Strategie di patch all’interno dell’infrastruttura aziendale

Come distribuire le patch sui computer aziendali senza causare interruzioni delle attività.

Microsoft ha dovuto pubblicare ripetutamente delle patch per dei bug che sono comparsi nelle precedenti correzioni, il che difficilmente aiuta a mitigare la (già considerevole) sfiducia negli aggiornamenti. Tra i risultati del nostro recente sondaggio in lingua inglese “Aggiornamenti dei dispositivi: cosa impedisce alle persone di cambiare?“, è emerso che il 51% degli intervistati, tra clienti privati e business, rimanda gli aggiornamenti per capire se altri utenti hanno riscontrato problemi.

Da un lato, è un atteggiamento comprensibile: nessuno desidera che un aggiornamento metta fuori uso la propria rete aziendale, e i tempi di inattività di un business possono provocare danni significativi. Dall’altra parte, però, bisogna tenere a mente che molti attacchi hanno luogo subito dopo il rilascio delle patch perché i criminali informatici sono consapevoli della riluttanza degli utenti all’aggiornamento immediato. Come sempre, In medio stat virtus: bisogna installare le patch in modo tempestivo ma è necessario anche controllarne la loro compatibilità con l’infrastruttura.

Gli aggiornamenti di Windows sono solo una parte del problema: anche altri software hanno bisogno di patch e aggiornamenti. Tuttavia, altri sviluppatori di software potrebbero non notificare agli utenti gli aggiornamenti e le correzioni così regolarmente e attivamente come fa Microsoft. Come possono gli amministratori essere a conoscenza di tutti gli aggiornamenti e dare priorità alla loro installazione?

Aggiornare il software in un ambiente di prova

Purtroppo è impossibile automatizzare completamente il processo di aggiornamento in un ambiente aziendale. Poiché la combinazione di hardware e software di ogni azienda è unica, c’è sempre il pericolo che un  aggiornamento causi errori o incompatibilità. Solo un amministratore di sistema che conosce profondamente un’azienda può prendere una decisione consapevole su ogni patch. Un ambiente di prova può fornire uno spazio sicuro in cui installare gli aggiornamenti senza mettere a repentaglio gli altri sistemi aziendali.

Ambiente di prova

Nelle grandi aziende, specialmente quelle che usano software specializzati, la divisione che si occupa della sicurezza informatica di solito organizza una sottorete di prova con dei computer (o almeno diverse macchine virtuali) per analizzare i nuovi aggiornamenti prima di distribuirli in tutta l’azienda. Le aziende più piccole normalmente dedicano un solo computer a questi test. Gli amministratori installano le nuove patch sui dispositivi di prova, che simulano un ambiente di lavoro tipico dell’azienda, e poi controllano come va la situazione.

Il metodo non è né economico né completamente affidabile. È piuttosto difficile ricreare una persona reale e il suo lavoro reale su una macchina di prova, specialmente se virtuale. I problemi possono emergere in merito a certe caratteristiche e non con l’installazione, per esempio.

Metodo di installazione graduale

Alcuni dipartimenti IT impiegano un metodo alternativo e installano gli aggiornamenti in lotti, assicurandosi che tutto funzioni bene prima di procedere con il lotto successivo.

Naturalmente, lasciare una parte dell’infrastruttura non protetta è rischioso, ma i benefici del test delle patch nel mondo reale valgono la pena.

Dare priorità agli aggiornamenti con un sistema di gestione delle patch

L’utilizzo di un sistema di gestione degli aggiornamenti semplifica la ricerca di aggiornamenti rilevanti e la definizione delle priorità di installazione, avvisando gli amministratori degli aggiornamenti rilevanti e fornendo un contesto per le vulnerabilità per le quali sono state progettate.

La soluzione Kaspersky Systems Management si occupa di questo compito, semplificando l’amministrazione dei sistemi, centralizzando e automatizzando l’inventario di software e hardware, valutando le vulnerabilità e distribuendo patch e aggiornamenti. Kaspersky Systems Management fa parte di Kaspersky Endpoint Security for Business.

Consigli