La gestione delle patch è il processo di applicazione degli aggiornamenti rilasciati dal fornitore per chiudere le vulnerabilità di sicurezza e ottimizzare le prestazioni di software e dispositivi. La gestione delle patch è talvolta considerata parte della gestione delle vulnerabilità.
In pratica, la gestione delle patch consiste nel bilanciamento della cybersecurity con le esigenze operative dell'azienda. Gli hacker possono sfruttare le vulnerabilità nell'ambiente IT di un'azienda per lanciare attacchi informatici e diffondere il malware. I fornitori rilasciano aggiornamenti, chiamati "patch", per correggere queste vulnerabilità. Tuttavia, il processo di applicazione delle patch può interrompere i flussi di lavoro e creare tempi di inattività per l'azienda. La gestione delle patch mira a ridurre al minimo i tempi di inattività semplificando l'implementazione delle patch.
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
La gestione delle patch crea un processo centralizzato per l'applicazione di nuove patch alle risorse IT. Queste patch possono migliorare la sicurezza, migliorare le prestazioni e incrementare la produttività.
Aggiornamenti di sicurezza
Le patch di sicurezza affrontano specifici rischi per la sicurezza, spesso risolvendo una particolare vulnerabilità.
Gli hacker spesso prendono di mira le risorse prive di patch, quindi la mancata applicazione degli aggiornamenti di sicurezza può esporre un'azienda a violazioni della sicurezza. Ad esempio, il ransomware WannaCry del 2017 si è diffuso tramite una vulnerabilità di Microsoft Windows per la quale è stata rilasciata una patch. I criminali informatici hanno attaccato le reti in cui gli amministratori avevano trascurato l'applicazione della patch, infettando più di 200.000 computer in 150 paesi.
Aggiornamenti delle funzionalità
Alcune patch offrono nuove funzionalità alle app e ai dispositivi. Questi aggiornamenti possono migliorare le prestazioni delle risorse e la produttività degli utenti.
Correzioni di bug
Le correzioni di bug risolvono problemi minori nell'hardware o nel software. In genere, questi problemi non causano problemi di sicurezza, ma influiscono sulle prestazioni delle risorse.
Ridurre al minimo i tempi di inattività
La maggior parte delle aziende trova poco pratico scaricare e applicare ogni patch per ogni risorsa non appena è disponibile. Questo perché l'applicazione di patch richiede tempi di inattività. Gli utenti devono interrompere il lavoro, disconnettersi e riavviare i sistemi chiave per applicare le patch.
Un processo formale di gestione delle patch consente alle organizzazioni di assegnare priorità agli aggiornamenti critici. L'azienda può ottenere i vantaggi di queste patch con un'interruzione minima dei flussi di lavoro dei dipendenti.
Conformità normativa
Ai sensi di normative come il Regolamento generale sulla protezione dei dati (GDPR), l'Health Insurance Portability and Accountability Act (HIPAA) e lo Standard Payment Card Industry Data Security Standard (PCI-DSS), le aziende devono seguire determinate pratiche di cybersecurity. La gestione delle patch può aiutare le organizzazioni a mantenere i sistemi critici conformi a questi obblighi.
La maggior parte delle aziende considera la gestione delle patch un ciclo di vita continuo. Questo perché i fornitori rilasciano regolarmente nuove patch. Inoltre, le esigenze di patch di un'azienda possono cambiare con il mutare dell'ambiente IT.
Per delineare le best practice di gestione delle patch che amministratori e utenti finali devono seguire durante tutto il ciclo di vita, le aziende elaborano politiche formali di gestione delle patch.
Le fasi del ciclo di vita della gestione delle patch includono:
1. Gestione delle risorse
Per tenere sotto controllo le risorse IT, i team IT e di sicurezza creano inventari di risorse di rete come applicazioni di terze parti, sistemi operativi, dispositivi mobili ed endpoint remoti e locali.
I team IT possono anche specificare quali versioni hardware e software possono utilizzare i dipendenti. Questa standardizzazione delle risorse può contribuire a semplificare il processo di applicazione delle patch riducendo il numero di diversi tipi di risorse sulla rete. La standardizzazione può anche impedire ai dipendenti di utilizzare app e dispositivi non sicuri, obsoleti o incompatibili.
2. Monitoraggio delle patch
Una volta che i team IT e di sicurezza dispongono di un inventario completo delle risorse, possono controllare le patch disponibili, monitorarne lo stato e identificare le risorse a cui mancano le patch.
3. Definizione delle priorità delle patch
Alcune patch sono più importanti di altre, specialmente quando si tratta di patch di sicurezza. Secondo Gartner, nel 2021 sono state segnalate 19.093 nuove vulnerabilità, ma i criminali informatici ne hanno sfruttate solo 1.554 in natura (link esterno a ibm.com).
I team IT e di sicurezza utilizzano risorse come i feed di intelligence sulle minacce per individuare le vulnerabilità più critiche nei loro sistemi. Le patch per queste vulnerabilità sono prioritarie rispetto ad aggiornamenti meno essenziali.
La definizione delle priorità è uno dei modi principali in cui le politiche di gestione delle patch mirano a ridurre i tempi di inattività. Implementando prima le patch critiche, i team IT e di sicurezza possono proteggere la rete riducendo al contempo il tempo che le risorse impiegano offline per l'applicazione delle patch.
4. Test delle patch
Le nuove patch possono occasionalmente causare problemi, interrompere le integrazioni o non riuscire ad affrontare le vulnerabilità che mirano a correggere. In casi eccezionali, gli hacker possono persino dirottare le patch. Per esempio, i criminali informatici hanno approfittato di una falla nella piattaforma VSA di Kaseya (link esterno a ibm.com) per attaccare dei clienti con un ransomware con il pretesto di un aggiornamento software legittimo.
Testando le patch prima di installarle, i team IT e di sicurezza mirano a rilevare e risolvere questi problemi prima che abbiano un impatto sull'intera rete.
5. Distribuzione delle patch
"Distribuzione delle patch" si riferisce sia a quando che a come vengono distribuite le patch.
Le finestre di patching vengono solitamente impostate per i periodi in cui lavorano pochi o nessun dipendente. Anche i rilasci delle patch da parte dei fornitori possono influenzare la pianificazione delle patch. Ad esempio, Microsoft in genere rilascia le patch il martedì, un giorno noto come "Patch Tuesday" tra alcuni professionisti IT.
I team IT e di sicurezza possono applicare patch a batch di risorse piuttosto che distribuirle all'intera rete in una sola volta. In questo modo, alcuni dipendenti possono continuare a lavorare mentre altri si disconnetteranno per applicare le patch. L'applicazione di patch nei gruppi fornisce anche un'ultima possibilità di rilevare i problemi prima che raggiungano l'intera rete.
La distribuzione delle patch può anche includere piani per monitorare le risorse dopo la patch e annullare qualsiasi modifica che causi problemi imprevisti.
6. Documentazione delle patch
Per garantire la conformità delle patch, i team IT e di sicurezza documentano il processo di applicazione delle patch, inclusi i risultati dei test, i risultati dell'implementazione e tutte le risorse che devono ancora essere corrette. Questa documentazione mantiene aggiornato l'inventario delle risorse e può dimostrare la conformità alle normative sulla sicurezza informatica in caso di audit.
Poiché la gestione delle patch è un ciclo di vita complesso, le organizzazioni spesso cercano modi per semplificare le patch. Alcune aziende esternalizzano il processo interamente ai provider di servizi gestiti (MSP). Le aziende che gestiscono l'applicazione delle patch internamente utilizzano un software di gestione delle patch per automatizzare gran parte del processo.
La maggior parte dei software di gestione delle patch si integra con i sistemi operativi più comuni come Windows, Mac e Linux. Il software monitora le risorse per individuare eventuali patch mancanti e disponibili. Se le patch sono disponibili, le soluzioni di gestione delle patch possono applicarle automaticamente in tempo reale o secondo una pianificazione prestabilita. Per risparmiare larghezza di banda, molte soluzioni scaricano le patch su un server centrale e da lì le distribuiscono alle risorse di rete. Alcuni software di gestione delle patch possono anche automatizzare test, documentazione e rollback del sistema in caso di malfunzionamento di una patch.
Gli strumenti di gestione delle patch possono essere software autonomi, ma spesso vengono forniti come parte di una soluzione di sicurezza informatica più ampia. Molte soluzioni per la gestione delle vulnerabilità e la gestione della superficie degli attacchi offrono funzionalità di gestione delle patch come inventari delle risorse e distribuzione automatica delle patch. Molte soluzioni di rilevamento degli endpoint e risposta (EDR) possono anche installare automaticamente le patch. Alcune organizzazioni utilizzano piattaforme di gestione unificata degli endpoint (UEM) per eseguire la patch in locale e su dispositivi remoti.
Grazie alla gestione automatica delle patch, le organizzazioni non devono più monitorare, approvare e applicare manualmente ogni patch. Ciò può ridurre il numero di patch critiche che non vengono applicate perché gli utenti non riescono a trovare il momento opportuno per installarle.
Adotta un programma di gestione delle vulnerabilità che identifichi, dia priorità e gestisca la correzione dei difetti che potrebbero compromettere gli asset più critici.
IBM Security QRadar EDR sfrutta livelli eccezionali di automazione intelligente e intelligenza artificiale per aiutare a rilevare e risolvere minacce note e sconosciute quasi in tempo reale.
Abilita e proteggi tutti i dispositivi mobili, le app e i contenuti con IBM Security MaaS360 con la piattaforma Watson UEM.
Il threat hunting, noto anche come cyberthreat hunting, è un approccio proattivo per identificare minacce precedentemente sconosciute o in corso non risolte all'interno della rete di un'organizzazione.
Un piano formale di risposta agli incidenti consente ai team di sicurezza informatica di limitare o prevenire i danni derivanti da attacchi informatici o violazioni della sicurezza.
La gestione delle minacce è un processo utilizzato dai professionisti della cybersecurity per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere a incidenti di sicurezza.