Per alcuni professionisti della sicurezza, il problema della gestione delle patch può essere riassunto con il popolare slogan della Nike: Just Do It. Ma come ben sanno tutti coloro che si sono occupati di reti, la gestione delle patch non si può ridurre a una frase fatta. È vero, sono molti i casi in cui delle vulnerabilità critiche potrebbero essere risolte facilmente con patch che non vengono applicate. Tuttavia, ci sono anche alcune ragioni valide per cui, su alcuni sistemi e software, le patch non possono essere applicate, come nel caso di sistemi di produzione che non possono essere mai interrotti (pensiamo, ad esempio, al settore sanitario). Vi è anche il caso di sistemi legacy con dipendenze che, se venisse applicata una patch, si interromperebbero. In altri casi ancora, è la patch stessa a introdurre altre vulnerabilità, e in questo caso i team IT devono ripristinare la condizione esistente prima dell'applicazione. Tenendo presente tutto questo, sono molte le violazioni di dati che possono essere attribuite a una mancata applicazione di patch. Questo è il caso, ad esempio, di Equifax, WannaCry e del servizio sanitario del Regno Unito.

Quando le aziende non applicano delle patch per risolvere delle vulnerabilità note, accettano, apertamente o tacitamente, di correre dei rischi. Solo perché esiste un rischio, non significa che questo debba essere mitigato a tutti i costi¹, ma è fondamentale conoscere, stimare e comunicare i pericoli che si corrono adottando l'uno o l'altro approccio. Nel caso di rischi per la sicurezza informatica riconducibili alla gestione delle patch, l'azienda deve essere consapevole che le vulnerabilità in un sistema X potrebbero finire con il consentire l'accesso remoto a un sistema Y da parte di entità non autorizzate, e causare la perdita di dati, il denial of service, l'introduzione di malware e così via. Per evitare che tutto ciò accada, i team IT e che si occupano della sicurezza hanno bisogno di strategie migliori per la gestione delle patch. Le vulnerabilità segnalate e pubblicate sono troppe, e le aziende non possono semplicemente adottare un approccio "Just Do It". Una gestione basata su metodi ad hoc o caso per caso risulterebbe necessariamente in patch critiche mancanti, patch applicate non correttamente, accettazione involontaria di rischi sconosciuti/imprevisti/involontari o peggio ancora.

Alle aziende serve un approccio migliore. Come afferma Dave Lewis, Advisory CISO di Duo Security, "Le aziende devono imparare a lavorare con le patch in modo migliore e più intelligente e perfezionare la qualità e la facilità di applicazione". Le strategie da adottare per gestire le patch in modo efficace non verranno affrontate in questo post, ma una cosa che può sicuramente aiutare i team IT e quelli che si occupano della sicurezza a migliorarne la gestione consiste nell'implementazione di una rete zero trust.

Le sfide delle reti di oggi

Le reti delle aziende non sono più on-premise e gestite internamente e non hanno l'architettura "flat", o piatta, del passato. L'introduzione di ambienti cloud e virtuali, la possibilità di utilizzare dispositivi personali, (conosciuta con l'acronimo BYOD, Bring Your Own Device), e le reti distribuite, sono fra gli elementi che hanno cambiato radicalmente il modo in cui i team IT e di sicurezza devono muoversi. Poiché la gestione delle patch e altre attività legate alla sicurezza informatica possono influire sulla disponibilità e sull'affidabilità delle reti dinamiche e auto-scalabili di oggi, i team informatici devono affrontare il problema in modo diretto.

È da quando mi occupo di sicurezza che i professionisti del settore mettono in guardia contro la tendenza a tenere tutto in un unico posto. Tuttavia, segmentare la rete può rivelarsi un processo complesso, lungo e costoso. Di conseguenza, proprio come accade per la gestione delle patch, la segmentazione (e la più recente "microsegmentazione") è stata messa da parte, e sono state preferite soluzioni più facilmente attuabili. In realtà, se si utilizzano processi e tecnologie datati o legacy, la segmentazione/microsegmentazione può mettere in difficoltà anche i maggiori esperti. Nonostante questo, essa può rappresentare un modo efficace per gestire meglio i sistemi critici per il business e tutti gli aggiornamenti che questi sistemi necessitano.

Adottare lo zero trust

Lo zero trust rappresenta un nuovo modo di concepire le reti. Invece del metodo basato sulla "fiducia con verifica" per gestire l'accesso alla rete aziendale e all'interno di essa, lo zero trust parte dal presupposto che tutto il traffico, e quindi utenti, applicazioni, host, e qualsiasi altra entità, debbano essere verificati attraverso una serie di attributi immutabili che creano un'impronta digitale (fingerprint) prima che la comunicazione venga consentita. Inoltre, quando applicazioni, processi, utenti o altre entità vengono verificati, l'attendibilità concessa si applica solo a quella connessione; ogni volta che su una rete zero trust viene avviata una comunicazione, l'entità che tenta di connettersi deve essere nuovamente verificata, per assicurarsi che la comunicazione non sia stata intercettata da potenziali aggressori, che questi non si stiano nascondendo all'interno di controlli approvati, o che non abbiano rilasciato malware nel sistema.

Cosa ha a che fare tutto questo con la gestione delle patch? In una rete zero trust, tutti i sistemi (server, applicazioni, database, host, ecc.) vengono eseguiti in base al principio del privilegio minimo. Solo i sistemi, le applicazioni e altre entità che richiedono l'accesso ad altri sistemi, applicazioni o altro, sono configurati automaticamente per inviare e ricevere comunicazioni da altre connessioni di rete. In una rete tradizionale, invece, fino al 98% dell'intera rete è costituito da percorsi di comunicazione inutilizzati e non gestiti. Questo significa che, sia le applicazioni e i servizi legittimi, sia il traffico malevolo, possono usare questi percorsi per comunicare. A differenza delle reti tradizionali, lo zero trust blocca tutto ciò che è inutilizzato o non necessario, riducendo così le entità che possono comunicare. Di conseguenza, anche la probabilità che un exploit colpisca un sistema senza patch viene ridotta, perché vi sono meno risorse che comunicano con il sistema.

Inoltre, le impronte digitali, o fingerprint, create per una rete zero trust, includono nomi di prodotti o dispositivi, versioni e livelli di patch; in questo modo, gli amministratori di sistema possono accorgersi di eventuali problemi di gestione delle patch e prendere le decisioni migliori per l'azienda. Ad esempio, i team addetti alla sicurezza potrebbero implementare una policy con la regola: "Se sulla versione 2.3 di Apache non è installato 2.3.35 o 2.5.17, inviare una segnalazione sulla connessione". Con queste informazioni a portata di mano, il team può decidere di segmentare l'applicazione fino alla correzione (che probabilmente si verificherebbe solo in casi estremi), o accettare il rischio di non applicare la patch e spiegarne il motivo all'azienda.²

Gli strumenti di gestione delle patch possono ovviamente aiutare le aziende a rimanere al passo con ciò che accade in tutto il loro ecosistema diversificato di reti. Tuttavia, tali strumenti non possono impedire che il software comunichi, e c'è sempre la possibilità che il malware entri nel sistema prima che una patch venga applicata o persino sviluppata. Isolando e contenendo le risorse critiche con una rete zero trust, le aziende possono identificare le vulnerabilità a cui non sono state applicate patch prima che vengano sfruttate. Inoltre, la gestione delle patch può essere utile solo se una patch esiste già. Per gli attacchi 0-day e altre situazioni a cui non sono applicabili delle patch, come quelle menzionate all'inizio di questo post, è necessario "progettare sistemi come se ci fosse sempre uno 0-day a insidiarli e come se la patch non fosse mai disponibile", scrive Adrian Sanabria, fondatore di Security Weekly Labs, in un post sull'exploit Apache Struts. Le reti zero trust consentono l'irrobustimento del sistema, indipendentemente dai livelli di patch, e offrono alle aziende un modo più intelligente di gestire le patch, per non essere i prossimi Equifax. Lo zero trust offre il controllo degli ambienti con reti distribuite che gli esperti desiderano, consentendo alle aziende di continuare a evolversi senza introdurre rischi non necessari o non gestiti.