Chi ha messo le vulnerabilità nella mia patch?

Perché gli aggiornamenti non possono salvarti

Photo by Neeqolah Creative Works on Unsplash

Benvenuti nel Teatro della Sicurezza

Ogni patch di sicurezza ha qualcosa di speciale per difensori e attaccanti. Per ogni “fix”, inevitabilmente, si insinuano cambiamenti: altro codice creato con gli stessi materiali fallibili dell’originale!

Ancora peggio, è un progetto per gli attaccanti! Le modifiche consistono in codice binario che può essere analizzato con diff proprio come qualsiasi cambiamento comportamentale. Sono pronti per il reverse engineering.

ABP: Aggiorna Sempre e Comunque

ATTENZIONE: La patch potrebbe contenere le correzioni di oggi (e sicuramente le vulnerabilità di domani.)

La realtà è più complicata di quanto mi piacerebbe. Chiedi a qualsiasi sysadmin veterano degli aggiornamenti rapidi e sentirai saggezza guadagnata con fatica: “Aspetta sei mesi. Non essere il loro beta tester gratuito.”

Prendiamoci un momento per apprezzare il dilemma del team IT:

• Aggiorna subito: rischio di bloccare la produzione.
• Aggiorna dopo: rischio di essere compromessi.
• Non puoi (o non vuoi) aggiornare: serio rischio di essere compromessi.
• Difendi e mitiga: rafforza i sistemi, cambia cifrature deboli, cambia password, ecc. Chi ha tempo per tutto questo?!? Leggere i CVE? Oh, dolce bambino, ho brutte notizie…

Le Migliori Intenzioni

Anche le patch uccidono i sistemi—nessun attaccante richiesto.

L’incidente CrowdStrike del luglio 2024 ha dimostrato una dura verità: seguire le “migliori pratiche” non offre alcuna immunità quando codice non testato manda in crash infrastrutture critiche. Nel giro di poche ore, i voli sono stati cancellati in tutto il mondo e gli ospedali sono rimasti largamente paralizzati.

Ma ignorare le patch? Questo garantisce lo sfruttamento di vulnerabilità note.

Le Bugie Che Raccontiamo a Noi Stessi

Gettare denaro nella sicurezza spesso si ritorce contro. Controlli complessi e stratificati diventano impossibili da gestire—e impossibili da monitorare.

Il giusto livello di investimento? I controlli ottimali? L’equilibrio perfetto tra sicurezza e usabilità?

Dipende. (Sì, la risposta preferita dai consulenti.)

Ma questa è in realtà una buona notizia: la gestione personalizzata del rischio batte sempre l’approccio unico per tutti.

Abbandonare il Campo del Teatro della Sicurezza

Basta con le sceneggiate e iniziamo la gestione proattiva del rischio.

Determina e documenta tutto ciò che conta:

• Il tuo reale panorama delle minacce (non la FUD del venditore)
• Pianificazione di test di risposta agli incidenti e recupero
• Tolleranze per tempi di inattività, perdita di dati e danni alla reputazione
• Obblighi legali quando le cose vanno storte
• Chi fa cosa durante una crisi

Esistono migliori pratiche universali? Sì, anche se l’implementazione varia:

Considerazioni Chiave

• Adotta chiavi di sicurezza hardware come YubiKey per tutti gli utenti, o richiedi come minimo le passkey.
  • Gli OTP sono suscettibili all’ingegneria sociale; i token hardware no.
  • Richiedi MFA su tutti i servizi universalmente.
• Backup robusti e verificati.
  • Assicurati che l’infrastruttura cloud abbia backup offline—idealmente immutabili e geograficamente distribuiti.
    • “Offline” significa cross-vendor o cross-account (es. backup AWS in GCP o Azure, o soluzioni di terze parti come Backblaze B2).
  • Estendi le strategie di backup ai dispositivi dei dipendenti, tenendo conto di scenari di recupero come Wi-Fi inaffidabili durante le conferenze (allineandosi con SLA e obiettivi di recupero).
• Conduci esercitazioni di recupero trimestrali: ripristina l’intera infrastruttura in una regione inutilizzata usando backup, snapshot e strumenti di infrastructure-as-code.
• Posiziona CanaryTokens insieme a qualsiasi credenziale reale per essere i primi a sapere quando inizia una violazione.

L’Altro Lato della Paura

Conosci il tuo profilo di rischio: quali dati proteggi? Quali minacce contano? Quanto tempo di inattività puoi permetterti? Cosa costa meno—il recupero o la ricostruzione?

Considera la tua esposizione reale:

• Accesso a dati sensibili (bancari/crypto)
• Vulnerabilità delle applicazioni web (XSS/CSRF)
• Rischi della catena di approvvigionamento e minacce interne
• Servizi esposti al pubblico (target zero-day)
• Tolleranze per ransomware, multe, danni alla reputazione

La verità poco attraente: la sicurezza è fatta di strati, non di proiettili magici. Difesa in profondità, backup offline, esercitazioni di disaster recovery, controlli compensativi. Tratta le patch come mali necessari, non come soluzioni definitive.

Distribuisci con intelligenza: automatizza i test, organizza rollout graduali, pianifica rollback, esercitati sui guasti.