hit counter
Riflessioni sulle recenti statistiche di gestione delle vulnerabilità Windows - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Riflessioni sulle recenti statistiche di gestione delle vulnerabilità Windows

Riflessioni sulle recenti statistiche di gestione delle vulnerabilità Windows

  • Comments 7
  • Likes
 

Avete sicuramente letto in lungo e in largo la raffica di post e articoli recenti sul tema della gestione delle vulnerabilità, in particolare relativa a Windows Vista e ai riscontri statistici nel confronto con sistemi alternativi. Vi riassumo velocemente le diverse notizie che si sono succedute in questo mese:

 

  • per cominciare, per Microsoft è stato un mese privo di bollettini di sicurezza (... ma come potete immaginare questo non mi ha comunque permesso di prendere ferie ...)
  • al compimento dei 90 giorni di disponibilità di Windows Vista sul mercato (alle aziende è stato reso disponibile il 30 novembre 2006), Jeff Jones (Microsoft) ha elaborato una statistica che mostra le vulnerabilità di 6 sistemi operativi diversi nei loro primi 90 giorni di vita, e Windows Vista appare il sistema che nettamente esce meglio da questo confronto.
  • Symantec (tutti hanno chiaro il feeling che corre tra Microsoft e Symantec negli ultimi tempi, vero ?) ha pubblicato il suo Internet Security Threat Report semestrale, dal quale emerge ancora una volta la migliore rapidità di Microsoft nel correggere le vulnerabilità segnalate, rispetto ad altri vendor concorrenti.

 

Non nascondo ovviamente il piacere di vedere queste analisi, soprattutto quando sono oggettive (assenza dei bollettini) ed elaborate da terze parti non proprio Microsoft-friendly (il report di Symantec), ma vorrei sottrarmi alla tentazione di sbandierare questi numeri come la prova inconfutabile della miglior sicurezza dei sistemi Microsoft. I numeri e le statistiche mi appassionano, ma la lettura dei commenti ai post su questi temi mi ha ricordato la tipica babele che viviamo in Italia il giorno dopo le elezioni: ognuno tira i numeri dalla propria parte e li interpreta a suo favore.

Mi permetto di darvi qualche chiave di lettura leggermente diversa, per fare un paio di riflessioni semplici ma doverose.

La prima mi viene guardando le diverse tabelle statistiche di cui stiamo parlando. Al di là della dimensione relativa delle diverse colonne, vorrei che finalmente TUTTI si accorgessero di un fatto (è un FATTO, non una opinione, quindi oggettivo e non confutabile): le tabelle hanno più colonne, non esiste solo Microsoft, le vulnerabilità di sicurezza sono presenti in TUTTI i sistemi software. Lo so, sto dicendo una ovvietà, ma vi assicuro che nel mio lavoro di consulenza continuo ancora oggi ad incontrare persone che si dichiarano esperti IT o, ancora più grave, ricoprono importanti ruoli di responsabilità IT e hanno la faccia tosta di lamentarsi sui bug di sicurezza di Microsoft con la convinzione che le altre piattaforme ne siano immuni.

Se quindi si deve partire dal dato di fatto che le vulnerabilità esistono per tutti, il confronto a mio parere va spostato sulle modalità che un produttore di software ha di gestirle per uno scopo chiaro e preciso: minimizzare il rischio per gli utenti (rischio inteso in senso ampio: sicurezza e disponibilità/stabilità). Solo questo conta, in ultima istanza, per l'utente finale e per le aziende che realizzano sistemi mission-critical utilizzando la piattaforma Microsoft. Ed è per questo che non finirò così facilmente di annoiarvi nel raccontarvi tutti gli elementi che nella strategia di sicurezza di Microsoft concorrono a raggiungere questo obiettivo.

