Lo sviluppo del software è complesso e spesso i prodotti sono messi sul mercato in tutta fretta. Questo rende praticamente impossibile rilasciare il codice perfetto.
La gestione delle patch è una sorta di scommessa sulla sicurezza, ma è anche una parte cruciale della strategia It della società e ciò porta a impiegare buona parte del tempo a occuparsi degli aspetti inerenti tali patch. Ma siete proprio sicuri che tutta quell'attività di patching non possa causare qualche problema?
L'istinto è certo quello di applicare immediatamente le nuove patch di sicurezza, ma ciò può comportare un'interruzione nella produzione. A volte una soluzione alternativa è l'approccio migliore, ma è bene tenere a mente che le soluzioni alternative devono sempre essere considerate un'eccezione alla policy stessa e non un sostituto.
Quando le soluzioni alternative potrebbero essere meglio di una patch
Il primo motivo che porta a optare per una soluzione alternativa è l'annuncio pubblico che una patch ha dei problemi e che interrompe la produzione. Per esempio, l'anno scorso Microsoft ha rilasciato una patch di protezione che sostanzialmente impediva agli utenti ZoneAlarm di usare Internet. E sebbene soluzioni alternative fossero state pubblicate rapidamente su Internet, non risolsero il problema perché non era possibile accedervi..
Se utilizzate internamente applicazioni personalizzate, è probabile che un programmatore abbia creato qualche scorciatoia per rendere disponibili le funzionalità richieste. In questo senso, spesso la porta 31337 potrebbe rappresentare un'efficace via di comunicazione.
Se però un malware usa questa porta, le patch di sicurezza potrebbero bloccare tutto il traffico su quella porta e quindi anche quello della vostra applicazione. Ecco quindi un altro buon motivo per effettuare un test preliminare.
La seconda ragione per preferire una soluzione alternativa alle patch è che ci si può trovare in una fase critica delle attività aziendali e non si può rischiare di avere un blocco del sistema.
La terza ragione è che semplicemente non potete disporre della patch. Riconsideriamo il precedente esempio di ZoneAlarm: non era possibile arrivare alla patch perciò era fondamentale trovare una soluzione alternativa. È fondamentale essere iscritti alle mailing list delle applicazioni e ai loro siti Web. Può capitare che siano scoperte vulnerabilità, pubblicate online e raccomandate soluzioni alternative fino a quando il vendor non rilascia una patch ufficiale.
Gestione delle policy
Spesso accade che all'interno di una policy ci siano talmente tante eccezioni che queste assumono lo stesso valore di una vera policy. È importante perciò che vi prendiate tutto il tempo necessario a identificare quei casi specifici in cui una soluzione alternativa può essere davvero necessaria. Non importa se non siete in grado di individuare esattamente il 100% dei casi, sappiate che già arrivare all'80% è un ottimo risultato.
La policy rappresentano realmente un punto fondamentale perché definiscono un metodo chiaro e condiviso, formalizzano le best practice che si è sperimentato essere efficaci ed evitano di procedere per tentativi.
*Mark Hardy, presidente National Security Corporation
