A fronte degli allarmi cybersecurity susseguitisi negli ultimi giorni abbiamo intervistato Antonio Ieranò, tra i maggiori esperti italiani del settore, per capire come migliorare la sicurezza delle aziende e fronteggiare eventuali attacchi informatici
In questi giorni abbiamo visto un allarmistico inseguirsi di informazioni riguardo incidenti di cybersecurity, cosa è successo?
Si sono verificati diversi avvenimenti che si sono sovrapposti. Da un lato c’è stato un problema a livello nazionale sulla rete TIM, che ha causato disagi e rallentamenti del traffico, dall’altro un concomitante, ma non correlato avviso dell’ACN (Agenzia per la Cybersicurezza Nazionale) in merito ad una campagna di attori malevoli che sfruttava una vecchia vulnerabilità su alcuni server su cui non era stata installata la relativa patch di sicurezza risalente al 2021 (vulnerabilità ai server VMware SXi trovata e risolta a fine febbraio 2021, CVE-2021-21974).
La concomitanza dei due avvenimenti ha spinto parte della stampa non specializzata a speculare riguardo un cyber attacco particolarmente pericoloso. In realtà i due eventi non erano correlati e, in particolare, il primo non era legato, a quel che sappiamo, a un incidente di sicurezza ma di operation.
Quindi un problema tecnico da una parte e un vero attacco dall’altra. Sorge spontaneo chiedersi come sia possibile subire un attacco legato a una vulnerabilità vecchia ormai di due anni.
Purtroppo non è un fatto raro che esistano infrastrutture non aggiornate contro vulnerabilità note. Non è solo un problema italiano, ma mondiale. Secondo vari rapporti e sondaggi del settore, una percentuale significativa di incidenti di sicurezza è correlata a software senza patch. Ad esempio, uno studio della Cybersecurity and Infrastructure Security Agency (CISA) ha rilevato che oltre l’80% degli attacchi informatici riusciti sfrutta vulnerabilità note per le quali è disponibile una patch o un aggiornamento.
Cosa significa avere un sistema senza security patch?
Significa lasciare una finestra aperta ad attaccanti in grado di saltare le difese che l’azienda avrebbe messo in opera. Semplificando è come se dicessi: “non capisco come possa essere successo: avevo lasciato la finestra aperta al primo piano, facilmente accessibile dalla strada, in quanto si era rotto il chiavistello e la finestra non chiudeva bene; ma non era una riparazione urgente. Mai avrei pensato che i ladri la usassero per entrare. Certo non posso occuparmi di chiudere tutte le finestre di casa.”
Quale approccio dovrebbero avere le aziende per proteggersi?
Sarebbe fondamentale considerare la sicurezza informatica (di cui la cybersecurity è una componente) come un elemento chiave della loro esistenza. Nello specifico dovrebbero mettere in piedi delle pratiche di patch management sensate.
Come dovrebbe essere strutturata una corretta best practice per la gestione delle patch di protezione?
Una corretta procedura consigliata per la gestione delle patch di protezione deve includere i seguenti passaggi:
- valutare regolarmente la rete e i sistemi per identificare le vulnerabilità;
- dare priorità alle patch in base alla gravità e all’impatto potenziale;
- testare le patch in un ambiente non di produzione prima della distribuzione per garantire la compatibilità e ridurre al minimo il rischio di interruzioni;
- stabilire una pianificazione per l’applicazione di patch per mantenere aggiornati i sistemi e ridurre al minimo la finestra di vulnerabilità;
- documentare il processo per futuri scopi di riferimento e controllo, inclusi il test e la distribuzione delle patch;
- formare il personale sull’importanza della gestione delle patch e su come implementare e mantenere correttamente il processo;
- monitorare i sistemi per eventuali problemi o violazioni dopo l’applicazione delle patch;
- rivedere e aggiornare regolarmente il processo di gestione delle patch per garantire che rimanga efficace ed efficiente.
L’aggiunta di nuovi controlli di sicurezza per risolvere le vulnerabilità individuate da una patch è un altro aspetto importante da considerare se parliamo di best practice completa per la gestione delle patch di sicurezza. Oltre ad applicare le patch, è poi importante valutare e, se necessario, implementare, ulteriori misure di sicurezza per proteggere maggiormente la rete e i sistemi da potenziali minacce. Ciò può includere l’implementazione di firewall, sistemi di rilevamento e prevenzione delle intrusioni e sviluppare l’autenticazione avanzata e i controlli di accesso.
È inoltre importante rimanere informati sulle minacce emergenti e rivedere e aggiornare regolarmente i controlli di sicurezza per garantire che rimangano efficaci.
Perché è così difficile implementare una corretta procedura di gestione delle patch di vulnerabilità?
L’implementazione di una corretta procedura di gestione delle patch di vulnerabilità può essere difficile per diversi motivi tra cui:
Complessità: i moderni sistemi IT sono complessi e interconnessi, rendendo difficile determinare il potenziale impatto di una patch su tutti i sistemi.
Compatibilità: le patch potrebbero non essere compatibili con i sistemi e i software esistenti, il che può causare problemi imprevisti e potenziali tempi di inattività.
Vincoli delle risorse: l’applicazione di patch e l’implementazione di nuove misure di sicurezza possono richiedere molto tempo e risorse, soprattutto per le organizzazioni con personale IT limitato.
Prioritizzazione: con una quantità limitata di tempo e risorse può essere complicato gestire il tutto.
Esiste qualche differenza quando si applicano patch al sistema operativo o al software di virtualizzazione o a open source?
Sì, ci possono essere differenze nell’applicazione di patch a vari tipi di software, inclusi sistemi operativi,software di virtualizzazione e software open source.
I sistemi operativi, come Windows e Linux, spesso richiedono patch frequenti per risolvere le vulnerabilità dellasicurezza e correggere i bug. Il processo per l’applicazione di patch ai sistemi operativi può variare a secondadel fornitore e del tipo di sistema, ma di solito comporta il download e l’installazione degli aggiornamentitramite uno strumento di gestione centrale o manualmente. Il software di virtualizzazione, come VMware eHyper-V, richiede patch per risolvere le vulnerabilità nei sistemi operativi host e guest. Il processo di applicazione delle patch per il software di virtualizzazione può essere più complesso, poiché le patch devonoessere applicate a più sistemi e componenti, inclusi il server host, le macchine virtuali e il software di gestionedella virtualizzazione.
Una nota infine sul tema software open source: il patching su software come Apache e MySQL, può esserepiù difficile da applicare a causa del gran numero di collaboratori e della natura decentralizzata del processo disviluppo. È importante quindi rimanere informati sulle vulnerabilità nel software open source e applicareprontamente le patch per ridurre al minimo i rischi.
In generale, è importante disporre di un processo di gestione delle patch ben definito per tutti i tipi di software, inclusi sistemi operativi, software di virtualizzazione e software open source, per garantire la sicurezza e l’integrità dei sistemi e dei dati.