Esempio: è chiaro che la velocità di correzione di un bug di sicurezza è un indicatore importante, ma se dall'analisi della situazione di rischio su Internet e sui clienti mi rendo conto che la minaccia è lontana dall'essere sfruttata in modo serio, perché non dovrei prendermi qualche giorno in più per migliorare la qualità della patch che produco ed evitare così nello stesso momento che si generino problemi di compatibilità ? Questo è uno dei criteri che si applicano quando si deve decidere se emettere un bollettino out-of-band (=fuori del rilascio schedulato del secondo martedì di ogni mese) o se è meglio aspettare l'emissione mensile ordinaria. Se la sicurezza degli utenti e delle aziende è considerata la priorità numero 1, ed è garantita, si può anche prendere tempo. Non so se ho avuto già modo di dirvelo (e nel caso mi scuso, ma lo ripeto lo stesso, repetita juvant): il tempo che Microsoft spende a correggere il bug è infinitesimale rispetto al tempo che deve spendere a testare la patch. E se pensiamo alla numerosità di applicazioni che si appoggiano alla piattaforma Microsoft rispetto a quella che insiste sulle piattaforme alternative ritengo di poter dire che un confronto proprio non si possa fare ...(questo personale concetto della non confrontabilità della piattaforma Windows con le altre  sarà oggetto di un prossimo post...). Mi domanderete allora: e come viene tutelata la sicurezza degli utenti in presenza di uno 0-day exploit non ancora corretto da una patch? Tramite la realizzazione di un processo di gestione delle emergenze che opera un monitoraggio costante della situazione di rischio e fa leva su una importante catena di relazioni strategiche con partner, altri produttori di sicurezza e altri operatori. Le varie iniziative di questi anni sono state consolidate in un processo unico, la Microsoft Security Response Alliance (MSRA). Come vedrete se seguite il link indicato, questo set di alleanze è, ad esempio, in grado di coinvolgere i principali vendor antivirus (in modo da accelerare la realizzazione di signature) e i più importanti Internet Service Provider (per poter reagire adeguatamente ad attacchi di tipo DDoS e per chiudere al volo i siti che ospitano gli exploit attivi).

Per chiudere e supportare queste mie considerazioni con un altro fatto (e non opinione): se ci fate caso, nonostante tutti i clamori che i media hanno cavalcato negli ultimi anni rispetto agli 0-day exploit annunciati, quante volte si è poi assistito ad un serio problema di sicurezza ? ZERO volte, appunto ... non c'è statistica più bella e oggettiva di questa, questa sì da sbandierare a vera dimostrazione degli enormi progressi raggiunti dalla sicurezza della piattaforma Microsoft.

Con l'augurio che duri il più a lungo possibile a vantaggio di tutti, e non solo di Microsoft.

Comments
  • PingBack from http://puntodivista.wordpress.com/2007/03/29/vulnerabilita-ms-brava-e-quindi/

  • Neanche il tempo di terminare il post precedente in cui spiegavo alcuni criteri di gestione delle vulnerabilità da parte di Microsoft ed eccoci alle prese con un bel caso pratico: l'Advisory 935423 relativo ad una vulnerabilità dei sistemi operativi Windows

  • Se avete letto il mio precedente post, quando il mio collega Jeff Jones ha pubblicato il report simile sui primi 90 giorni di Windows Vista, sapete già come la penso sulle statistiche di confronto delle vulnerabilità tra i diversi sistemi operativi. Ma

  • Non vedevo l'ora di riaprire Windows Live Writer per darvi un segnale di vita... E' la prima volta in

  • mah...io in due mesi di (s)Vista ho avuto tanti di quei problemi che ormai ho perso il conto...a cominicare di hardware incompatibile e finire con un virus che mi ha costretto a formattare l'hard disk...poi non parliamo degli aggiornamenti installati alla insaputa dell'utente.

  • Dopo un po' di attesa finalmente è stato rilasciato il famoso report del collega Jeff Jones che

  • Chi di voi mi segue assiduamente (grazie!) può testimoniare che questo blog ha da sempre evitato

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment