Applicare correttamente le patch di terze parti significa dare priorità agli aggiornamenti delle app in base al punteggio di rischio del fornitore, che stima l’impatto potenziale di quest’ultimo sulla sicurezza del cliente, sulla conformità, sulle operazioni e altro ancora. La velocizzazione degli aggiornamenti delle app ad alto rischio riduce l’esposizione della tua azienda e concentra le tue risorse.
Questo articolo esplora i passi da compiere per il patch management e la valutazione del rischio, in conformità con gli standard internazionali di assicurazione informatica (ad esempio, NIST CSF, ISO/IEC 27001).
Gestisci i tuoi criteri di patch management e di gestione delle vulnerabilità
Segui questi passaggi per valutare i servizi di terze parti in base al punteggio di rischio del fornitore e classificarli in base all’urgenza.
📌 Prerequisiti:
- Windows 10 o 11 (qualsiasi edizione)
- Permessi di amministratore
- Inventario delle risorse con applicazioni di terze parti installate
- Accesso ai feed di vulnerabilità o ai database dei punteggi dei fornitori (ad esempio, CVSS, CISA KEV, VulnDB)
- Strumento RMM o piattaforma di patch management (ad esempio, NinjaOne)
- Livelli di valutazione del rischio definiti (ad esempio, critico, alto, medio, basso)
📌 Strategie di implementazione consigliate:
| Fai clic per scegliere un passo | 💻 Più adatto per utenti individuali | 💻💻💻 Più adatto per ambienti enterprise |
| Definisci un modello di classificazione del rischio del fornitore | ✓ | ✓ |
| Inventario del software installato | ✓ | ✓ |
| Abbina le app installate alle fonti di punteggio di rischio | ✓ | ✓ |
| Etichetta i dispositivi in base alla priorità del rischio di patch | ✓ | ✓ |
| Programma le finestre di patch in base alla priorità | ✓ | ✓ |
| Blocca o ritarda il patching del software a basso rischio tramite GPO | ✓ |
Fase 1: Definire un modello di classificazione del rischio del fornitore
Inizia con un elenco di criteri specifici per l’azienda per adattare la gestione delle vulnerabilità e delle patch alle tue esigenze.
📌 Casi d’uso: Delinea e dai priorità alle minacce software.
| Livello | Criteri | Esempi |
| 1 | Ampiamente sfruttato. Punteggio severo del Common Vulnerability Scoring System (CVSS), scarsa esperienza in materia di sicurezza | Adobe Flash (EOL), Java (Oracle) |
| 2 | Sfruttato regolarmente. Punteggio CVSS moderato, risposta costante del fornitore | Chrome (Google), Zoom |
| 3 | Sfruttato raramente. Punteggio CVSS prossimo allo zero. Solo per uso offline. | WinSCP, Notepad++, VLC |
Segui questo layout di base per evidenziare la reattività del fornitore. Per una maggiore chiarezza, amplia ulteriormente il tuo modello con gli avvisi CVE (Common Vulnerabilities and Exposures) e CISA.
Fase 2: Inventario del software installato tramite PowerShell
Genera un elenco di applicazioni installate con script specializzati o comandi di base, quindi organizzalo in base al tuo modello a livelli.
📌 Casi d’uso: Elenco programmatico di tutti i software installati, con l’aggiunta di colonne per il nome dell’applicazione, la versione, l’editore e la data di installazione.
- Premi la combinazione di tasti Win + R, digita PowerShell e premi la combinazione di tasti Ctrl + Maiusc + Invio.
- Esegui questo comando:
Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* |
Select-Object DisplayName, DisplayVersion, Publisher, InstallDate
Fase 3: Abbinare le app installate alle fonti di vulnerabilità e di punteggio di rischio
Arricchisci il tuo inventario software con le più recenti informazioni sulle vulnerabilità per confronti basati sui dati.
📌 Casi d’uso: Associa il software ad alto rischio al livello di punteggio di rischio del fornitore appropriato.
Punteggi CVSS di NVD
Istituito nel 1999, il National Vulnerability Database (NVD) è uno dei più ampi registri di vulnerabilità digitali conosciute. Il database contiene la matrice ufficiale dei punteggi CVSS, i livelli di gravità e il software interessato.
Catalogo CISA KEV
Il catalogo delle vulnerabilità sfruttate (Known Exploited Vulnerabilities, KEV) tiene traccia delle vulnerabilità più comuni in un determinato periodo di tempo, dagli ultimi giorni a diversi anni, ed elenca i CVE con ulteriori approfondimenti.
I professionisti IT possono anche automatizzare il monitoraggio sfruttando il formato CSV/JSON del catalogo.
Guida agli aggiornamenti di sicurezza Microsoft
Il centro aggiornamenti di Microsoft fornisce rapporti specifici per i prodotti sulle vulnerabilità, elenca il loro impatto e notifica le patch in arrivo. Sono supportati anche l’accesso API e i moduli PowerShell per i flussi di lavoro a mani libere.
Scanner di terze parti per il patch management di terze parti
Prendi in considerazione l’aggiunta di queste piattaforme di monitoraggio delle vulnerabilità allo stack degli strumenti del tuo dipartimento:
- Qualys
- Tenable
- VulnDB
⚠️ Importante: Scarica solo applicazioni da fonti affidabili e legittime.
💡 Nota: Queste applicazioni si integrano in genere con SIEM e RMM (ad esempio, NinjaOne) per una migliore supervisione.
Fase 4: Etichettare i dispositivi in base alla priorità di rischio delle patch utilizzando il registro o l’RMM
Distribuzione centralizzata di script mirati al registro che etichettano gli endpoint.
📌 Casi d’uso: Applica manualmente i livelli di priorità delle patch a tutti gli endpoint.
📌 Prerequisiti: NinjaOne; gli endpoint sono online e disponibili.
- Premi la combinazione di tasti Win + R, digita PowerShell e premi la combinazione di tasti Ctrl + Maiusc + Invio.
- Esegui questo comando:
New-Item -Path "HKLM:\SOFTWARE\Org\PatchPriority" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Org\PatchPriority" -Name "PatchTier" -Value "<VendorRiskTierLabel>"
Sostituisci <VendorRiskTierLabel> con il livello di rischio dell’endpoint (ad esempio, Tier1)
- Chiudi l’Editor del Registro di sistema.
- Premi la combinazione di tasti Win + R, digita cmd e premi la combinazione di tasti Ctrl + Maiusc + Invio.
- Per verificare se l’etichetta è stata applicata correttamente, esegui la stringa riportata qui sotto:
reg query HKLM\SOFTWARE\Org\PatchPriority
- Utilizza NinjaOne per scansionare i valori del registro PatchPriority e raggruppare facilmente gli endpoint per un patch management di terze parti efficiente.
Fase 5: Programmare le finestre di patch in base al livello di priorità
Pianifica aggiornamenti tempestivi per risolvere le vulnerabilità critiche il prima possibile, riducendo al minimo le interruzioni. Ecco una guida preventiva alla finestra delle patch che si allinea ai cicli di aggiornamento di Microsoft.
| Livello | Finestra patch | Sistemi coinvolti |
| 1 | 24-48 ore | Server di posta elettronica, piattaforme di e-commerce che memorizzano le informazioni delle carte di credito |
| 2 | Entro 7 giorni | Server di database, unità condivise |
| 3 | Ciclo di aggiornamento mensile/per fornitore | Sistemi HR, sistemi di segnaletica digitale, stampanti |
| 4 | Attenuazione dell’accesso | Sistemi legacy non patchabili che devono essere isolati (ad esempio, dispositivi Windows XP) |
Passo 6: Bloccare o ritardare il patching di software a basso rischio tramite GPO
Evita i problemi di larghezza di banda posticipando gli aggiornamenti delle app a basso rischio.
📌 Casi d’uso: Concentra le risorse sugli aggiornamenti di sistema ad alta priorità.
📌 Prerequisiti: Windows 10/11 Enterprise o Education, con AppLocker e servizio Application Identity.
- Premi la combinazione di tasti Win + R, digita gpedit.msc e premi la combinazione di tasti Ctrl + Maiusc + Invio.
- Vai su:
Configurazione del computer > Modelli amministrativi > Componenti di Windows > Windows Update
- Gestisci i seguenti criteri per controllare quando vengono installati gli aggiornamenti:
- Configura gli aggiornamenti automatici
- Specifica le scadenze per gli aggiornamenti e i riavvii automatici
- Rimuovi l’accesso all’utilizzo di tutte le funzionalità di Windows Update
- Vai su:
Configurazione del computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri di controllo delle applicazioni > AppLocker
- Crea regole per bloccare le applicazioni non aggiornate, impedisci le installazioni di file .msi a bassa priorità e consenti l’esecuzione solo di versioni specifiche delle applicazioni.
⚠️ Cose da tenere d’occhio
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| Esecuzione di uno script PowerShell elevato senza filtro | Sovraccarico di log, problemi di prestazioni e sicurezza compromessa | Utilizza filtri come Where-Object per concentrarti su determinate parti del tuo parco dispositivi |
| Un GPO mal configurato impedisce gli aggiornamenti | Le patch del giorno zero sono ritardate, aumentando l’esposizione | Modifica il GPO per consentire gli aggiornamenti del software ed eseguire gpupdate /force |
| Il comando CMD deprecato produce un elenco incompleto/difficile | Dati di inventario fuorvianti, rischi di sicurezza trascurati | Passa agli script PowerShell di registrazione dell’inventario software (ad esempio, Get-WmiObject, Get-CimInstance o Get-Package) |
Considerazioni importanti
Ecco alcune preziose indicazioni per ottimizzare il patch management di terze parti ed evitare le insidie più comuni.
Dispositivi BYOD o remoti
Gli aggiornamenti non nativi sono doppiamente importanti per gli endpoint BYOD (Bring-Your-Own-Device), che operano al di fuori del firewall dell’azienda. Tieni d’occhio questi dispositivi, perché qualsiasi vulnerabilità non patchata può aumentare la superficie di attacco.
Verifica della patch
Assicurati che le patch sono sicure ed efficaci. I sistemi remoti o offline di solito non tengono conto di queste fasi, ma il test degli hotfix su un campione ridotto, la preparazione di strategie di rollback e il monitoraggio post-patch sono essenziali per un patch management di terze parti efficace.
Monitoraggio dei fornitori
Rimani informato su tutti gli avvisi di vulnerabilità del servizio, in modo da poter modificare di conseguenza i programmi di patch e le classificazioni dei livelli. Un aggiornamento mancato potrebbe portare a lacune nella sicurezza e nella conformità, quindi tieni aperti i canali.
Allineamento QBR per il patch management di terze parti
Adatta i report del software esterno agli obiettivi aziendali trimestrali per soddisfare gli stakeholder o i responsabili di reparto. Puoi farlo evidenziando metriche come:
- Tassi di riduzione del rischio
- Conformità agli SLA
- Tendenze degli incidenti prima e dopo il patch
- Tempo medio di rilevamento (MTTD)
Risoluzione dei problemi del patch management di terze parti
Segui questi passaggi chiave per risolvere i problemi più comuni legati alla gestione delle vulnerabilità e delle patch.
Le patch non si applicano
Se i rollout non hanno effetto, è possibile che si verifichi quanto segue:
- Non corrispondono le versioni: Verifica la compatibilità del sistema operativo e standardizza le versioni dei dispositivi con gli strumenti RMM (ad esempio, NinjaOne).
- Problemi di rete: Risolvi eventuali problemi di connettività e verifica che il firewall non stia bloccando gli URL delle patch.
- Software in conflitto: Disattiva le applicazioni in conflitto, come gli AV, controlla i registri degli eventi o disinstalla temporaneamente i blocchi.
Etichetta di livello non corretta
L’errata classificazione di più dispositivi compromette la classificazione delle patch e minaccia le infrastrutture aziendali critiche. Se gli endpoint sono etichettati in modo errato, dovrai correggere manualmente i tag del registro o semplificare il processo con i gestori di endpoint.
Sincronizzazione ritardata delle patch
Se il tuo parco dispositivi non si sincronizza correttamente, è probabile che ciò sia dovuto a limiti di larghezza di banda, dispositivi scollegati o client software disattivati. L’automazione delle pianificazioni di sincronizzazione con piattaforme di gestione cloud-native spesso evita questi casi.
Software a basso rischio identificato erroneamente
Confondere le applicazioni a bassa priorità con quelle ad alto rischio (o viceversa) può distogliere le risorse del sistema da dove sono necessarie, aumentando l’esposizione. Quando classifichi il tuo software in base ai punteggi di rischio dei fornitori, considera innanzitutto i punteggi CVSS e i dati sugli exploit.
Come NinjaOne semplifica il patch management di terze parti
🥷🏽 NinjaOne semplifica la valutazione del rischio di patch management:
| Funzionalità | Funzione | Come migliora le patch di terze parti |
| Tag dei dispositivi | Etichetta gli endpoint per livello per un’assegnazione più rapida delle priorità | Assegna le etichette in modo semplice in base al livello di rischio per un patching mirato |
| Integrazione di CVE e CVSS | Automatizza le approvazioni delle patch in base a CVE, punteggio CVSS o provider | Utilizza i punteggi di gravità e le versioni del software per l’approvazione automatica |
| Automazione degli script | Controlla le versioni installate e gli aggiornamenti mancanti | Verifica le versioni del software e individua le applicazioni non soggette a patch |
| Monitoraggio automatizzato delle patch e analisi | Avvisi in tempo reale per i guasti delle patch; assistenza alla diagnostica | Notifica al sysadmin quando i rischi di livello 1 non vengono corretti |
Da la priorità alle app a rischio per un patch management di terze parti efficiente
Prioritizza le applicazioni di terze parti in base ai punteggi di rischio dei fornitori consente al personale e agli MSP di concentrare le risorse dei clienti dove sono necessarie, ottimizzando i programmi di patch per mantenere l’ambiente IT privo di rischi.
Argomenti correlati:
