Per spiegare la patching security occorre chiamare in causa Bruce Schneier, uno dei più noti esperti di sicurezza al mondo. Schneier, infatti, è solito ripetere che “security is a process, not a product”. Un modo per sottolineare che la sicurezza si raggiunge con una strategia che coinvolge diversi aspetti e tecniche, e non esiste un singolo strumento per poterla garantire. Decade dunque il mito dell’importanza della patching security? Non proprio: occorre, però, ridimensionarlo e inserirlo, appunto, in un processo. In caso contrario, si corre il rischio di credersi sicuri mentre, invece, si è vulnerabili più che mai.
La patching security non basta
Di base, non c’è nulla di sbagliato nel considerare la patching security come un passaggio fondamentale nel processo di sicurezza. Potremmo azzardare, addirittura, che è tra i più importanti. Solo nel 2021, il database NVD ha inserito ben 21.957 nuove vulnerabilità nel suo archivio, superando di grand lunga quelle catalogate l’anno precedente (18.362), nel 2019 (17.382) e nel 2018 (17.625). L’Edgescan 2021 Vulnerability Statistics Report racconta che circa la metà delle vulnerabilità software analizzate sono di livello High e Critical, e questo evidenzia, una volta di più, quanto sia essenziale una politica di patching security. Ma è sufficiente?
La patch, vale la pena ricordarlo, è una porzione di codice che va a correggere un bug originato da una vulnerabilità. La patching security, dunque, si occupa di gestire l’applicazione delle patch secondo una rigida programmazione e con una precisa scala di priorità. Qui sorge il primo problema: non è sempre possibile installare tempestivamente delle patch. Spesso, infatti, queste richiedono parecchio tempo e il riavvio dei sistemi, ed è il motivo per il quale si tende a concentrarne l’installazione con un ritardo che può variare da qualche ora a qualche settimana. E un ritardo equivale a esporre un sistema alle vulnerabilità che si devono correggere.
Problemi di installazione
Un altro problema intrinseco alla patching security è legato ai problemi che possono essere causati proprio dall’installazione delle patch. Non tutte, infatti, si installano senza criticità. Alcune possono creare problemi di misconfiguration, oppure di incompatibilità con altre patch o altri software installati. Nella migliore delle ipotesi si va incontro a palesi malfunzionamenti dei sistemi, nella peggiore, invece, si innesta una serie di reazioni che generano falle di sicurezza. Si tratta di eventi molto pericolosi poiché le conseguenze sono silenti. Di fatto, si vengono a creare altre vulnerabilità a insaputa di chi pensa di aver risolto le principali criticità grazie a una patching security serrata. Quindi, innanzitutto, non è detto che una patch risolva una vulnerabilità.
Se la patching security non basta
In altri casi, la patch non è in grado, da sola, di azzerare una vulnerabilità, ma solo a mitigarla. È comunque un passo in avanti, certo, ma che lascia aperte brecce che possono essere sfruttate dai criminali informatici con exploit ad hoc. In questa situazione di incertezza, da una parte occorre pianificare al meglio la patching security, puntando a una chiara strategia di patching management. Dall’altra è necessario avviare un ciclo virtuoso nel quale sia sempre presente un’accurata fase di assessment.
L’importanza dell’assessment
La sicurezza è un processo, si diceva, e inserire la patching security insieme a una pratica regolare e approfondita di assessment ne è parte integrante. L’assessment, grazie alle sue varie declinazioni - che partono dal security audit e arrivano al penetration test, passando per vulnerability assessment, network security assessment e security awareness - consente non solo di rilevare vulnerabilità presenti e non ancora mitigate, ma anche di verificare che la procedura di patching security sia stata efficace e senza conseguenze. Un controllo a ciclo continuo, svolto da professionisti qualificati, è il modo migliore per massimizzare la gestione delle patch e garantire un alto livello di sicurezza della propria infrastruttura.
