Sommario:
Assegna le priorità, classifica e scansiona- The Impossible Dream: Patch All Vulnerabilities
- Segui l'approccio automatico
Video: Come avere successo nella vita | Filippo Ongaro (Settembre 2024)
La gestione delle patch è il filtro fornace del mondo IT. Sai che devi aggiornarlo e sai che dovresti farlo regolarmente. Ma continui a rimandare fino a quando improvvisamente sei in ritardo di diversi mesi e sei assillato da hacker e malware. L'intero processo è peggiorato perché, non solo hai poco tempo prezioso per gestire le tue varie attività di patch, ma per essere interamente dal libro, dovresti testare queste patch con il software e i sistemi operativi (SO) che hai installato oltre a vicenda. E dovresti fare tutto ciò tra un fiume infinito di richieste degli utenti, priorità di gestione e il lavoro quotidiano di mantenere in esecuzione la tua rete e i tuoi server. Ma coloro che risparmiano sul patching spesso finiscono per finire in affari con una massiccia violazione dei dati che fa notizia nazionale e di solito porta a ricevere una scivolata rosa. Quindi, come hai intenzione di patchare tutta quella roba?
E non pensare di poter sfuggire semplicemente diventando totalmente basato sul cloud. Innanzitutto, quasi nessuno al giorno d'oggi è basato su cloud al 100 percento, quindi quasi sicuramente avrai un'infrastruttura di data center in loco. Inoltre, non sfuggirai mai all'elenco sempre crescente di dispositivi client che necessitano di patch del sistema operativo e del firmware, nonché di risorse locali "intelligenti" come fotocamere, dispositivi NAS (archiviazione collegata alla rete), stampanti e altro ancora. Tutto ciò deve ancora essere tenuto aggiornato, quindi il diavolo della patch verrà a trovarti, non importa quale.
Se sei come molti manager, fai lavorare il tuo personale su quelli che sembrano essere gli aggiornamenti più importanti. Li scarichi, magari li collaudi, li spingi in produzione e poi speri per il meglio. Il modo in cui scegli l'importanza dipende in genere da una varietà di fattori o persino da preferenze personali, ma spesso si basa semplicemente su quali exploit sembrano più minacciosi. Potrebbe essere la vita reale, ma non è davvero il modo migliore per farlo.
Le attività più urgenti per i professionisti della sicurezza informatica nel 2018
Assegna le priorità, classifica e scansiona
Innanzitutto, dai la priorità, afferma Ed Bellis, co-fondatore e Chief Technology Officer (CTO) di Kenna Security. "Ci sono alcuni piccoli sottogruppi ai quali devi assolutamente dare la priorità", ha detto Bellis. Determinate qual è quel sottoinsieme di patch osservando le funzioni più critiche per la vostra attività e quindi le patch che faranno la differenza su tali funzioni.
"Ad esempio, la posta elettronica potrebbe essere fondamentale e potrebbe essere costituita da dispositivi critici", ha spiegato Sean Blenkhorn, Field CTO e VP of Worldwide Sales Engineering presso eSentire. Ha detto che è necessario decidere quanto siano importanti i vari sistemi per la tua azienda e concentrarsi prima su quelli. Rompili nei loro elementi "patchable" e costruisci la tua strategia da lì. In questo caso, potrebbe trattarsi del firmware del server, del firmware di archiviazione, del sistema operativo del server e del software del server di posta elettronica, nonché del software anti-malware / anti-spam sul lato server associato, se presente. Il software di protezione degli endpoint orientato al cliente di solito non è una parte importante delle strategie di patching manuale poiché questo tipo di software si aggiorna se non diversamente specificato dall'IT.
Blenkhorn ha affermato che un errore che molte organizzazioni commettono è quello di eseguire prima uno scanner di vulnerabilità, ma ha affermato che, senza classificare i sistemi più importanti per primi, si può finire con pagine di risultati di vulnerabilità e non sapere quando o se applicare correzioni.
"Prima di tutto, fai la classificazione e poi fai la scansione", ha detto Blenkhorn. Ha detto che tre scanner di vulnerabilità che vede usati più spesso provengono da Qualys o Tenable, ma nota che ce ne sono molti altri.
Ha detto che il motivo per cui classifichi i tuoi sistemi prima della scansione è in modo da poter prendere una decisione intelligente su quale dovrebbe essere la loro priorità. Ad esempio, se trovi una grave vulnerabilità in un sistema che viene usato raramente o che non fa nulla di veramente importante, forse potrebbe essere meglio eliminare semplicemente quel sistema o almeno spegnerlo fino a quando non hai tempo per rattopparlo.
The Impossible Dream: Patch All Vulnerabilities
Effettuando prima la classificazione, puoi anche sapere quando una vulnerabilità deve essere immediatamente riparata, forse perché è fondamentale per la tua organizzazione e anche per quanto riguarda Internet. Forse puoi anche ritardare l'applicazione di patch a un sistema che presenta vulnerabilità che non hanno exploit, non è rivolto a Internet o entrambi. Ha detto che è importante non solo determinare se esiste una vulnerabilità, ma anche se esiste un exploit e se l'exploit viene utilizzato.
In molti casi, ha detto Blenkhorn, non ci sono exploit nel mondo reale, il che significa che potrebbe avere più senso concentrarsi su altre azioni. Un modo per gestire le vulnerabilità è quello di esaminare i rapporti di valutazione della sicurezza informatica professionale da fornitori come Kenna Security. Questi rapporti analizzano vari database delle minacce e riportano i loro risultati, misurando le vulnerabilità su una varietà di fattori a seconda di come il fornitore del rapporto ha affrontato l'argomento.
"il nostro primo rapporto che è uscito la scorsa primavera", ha detto Bellis, "abbiamo esaminato ogni vulnerabilità nel database". Ha detto che il loro secondo rapporto è appena uscito a gennaio 2019. Secondo Bellis, la sua analisi si concentra sul fatto che pochissime vulnerabilità hanno effettivamente exploit noti, il che significa che ha più senso concentrarsi su quelle piuttosto che sulle vulnerabilità che è improbabile che mai essere attaccato. Il rapporto aiuta i professionisti IT a prendere questa decisione per l'infrastruttura che hanno installato.
"Abbiamo eliminato queste vulnerabilità per fonte tecnologica", ha spiegato Bellis. Ha affermato che le vulnerabilità più importanti possono provenire da Oracle per la sua enorme presenza di database, Adobe per il suo client Reader diffuso e sempre aggiornato, Microsoft per Microsoft Windows 10 e provider di software altrettanto grandi. Ma ha osservato che possono esserci enormi differenze nel modo in cui vengono gestite tali vulnerabilità.
"C'è un'enorme differenza nel tasso di bonifica", ha detto Bellis. "È diventato abbastanza chiaro che Microsoft ha reso molto facile e operativo per i clienti correggere le proprie vulnerabilità. Oracle e Java sono all'altra estremità di quella scala."
Segui l'approccio automatico
Un altro approccio è quello di acquistare software speciali che prenderanno gran parte dell'analisi e della pianificazione del peso della gestione delle patch dalle spalle. Questo è l'approccio automatizzato.
"Gli amministratori IT non possono tenere manualmente un account di tutte le patch mancanti nella loro rete", ha dichiarato Giridhara Raam M, Product Evangelist per ManageEngine (una divisione di Zoho Corporation), in uno scambio di email. "Quindi, avrebbero bisogno di un sistema automatizzato per scansionare la rete, identificare le patch mancanti, scaricare quelle patch dal sito del fornitore, testare le patch e distribuirle sulle macchine target in tempo", ha continuato. "Gli amministratori IT dovrebbero essere in grado di pianificare queste distribuzioni al di fuori dell'orario di lavoro per evitare problemi ai dipendenti".
ManageEngine ha strumenti che possono aiutare, così come altri fornitori, tra cui LogicMonitor e Microsoft. Tuttavia, è ancora necessario classificare le risorse di rete in modo da sapere su quali vulnerabilità è necessario concentrarsi.
È la classificazione che è la chiave. Non è necessario concentrarsi su ogni vulnerabilità contemporaneamente; devi solo iniziare con quelli che hanno maggiori probabilità di causare subito problemi e poi partire da lì.
