L’aggiornamento delle diverse componenti di un’infrastruttura è la prima linea di difesa contro i cyber attacchi. Anche se ormai dovrebbe essere semplice common sense per chi lavora a vario titolo nell’IT, la gestione delle patch è ancora un fattore critico, sia per ragioni culturali sia, più spesso, per ragioni di opportunità operativa. Anche se, come sappiamo, è un pericolo concreto.
La gestione delle patch errata o non reattiva è un pericolo
Ma quanto una errata gestione delle patch è realmente dannosa per le aziende? Troviamo una risposta, fra gli altri, all’interno dell’ultimo Bulletproof Defense Annual Report: componenti obsoleti o non aggiornati sono la debolezza più comune, che coinvolge il 37% dei casi.
La gestione delle patch, tuttavia, è uno di quei campi in cui c’è una fortissima discrasia fra teoria e pratica: un conto è sapere che i sistemi devono essere aggiornati, possibilmente in modo tempestivo, un altro è assicurarsi di poterlo fare senza problemi di malfunzionamento, disservizi o incompatibilità. Per andare più a fondo sul tema abbiamo interpellato sul tema Cristian Pellizzer, software solution manager di BlendIT, system integrator specializzato nella gestione dei processi di digitalizzazione e trasformazione digitale.
Diversi tipi di aggiornamento
Il primo tema, fondamentale, è quello della comprensione dei diversi meccanismi di aggiornamento che oggi coinvolgono ogni tipo di sistema, in particolare per quanto riguarda la differenza fra patch e update e l’incidenza sull’operatività.
“Dal punto di vista funzionale, una patch cerca di risolvere un problema specifico, sia per quanto concerne i sistemi operativi che i software, anche e soprattutto quelli web, più esposti. Anche come utenti siamo piuttosto abituati al concetto di patch: pensiamo per esempio al mondo degli smartphone. Gli update spesso introducono nuove funzionalità: alcuni includono anche piccole patch, ma non accade mai il contrario”, racconta Pellizzer in apertura.
Gli update spesso hanno a che fare con una maggiore complessità: i software di lungo corso spesso hanno una propria storia che li rende complessi, anche dal punto di vista del codice vero e proprio. Nel mondo degli ERP questo è ancora più vero, con vincoli con il passato che spesso costringono gli sviluppatori a conservare malvolentieri parti di codice o funzionalità notoriamente problematiche solo perché sono ancora compatibili con vecchi sistemi e soluzioni. In questo contesto, gli update hanno il doppio compito di fornire nuove funzionalità e di svecchiare, per quanto possibile, il codice. Gli aggiornamenti vanno poi spesso a risolvere anche problemi storici.
“Possiamo pensare a una patch come a una risposta più agile a un’anomalia mirata, quando non c’è l’opportunità di effettuare un aggiornamento con tutte le attenzioni del caso: questa è, per esempio, la policy che seguiamo nel deployment di patch e aggiornamenti per i nostri prodotti”, ricorda Pellizzer.
Non sono rari, nel mondo del software in particolare, anche casi in cui le patch seguono a stretto giro gli update, per risolvere nuovi problemi introdotti (pensiamo, per esempio, ai casi anche recenti dei sistemi operativi moderni). Questo rende ancora più attuale il bisogno di una gestione delle patch tempestiva. “Bisogna essere sereni e diligenti nell’applicazione; è il piccolo “prezzo” da pagare per disporre di software e hardware in continuo aggiornamento e miglioramento”, sottolinea Pellizzer.
Patch e standard: un rapporto complicato
Ogni modifica, anche minimale, a un sistema porta con sé il rischio di introdurre malfunzionamenti o incompatibilità. Negli ultimi anni, tuttavia, i produttori si sono mossi, o si stanno muovendo, per limitare questo rischio: temi come back to standard e clean core nascono proprio da questo bisogno, in particolare nel mondo legacy.
“Nel mondo del software aziendale, per esempio nel campo degli ERP, ormai gli aggiornamenti sono una costante: in particolare il 2019 ha segnato in qualche modo una linea di demarcazione. La necessità di introdurre nei software la fatturazione elettronica ha spinto gli sviluppatori verso una maggiore flessibilità”, racconta Pellizzer, “il nostro Business Cube, per esempio, ha major release annuali; nel frattempo vengono rilasciati hotfix, update”. Una caratteristica che trae origine dalle esigenze del mondo reale: adempimenti fiscali, Industria 4.0 e commercio elettronico – solo per citarne alcune – chiedono aggiornamenti software repentini.
L’importanza della gestione delle patch nel Web
Se il rischio di esporre servizi, applicazioni e dispositivi è concreto per qualsiasi sistema connesso, nel caso del Web gli attacchi sono praticamente una certezza.
“Ricordiamo che oggi moltissimi attacchi avvengono per mezzo di bot, che scansionano automaticamente migliaia di indirizzi al minuto alla ricerca di vulnerabilità standard. Anche se l’ambiente Web presenta considerevoli complessità dovute soprattutto all’interazione fra livelli applicativi diversi, gli aggiornamenti sono necessari per l’evoluzione. Si possono identificare metodi per patchare in modo sicuro e senza scossoni” precisa Pellizzer.
Nei contesti di cloud pubblico, le patch vengono applicate in modo trasparente e spesso l’unico modo per rendersene conto è attraverso le note di aggiornamento o rilascio. Perché dunque non è consigliabile applicare lo stesso principio di aggiornamento automatico anche ad altri scenari?
“A meno che non si tratti di software commerciali, per esempio le suite per l’ufficio o per l’elaborazione grafica, patch e update non dovrebbero essere fatti a cuor leggero: l’interazione fra i diversi componenti ed eventuali personalizzazioni potrebbero introdurre elementi di complessità imprevista”. Per ogni rilascio, sarebbe preferibile valutare attentamente quale strategia seguire. Ma come conciliare il bisogno di tempestività con l’attenzione necessaria?
Secondo Pellizzer la chiave è nelle aziende sviluppatrici. “Patch e aggiornamenti possono essere eseguiti senza problemi quando provengono da aziende attente, pronte a intervenire in caso di problemi e che seguano i clienti nelle diverse fasi del processo: l’approccio che abbiamo scelto in BlendIT”.
Una soluzione alla complessità
Anche nella gestione delle patch ricorre, insomma, uno dei temi più importanti per le aziende: l’esternalizzazione dei servizi IT come soluzione alla maggior parte delle istanze più complesse. “Esternalizzare permette di seguire meglio la gestione delle patch, soprattutto per quanto riguarda le interazioni all’interno del sistema, vera causa della maggior parte degli imprevisti”, chiude Pellizzer, “in fondo, è un criterio molto simile a quanto avviene per i macchinari: anche i software ERP, per esempio, includono numerosi componenti, proprio come le attrezzature. E, proprio come queste, possono richiedere più esperti per la gestione”. Affidarsi alla manutenzione esterna dei sistemi IT esattamente come ci si affida alla gestione esterna di impianti e macchinari, insomma, sembra essere una scelta sempre più attuale.
