hit counter
12 January 2007

Il dilemma delle patch di sicurezza...

 

... le installo o non le installo ? Prima di parlarvi dell'analisi di rischio dei bollettini di sicurezza che Microsoft ha emesso lo scorso martedì 9 gennaio, volevo spendere due parole su questo dilemma amletico che affrontano i responsabili delle procedure di patching delle aziende, e che mi è stato posto tante tante volte ...

In sintesi estrema, per la mia esperienza, sono giunto alla seguente considerazione che vi condivido:

Le patch di sicurezza si mettono TUTTE

Ma come, direte voi, e tutte le considerazioni per minimizzare i rischi di problemi di compatibilità applicativa (N1-vedi in fondo al post)? Tanti, infatti, si sforzano di analizzare l'esposizione al rischio dei diversi sistemi rispetto ai vari bollettini per poter escludere alcune security patch dalla necessità di installazione: in questo modo possono sperare di ridurre gli sforzi di  certificazione, test, etc.

Attenti: io non sto dicendo che sia inutile l'analisi di rischio rispetto alle vulnerabilità corrette dai bollettini emessi. L'analisi di rischio serve eccome! Tutta la gestione della sicurezza è riconducibile a questo: saper gestire il rischio.

A questo punto posso riportarvi la seconda considerazione che completa la riflessione:

L'analisi di rischio serve per decidere QUANDO e COME si installano le diverse patch.

 

Esempio 1: l'analisi di rischio fa emergere che nella vostra realtà IT (non in generale, ma nella vostra) quella vulnerabilità vi espone a un serio rischio di attacco a breve >> patch critica, urgentissima, da mettere al volo, test ridotti al minimo indispensabile, e via !

 

Esempio 2: anche se il bollettino MS dice che la vulnerabilità è seria,  l'analisi di rischio dimostra che nella vostra realtà IT l'esposizione è meno grave >> la patch si installerà lo stesso, ma con modalità non urgente, dopo aver fatto i test con più comodo.

 

Perché vi dico questo ? Ho visto fior di clienti fare il m'ama-non-m'ama in tempo di pace (questa la metto, questa no...) e poi di fronte ad un serio attacco virus correre a perdifiato a mettere le patch lasciate indietro, senza più preoccuparsi di test e certificazioni applicative... 

Per chiudere, rinnovo il concetto:  Le patch di sicurezza si mettono TUTTE !   ...è anche semplice da ricordare...

 

Ciao e buon w/e !!

 

P.S. Per agevolare la lettura di chi dovesse solo ora avvicinarsi al magico mondo della sicurezza, ho pensato che potesse essere utile usare le classiche note a piè di pagina per spiegare qualche termine un pò ostico per qualcuno... spero gradirete (please give feedback ...)

 

N1: "i problemi di compatibilità applicativa" sono i malfunzionamenti che derivano dalla coesistenza di più applicazioni, e in questo contesto sono i problemi di funzionamento che vengono scatenati dall'installazione di una patch di sicurezza.

Filed under: ,
 

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Daniele said:

In ogni caso le patch vanno testate, per evitare in produzione casi di acclarata incompatibilita'. A quel punto bisogna correre per eliminare le incompatibilita' e poi, ma  solo poi, patchare.

Complimenti per il piano dell'opera e Auguri  

18 January 07 at 9:42 AM
# Feliciano Intini said:

Questo è sacrosanto, Daniele (scusa il ritardo...), senza dubbio... e forse nessuno può darti più ragione di noi che lavoriamo nel supporto tecnico a fianco dei clienti nella gestione delle infrastrutture ... MA ... il punto che volevo portare alla vostra attenzione è l'anomala scorrelazione tra il tempo che si impiega a fare il test e l'analisi di rischio. Non posso permettermi di impiegare un mese per fare un test se ho valutato che la vulnerabilità da patchare rischia di essere sfruttata per un attacco o un'infezione malware nel giro di pochi giorni...per non parlare di quei clienti che ancora oggi ci mettono 6 mesi per fare un intero giro di certificazione applicativa ... preistoria...

Questo tema è molto importante e personalmente ci tornerò presto con un post di approfondimento.

Grazie per i complimenti e gli auguri!

Feliciano

23 January 07 at 4:15 AM
# Web Log di Raffaele Rialdi said:
01 February 07 at 9:14 AM
# ArgoLAB - Appunti di un consulente di infrastruttura MS said:

Periodicamente Microsoft crea delle fix di sicurezza (se necessarie) a fronte di vulnerabilità riscontrate.

14 June 07 at 6:43 AM
# Security Blog di Feliciano Intini said:

E' sicuramente necessario aggiungere qualche elemento di chiarezza per aiutare a comprendere cosa stia succedendo in questi giorni relativamente alle notizie delle migliaia di siti web italiani "infettati" con malware in grado di carpire informazioni

20 June 07 at 6:25 AM
# Security Blog di Feliciano Intini said:

Come promesso nel post precedente, vi riporto alcune considerazioni utili per effettuare la vostra analisi di rischio, in particolare sull'emissione dei bollettini di sicurezza che è avvenuta lo scorso 9 gennaio. Per farlo utilizzerò una matrice excel

11 July 07 at 5:31 AM
# Security Blog di Feliciano Intini said:

La parola che molti clienti diranno alla vista di questo annuncio è: finalmente! L'attività

06 August 08 at 10:06 AM

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

(required) 
(optional)
(required) 
Page view tracker