Da quando mi occupo di analizzare e fornire consulenza sui bollettini di sicurezza Microsoft (quindi praticamente da sempre... ;-), questa è la domanda ricorrente che mi sono sentito rivolgere ovunque. Il cliente italiano in questi ultimi 10 anni ha sempre fatto un po' fatica a far proprio il postulato fondamentale "le security patch si mettono tutte e il prima possibile", chiedendo in ogni occasione di essere aiutato a poter scegliere quelle proprio strettamente indispensabili, secondo l'intuibile criterio di privilegiare quelle che potessero essere sfruttate per possibili attacchi virus/worm (si è è anche coniato l'orribile termine di vulnerabilità "wormizzabile" per definire questo livello di rischio). Senza mettere in discussione il postulato di cui detto, è ragionevole l'aspettativa di chi ha bisogno di capire il livello reale di rischio per riuscire almeno a definire una priorità di installazione degli aggiornamenti di sicurezza, richiesta particolarmente sentita dai responsabili dell'esercizio IT in aziende con un numero elevato di sistemi da aggiornare. E' per rispondere a questa legittima esigenza dei clienti che Microsoft ha introdotto un nuovo strumento per l'analisi del rischio, annunciato durante lo scorso Black Hat 2008 e disponibile a partire dall'emissione dei bollettini di sicurezza di questo mese: il Microsoft Exploitability Index, un indice della probabilità di sfruttamento delle vulnerabilità. Ogni vulnerabilità viene classificata con un indicatore a 3 valori (1-rischio elevato, 2-rischio medio, 3-rischio basso) che indica quanto sia facile poter realizzare un codice pericoloso efficace (exploit) in grado di poter essere utilizzato per un attacco (diretto o tramite malware). Alla luce di questo indice, la lettura dei bollettini appena emessi in questo mese porta alla tabella che vi riporto di seguito (dove noterete che ho utilizzato degli indicatori semaforici per la comprensione a colpo d'occhio, e un indice di aggregazione a livello bollettino per quelli che risolvono più vulnerabilità; il valore 0 indica la presenza di un exploit già noto pubblicamente):
Combinando questo indice con il livello di severity di un bollettino (che indica la pericolosità del danno che si può subire) e con l'applicabilità dello stesso al proprio ambiente aziendale (il prodotto è utilizzato in azienda? In che misura? E' parte di una soluzione business critical?) a questo punto si può determinare il vero livello di urgenza con cui adoperarsi per aggiornare i propri sistemi.
Altre risorse per approfondire:
Ottimo lavoro!
Più chiaro di così... :-)
Grazie del riscontro Mario! Magari domani scendo a conoscerti di persona all'MVP Open Days 2008...Ciao!
Grazie a te!
Purtroppo non ci siamo incontrati, ieri. Ti ho solo sentito nominare (mi sembra nell'intervento dell'Amministratore Delegato).
Oggi, peraltro, per impegni già presi ho dovuto rinunciare alla seconda giornata degli OD, ma spero che ci saranno altre occasioni di trovarsi. Sicuramente ci leggeremo qui :-)
|
Accedi |
Registrati