ambienti di test, troppo spesso vengono creati clonando gli ambienti di produzione: questa tecnica ha il vantaggio di creare un ambiente estremamente fedele in cui condurre le simulazioni, ma crea l’enorme rischio di avere un ambiente meno controllato, spesso con maggiori accessi da parte di esterni (es. sviluppatori software) ai dati aziendali.

Per questa ragione tutte le best practice suggeriscono di valutare se e quali reali dati sia effettivamente necessario conservare nell’ambiente di test e di adottare soluzioni tese ad anonimizzare o mascherare i dati presenti.

Anonimizzare prevede, ad esempio, il sostituire tutti i cognomi, mail, codici fiscali, numeri di carta di credito con asterischi. L’anonimizzazione è di certo la soluzione più efficace, ma potrebbe rendere poco leggibili gli output del programma in caso di test.

Il masking, invece, prevede di sostituire i contenuti reali con contenuti simili, ma generati “casualmente”. Facendo i test, quindi, selezionando la maschera che mi dà accesso, ad esempio, all’anagrafica Clienti, vedrei nomi, cognomi mail nel formato corretto, ma nessuno dei dati visualizzati sarebbe una delle informazioni reali presenti sui sistemi di produzione.

Conclusioni

Applicare le patch in tempi rapidi ed in modo massivo è una esigenza di tutte le organizzazioni, imprese o PA che siano. Questo, tuttavia, è un processo che rischia di essere insidioso e di creare non pochi problemi, se non gestito adeguatamente. Per questa ragione diventa indispensabile avere i processi e le procedure corrette al fine di assicurare la sicurezza delle informazioni, patrimonio dell’organizzazione, di cui deve essere garantita non solo la riservatezza, ma anche la disponibilità.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati