giovedì 18 giugno 2020

Panda Security spiega come gestire le patch di protezione al meglio


A metà marzo di quest'anno, la superficie d'attacco dei sistemi IT si è improvvisamente ampliata. A causa dell'emergenza sanitaria un elevato numero di persone nel mondo ha iniziato a lavorare da casa, al di fuori della rete aziendale. In alcuni casi, infatti, gli strumenti non sono stati forniti dalle aziende ma molti lavoratori hanno dovuto utilizzare i PC personali per creare, archiviare e inviare dati. Questa tendenza viene generalmente definita come BYOC. Tutti questi fattori hanno aumentato l'esposizione dei sistemi informatici a molteplici minacce, soprattutto dal momento che i team IT hanno iniziato ad avere meno controllo rispetto a quando l'intero personale si trova in ufficio.

In questo scenario l'aspetto rilevante da tenere in considerazione è il numero di vulnerabilità presenti nelle applicazioni e nei sistemi operativi. Un endpoint esposto a uno o più pericoli può essere il gateway perfetto per un cybercriminale per farsi strada nella rete aziendale. Ogni azienda è costantemente minacciata da una moltitudine di fonti. Le vulnerabilità più recenti. La gestione dei punti esposti alle minacce è un compito complesso, anche a causa dell'elevata quantità di casi che viene scoperta ogni giorno; l'anno scorso, per esempio, sono state trovate 12.147 tipologie, una media di 33 al giorno. Tra le più recenti rilevate quest'anno, le principali sono tre: • CVE-2020-0609 > presente in Windows Remote Desktop Gateway (RD Gate), è una vulnerabilità di esecuzione remota del codice e si verifica quando un utente non autenticato si collega al sistema della vittima tramite RDP.

La minaccia non richiede alcuna interazione da parte dell'utente e, se sfruttata con successo, l'hacker può eseguire un codice malevolo nel sistema in modo arbitrario. Questa tipologia è particolarmente critica al giorno d'oggi, poiché milioni di lavoratori remoti utilizzano connessioni remote desktop per lo smart working. • CVE-2020-0674 > questa versione influisce sul modo nel quale il motore di scripting gestisce gli oggetti in memoria su Internet Explorer. Se un cybercriminale la sfrutta con abilità, può ottenere le stesse autorizzazioni di un utente legittimo per installare applicazioni, visualizzare, modificare o cancellare dati o creare nuovi account senza alcun problema. Un attacco tipico può coinvolgere un hacker che crea un sito Web appositamente progettato per sfruttare la vulnerabilità. Gli utenti possono quindi essere indotti a visitarlo tramite tecniche di social engineering come un'e-mail con link incorporati.

• CVE-2020-0604 > si tratta di un'altra vulnerabilità di esecuzione remota del codice, oltre ad essere presente anche in un programma estremamente utile per il lavoro da remoto: Microsoft SharePoint. Se sfruttata con successo questa vulnerabilità, l'hacker può eseguire un codice arbitrario nel pool di applicazioni di SharePoint e nella relativa server farm. Le vulnerabilità già note. I team IT di tutto il mondo si sono occupati di molte altre minacce conosciute da tempo, che hanno causato alcuni dei più noti incidenti di sicurezza informatica degli ultimi anni. Le più note sono: • Eternal Blue > Questa tipologia esiste nel protocollo Microsoft Server Message Block (SMB), un protocollo di trasporto che consente alle macchine Windows di comunicare tra loro e con altri dispositivi, ed è stata presumibilmente sviluppata dalla NSA (National Security Agency), causando molti problemi di cybersicurezza.


Gli aggressori manipolano le falle nel modo in cui SMB gestisce determinati pacchetti per eseguire in remoto qualsiasi codice desiderato. Tra i cyberattacchi che l'hanno sfruttata anche NotPetya, Adylkuzz e WannaCry, nonostante Microsoft abbia rilasciato una patch dedicata circa due mesi prima degli attacchi di WannaCry. Sebbene le vulnerabilità possano essere state scoperte solo di recente dai ricercatori sulla sicurezza o dal fornitore del software, è possibile che i criminali conoscano la vulnerabilità da tempo e le abbiano sfruttate da sempre. • CVE-2019-0586 > questa vulnerabilità, chiusa nel 2019, è stata particolarmente pericolosa in quanto poteva essere sfruttata inviando semplicemente un'e-mail appositamente predisposta a un server Microsoft Exchange vulnerabile. Un utente dannoso che sfrutta con successo la falla può eseguire codice arbitrario nel contesto dell'utente di sistema. 

• CVE-2017-5638 > Questa vulnerabilità è stata rilevata nel software Apache Struts e ha causato diversi incidenti. Da un lato, è stato utilizzato per lanciare il ransomware Cerber, dall'altro, è stata la causa della violazione del sistema IT dell'azienda Equifax, dal quale sono stati rubati i dati personali di circa 143.000.000 di persone. A due anni di distanza da questo episodio, le falle di sicurezza della società stanno ancora pagando un prezzo elevato, ma è importante sottolineare che due mesi prima della violazione era disponibile una patch per correggere proprio questo problema. Altri attacchi informatici, come le due violazioni annunciate da Yahoo nel 2016, hanno eclissato la penetrazione di Equifax in dimensioni reali, ma l'attacco contro  la società americana è stato peggiore in termini di gravità perchè i cybercriminali sono riusciti a sottrarre le informazioni "indispensabili" per il furto di identità.

Perché non è stato fatto nulla? Indipendentemente dalla loro criticità, le patch tendono ad essere un problema per gli amministratori IT: infatti, dare priorità e distribuire gli aggiornamenti è un compito costoso. Non solo ci sono molti aggiornamenti, ma installarli significa spesso investire tempo nel riavviare i computer e i server, interrompendo il flusso di lavoro. Tenere traccia di tutte le correzioni e versioni del software per assicurarsi che vengano installate in tempo utile può diventare un lavoro a tempo pieno per reti più grandi. Inoltre, le patch stesse possono introdurre cambiamenti nel comportamento del software che causano errori in sistemi precedentemente affidabili. Panda Patch Management rende tutto più facile. Considerata l'importanza delle patch e il numero di problemi di sicurezza informatica che possono risolvere, cosa si può fare per ottimizzare il processo di applicazione/implementazione? 

Per rendere facile il complesso ciclo di vita della gestione delle patch per sistemi operativi e software di terze parti, Panda Security propone Panda Patch Management, la soluzione che non richiede nuovi agenti o console di gestione, poiché è completamente integrata negli strumenti di sicurezza degli endpoint dell’azienda. Fornisce una visibilità centralizzata in tempo reale sulle vulnerabilità, le patch, gli aggiornamenti in sospeso e il software non supportato o EoL. Inoltre, queste capacità proteggono i dispositivi sia all'interno che all'esterno della rete aziendale, rendendo più facile l'aggiornamento degli endpoint dei lavoratori da remoto, cosa essenziale al momento. Per aiutare in questo processo, Panda Security ha realizzato un White Paper (scaricabile qui), nel quale viene spiegato il complesso ciclo di vita della gestione delle patch, dal loro scopo con l'identificazione degli asset vulnerabili, fino alla loro distribuzione. Via: Naper Multimedia




Nessun commento:

Posta un commento