La maggior parte delle aziende considera la gestione delle patch un ciclo di vita continuo. Questo perché i fornitori rilasciano regolarmente nuove patch. Inoltre, le esigenze di patch di un'azienda possono cambiare con il mutare dell'ambiente IT.
Per delineare le best practice di gestione delle patch che amministratori e utenti finali devono seguire durante tutto il ciclo di vita, le aziende elaborano politiche formali di gestione delle patch.
Le fasi del ciclo di vita della gestione delle patch includono:
1. Gestione delle risorse
Per tenere sotto controllo le risorse IT, i team IT e di sicurezza creano inventari di risorse di rete come applicazioni di terze parti, sistemi operativi, dispositivi mobili ed endpoint remoti e locali.
I team IT possono anche specificare quali versioni hardware e software possono utilizzare i dipendenti. Questa standardizzazione delle risorse può contribuire a semplificare il processo di applicazione delle patch riducendo il numero di diversi tipi di risorse sulla rete. La standardizzazione può anche impedire ai dipendenti di utilizzare app e dispositivi non sicuri, obsoleti o incompatibili.
2. Monitoraggio delle patch
Una volta che i team IT e di sicurezza dispongono di un inventario completo delle risorse, possono controllare le patch disponibili, monitorarne lo stato e identificare le risorse a cui mancano le patch.
3. Definizione delle priorità delle patch
Alcune patch sono più importanti di altre, specialmente quando si tratta di patch di sicurezza. Secondo Gartner, nel 2021 sono state segnalate 19.093 nuove vulnerabilità, ma i criminali informatici ne hanno sfruttate solo 1.554 in natura (link esterno a ibm.com).
I team IT e di sicurezza utilizzano risorse come i feed di intelligence sulle minacce per individuare le vulnerabilità più critiche nei loro sistemi. Le patch per queste vulnerabilità sono prioritarie rispetto ad aggiornamenti meno essenziali.
La definizione delle priorità è uno dei modi principali in cui le politiche di gestione delle patch mirano a ridurre i tempi di inattività. Implementando prima le patch critiche, i team IT e di sicurezza possono proteggere la rete riducendo al contempo il tempo che le risorse impiegano offline per l'applicazione delle patch.
4. Test delle patch
Le nuove patch possono occasionalmente causare problemi, interrompere le integrazioni o non riuscire ad affrontare le vulnerabilità che mirano a correggere. In casi eccezionali, gli hacker possono persino dirottare le patch. Per esempio, i criminali informatici hanno approfittato di una falla nella piattaforma VSA di Kaseya (link esterno a ibm.com) per attaccare dei clienti con un ransomware con il pretesto di un aggiornamento software legittimo.
Testando le patch prima di installarle, i team IT e di sicurezza mirano a rilevare e risolvere questi problemi prima che abbiano un impatto sull'intera rete.
5. Distribuzione delle patch
"Distribuzione delle patch" si riferisce sia a quando che a come vengono distribuite le patch.
Le finestre di patching vengono solitamente impostate per i periodi in cui lavorano pochi o nessun dipendente. Anche i rilasci delle patch da parte dei fornitori possono influenzare la pianificazione delle patch. Ad esempio, Microsoft in genere rilascia le patch il martedì, un giorno noto come "Patch Tuesday" tra alcuni professionisti IT.
I team IT e di sicurezza possono applicare patch a batch di risorse piuttosto che distribuirle all'intera rete in una sola volta. In questo modo, alcuni dipendenti possono continuare a lavorare mentre altri si disconnetteranno per applicare le patch. L'applicazione di patch nei gruppi fornisce anche un'ultima possibilità di rilevare i problemi prima che raggiungano l'intera rete.
La distribuzione delle patch può anche includere piani per monitorare le risorse dopo la patch e annullare qualsiasi modifica che causi problemi imprevisti.
6. Documentazione delle patch
Per garantire la conformità delle patch, i team IT e di sicurezza documentano il processo di applicazione delle patch, inclusi i risultati dei test, i risultati dell'implementazione e tutte le risorse che devono ancora essere corrette. Questa documentazione mantiene aggiornato l'inventario delle risorse e può dimostrare la conformità alle normative sulla sicurezza informatica in caso di audit.