hit counter
Il dilemma delle patch di sicurezza... - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Il dilemma delle patch di sicurezza...

Il dilemma delle patch di sicurezza...

  • Comments 7
  • Likes
 

... le installo o non le installo ? Prima di parlarvi dell'analisi di rischio dei bollettini di sicurezza che Microsoft ha emesso lo scorso martedì 9 gennaio, volevo spendere due parole su questo dilemma amletico che affrontano i responsabili delle procedure di patching delle aziende, e che mi è stato posto tante tante volte ...

In sintesi estrema, per la mia esperienza, sono giunto alla seguente considerazione che vi condivido:

Le patch di sicurezza si mettono TUTTE

Ma come, direte voi, e tutte le considerazioni per minimizzare i rischi di problemi di compatibilità applicativa (N1-vedi in fondo al post)? Tanti, infatti, si sforzano di analizzare l'esposizione al rischio dei diversi sistemi rispetto ai vari bollettini per poter escludere alcune security patch dalla necessità di installazione: in questo modo possono sperare di ridurre gli sforzi di  certificazione, test, etc.

Attenti: io non sto dicendo che sia inutile l'analisi di rischio rispetto alle vulnerabilità corrette dai bollettini emessi. L'analisi di rischio serve eccome! Tutta la gestione della sicurezza è riconducibile a questo: saper gestire il rischio.

A questo punto posso riportarvi la seconda considerazione che completa la riflessione:

L'analisi di rischio serve per decidere QUANDO e COME si installano le diverse patch.

 

Esempio 1: l'analisi di rischio fa emergere che nella vostra realtà IT (non in generale, ma nella vostra) quella vulnerabilità vi espone a un serio rischio di attacco a breve >> patch critica, urgentissima, da mettere al volo, test ridotti al minimo indispensabile, e via !

 

Esempio 2: anche se il bollettino MS dice che la vulnerabilità è seria,  l'analisi di rischio dimostra che nella vostra realtà IT l'esposizione è meno grave >> la patch si installerà lo stesso, ma con modalità non urgente, dopo aver fatto i test con più comodo.

 

Perché vi dico questo ? Ho visto fior di clienti fare il m'ama-non-m'ama in tempo di pace (questa la metto, questa no...) e poi di fronte ad un serio attacco virus correre a perdifiato a mettere le patch lasciate indietro, senza più preoccuparsi di test e certificazioni applicative... 

Per chiudere, rinnovo il concetto:  Le patch di sicurezza si mettono TUTTE !   ...è anche semplice da ricordare...

 

Ciao e buon w/e !!

 

P.S. Per agevolare la lettura di chi dovesse solo ora avvicinarsi al magico mondo della sicurezza, ho pensato che potesse essere utile usare le classiche note a piè di pagina per spiegare qualche termine un pò ostico per qualcuno... spero gradirete (please give feedback ...)

 

N1: "i problemi di compatibilità applicativa" sono i malfunzionamenti che derivano dalla coesistenza di più applicazioni, e in questo contesto sono i problemi di funzionamento che vengono scatenati dall'installazione di una patch di sicurezza.

Comments
  • <p>In ogni caso le patch vanno testate, per evitare in produzione casi di acclarata incompatibilita'. A quel punto bisogna correre per eliminare le incompatibilita' e poi, ma &nbsp;solo poi, patchare.</p> <p>Complimenti per il piano dell'opera e Auguri &nbsp;</p>

  • <p>Questo &#232; sacrosanto, Daniele (scusa il ritardo...), senza dubbio... e forse nessuno pu&#242; darti pi&#249; ragione di noi che lavoriamo nel supporto tecnico a fianco dei clienti nella gestione delle infrastrutture ... MA ... il punto che volevo portare alla vostra attenzione &#232; l'anomala scorrelazione tra il tempo che si impiega a fare il test e l'analisi di rischio. Non posso permettermi di impiegare un mese per fare un test se ho valutato che la vulnerabilit&#224; da patchare rischia di essere sfruttata per un attacco o un'infezione malware nel giro di pochi giorni...per non parlare di quei clienti che ancora oggi ci mettono 6 mesi per fare un intero giro di certificazione applicativa ... preistoria...</p> <p>Questo tema &#232; molto importante e personalmente ci torner&#242; presto con un post di approfondimento.</p> <p>Grazie per i complimenti e gli auguri!</p> <p>Feliciano</p>

  • <p>Periodicamente Microsoft crea delle fix di sicurezza (se necessarie) a fronte di vulnerabilit&#224; riscontrate.</p>

  • <p>E' sicuramente necessario aggiungere qualche elemento di chiarezza per aiutare a comprendere cosa stia succedendo in questi giorni relativamente alle notizie delle migliaia di siti web italiani &quot;infettati&quot; con malware in grado di carpire informazioni</p>

  • <p>Come promesso nel post precedente, vi riporto alcune considerazioni utili per effettuare la vostra analisi di rischio, in particolare sull'emissione dei bollettini di sicurezza che &#232; avvenuta lo scorso 9 gennaio. Per farlo utilizzer&#242; una matrice excel</p>

  • <p>La parola che molti clienti diranno alla vista di questo annuncio &amp;#232;: finalmente! L'attivit&amp;#224;</p>

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment