Microsoft torna ancora una volta sul tema dell’installazione degli aggiornamenti per Windows e per le altre applicazioni ribadendo l’importanza di questo tipo di attività.
In un breve post a firma di Mark Simos, si sottolinea che è proprio l’assenza di patch critiche sui sistemi di imprese, professionisti e utenti finali a favorire, per esempio, la diffusione di malware e attacchi su scala più o meno vasta. E vengono citati gli esempi di (Not)Petya e WannaCrypt per andare troppo indietro nel tempo.
L’azienda di Redmond ha rilevato che una grossa fetta di utenti non installa le patch di sicurezza via a via pubblicate, anche a distanza di mesi. Microsoft, quindi, rivela Simos, ha avviato una collaborazione con il NIST (National Institute of Standards and Technology) statunitense per spiegare quanto sia fondamentale stabilire un percorso chiaro per l’installazione degli aggiornamenti di sicurezza in ambito enterprise.
A questo indirizzo il NIST stesso chiede la collaborazione di imprese e professionisti al fine di esaminare come strumenti commerciali e open source possono essere utilizzati per aiutare ad affrontare gli aspetti più impegnativi delle attività di patching dei sistemi compresi il test delle patch, il monitoraggio e la verifica dell’implementazione degli aggiornamenti.
Al termine del lavoro, gli strumenti che saranno individuali verranno accompagnati da una guida pratica incentrata sulla definizione di politiche e processi per l’intero ciclo di vita delle patch.
Microsoft conclude osservando che l’installazione delle patch rappresenta una responsabilità sociale alludendo al fatto che i sistemi aggrediti spesso contengono informazioni personali e dati sensibili, utilizzati per causare danni a imprese e singoli cittadini. Inoltre, con riferimento soprattutto alle vulnerabilità wormable, i sistemi attaccati possono essere utilizzati dai criminali informatici per aggredire altri dispositivi e far diffondere rapidamente un’infezione.
Tutto vero, fatta eccezione per il fatto che ultimamente da più parti si è criticata la qualità delle patch rilasciate da Microsoft: Ex dipendente Microsoft spiega il perché dei problemi con gli aggiornamenti di Windows 10.
L’azienda guidata da Satya Nadella ha confutato le affermazioni sostenendo di essere sulla strada giusta: Aggiornamenti di Windows 10: Microsoft usa il machine learning.
Da parte nostra il consiglio è sempre lo stesso: esaminare con attenzione le patch che Microsoft rilascia ogni mese accertando quali vulnerabilità possono eventualmente esporre ad attacchi o provocare problemi a seconda della propria specifica configurazione, delle risorse utilizzate e della superficie di attacco.
Nell’articolo Windows Update: come gestire gli aggiornamenti abbiamo presentato le strategie da seguire.
Vale la pena evidenziare che nonostante Microsoft sia da tempo passata alla distribuzione dei cosiddetti (pesanti) “aggiornamenti cumulativi” mensili, annotando l’identificativo CVE di ciascun aggiornamento, quindi visitando questa pagina e incollando il numero di CVE in fondo alla barra degli indirizzi si potranno eventualmente trovare, se disponibili, i link per il download delle singole patch. Per scaricarle basterà cliccare sul link Security only in corrispondenza della riga relativa al sistema operativo utilizzato.
Installando una patch Security only si potrà risolvere un problema di sicurezza che ha impatto sui propri asset nell’immediato senza essere costretti a caricare interi aggiornamenti cumulativi (l’installazione di questi ultimi potrà essere rimandata dopo aver effettuato i necessari test).