Uno dei compiti più critici che un'organizzazione deve svolgere costantemente è quello di mantenere i propri software aggiornati con le ultime patch. Le patch sono fondamentali per garantire la protezione di sistemi e reti informatiche, ma purtroppo questo processo sembra essersi guadagnato la reputazione di essere una priorità secondaria del passato. 

Il patching è il processo di aggiornamento del software con la correzione delle vulnerabilità e dei bug di sicurezza. Le organizzazioni dovrebbero implementare una strategia di patching coerente che copra tutte le tecnologie utilizzate per garantire che tutto il software venga aggiornato regolarmente. Ci sono diversi motivi validi per farlo. Ad esempio, i criminali informatici sono costantemente alla ricerca di nuove vulnerabilità nel software da sfruttare e utilizzeranno i sistemi privi di patch per ottenere l'accesso e distribuire il ransomware.

Gli incidenti di sicurezza possono essere costosi per le organizzazioni. L'applicazione regolare di patch al software può aiutare a prevenire questi incidenti e a far risparmiare denaro alle aziende nel lungo periodo. Inoltre, in molti settori esistono normative che impongono alle aziende di mantenere un certo livello di sicurezza. L’applicazione regolare di patch è spesso un requisito di queste normative. La mancata osservanza di queste norme può comportare multe o altre sanzioni.

In poche parole, una strategia di patching aggiornata eviterà all'organizzazione molti grattacapi, come la perdita di reputazione e lo stress finanziario, in caso di violazione di dati o di incidente di sicurezza.

Le organizzazioni devono trovare un equilibrio tra la necessità di testare correttamente le patch e quella di installarle il prima possibile per difendersi dalle minacce emergenti. In un mondo ideale, le organizzazioni che hanno una buona conoscenza della loro superficie di attacco e delle loro risorse possono valutare meglio la criticità delle singole patch e dare priorità a quelle più importanti per il loro ambiente. 

Tuttavia, i numerosi ostacoli che si frappongono all’effettiva applicazione delle patch potrebbero rendere le organizzazioni riluttanti a investire tempo, sforzi e denaro.

• Gestione dei rischi: A volte le patch modificano il funzionamento delle applicazioni o dei sistemi. Alcune patch sono più importanti di altre. Le lacune nella copertura delle patch (cioè la mancata inclusione di tutte le tecnologie utilizzate nel processo di patching) lasciano l'azienda esposta agli attacchi.
• Le patch richiedono un test: Le patch a volte possono causare problemi o intoppi e non possono essere semplicemente distribuite a tutti i sistemi della rete aziendale utilizzando l'aggiornamento automatico. Devono essere distribuite in modo controllato, il che richiede tempo e complica le cose.
• Gestione dei sistemi legacy: Alcune organizzazioni potrebbero utilizzare sistemi legacy che potrebbero non essere più supportati dal produttore. In questi casi, potrebbero non essere più disponibili nuove patch di sicurezza e le vulnerabilità riscontrate nel loro software devono essere gestite utilizzando altri controlli, come l'isolamento della rete o l'uso di server di salto. 
• Proprietà di sistemi, applicazioni e pratiche: Più grande è l'azienda, più complesso sarà il suo stack tecnologico. Questo potrebbe rendere difficile costruire un processo di patching coerente e globale che comprenda tutte le tecnologie utilizzate con una copertura simile. La presenza di differenze tra i cicli di patch delle applicazioni o dei sistemi rende difficile gestire i rischi complessivi della gestione delle vulnerabilità. 

Naturalmente, nessuno dei punti sopra citati è un ostacolo di cui preoccuparsi per gli attaccanti che intendono colpire un’azienda.

È chiaro che l'implementazione di una strategia di patching è fondamentale per le organizzazioni per garantire la sicurezza.

A tal fine, le organizzazioni (con l'aiuto delle società di sicurezza) dovrebbero prendere in considerazione i seguenti aspetti:

• Identificare tutti i software in uso nell'organizzazione
• Determinare la criticità di ciascun componente software, i sistemi e le reti in cui viene utilizzato e il potenziale impatto di una violazione della sicurezza
• Creare un programma periodico di patch per tutti i software interessati, con la possibilità di dare priorità ed eseguire installazioni immediate se necessario (a causa dell'elevato profilo di rischio di una specifica patch di sicurezza)
• Testare le patch prima di distribuirle all'interno dell'organizzazione
• Automatizzare il più possibile il processo di patching per garantire l’applicazione di patch tempestiva e coerente.
• Coprire tutti i livelli tecnologici utilizzati (dalle versioni del firmware dell'hardware ai sistemi operativi e alle applicazioni) per ottenere una buona visibilità delle esigenze di patching di ciascuno di essi. 

La ricerca WithSecure Pulse 2023 ha mostrato come il processo di patching sia una delle principali priorità per le organizzazioni. Scopri di più qui