▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Silent patching: un ostacolo alla sicurezza dell’ecosistema

Nel 2023 è cresciuto il numero delle vulnerabilità scoperte da Trend Micro, ma anche la preoccupante tendenza del silent patching: la pratica di rallentare la divulgazione pubblica di vulnerabilità e patch.

Tecnologie/Scenari

Nella prima metà del 2023 la Zero Day Initiative di Trend Micro ha pubblicato oltre 1.000 avvisi relativi a vulnerabilità uniche. Creata per incoraggiare la segnalazione di vulnerabilità Zero-Day ai fornitori in forma privata, premiando finanziariamente i ricercatori, ZDI rappresenta oggi il più grande programma indipendente di bug bounty al mondo. Gli avvisi pubblicati consentono di far risparmiare miliardi in spese di recovery sia ai clienti Trend Micro sia ai suoi clienti. Una volta pubblicato l’avviso, infatti, il fornitore ha la possibilità di realizzare una patch e impedirne lo sfruttamento.

Alex Galimi, SE Team Leader di Trend Micro Italia, approfitta del Black Hat USA 2023 per mettere in luce la tendenza pericolosa “di aziende che mancano di trasparenza in merito alle patch dei vendor in caso di divulgazione delle vulnerabilità, e questo rappresenta una minaccia per la sicurezza del mondo digitale". In sostanza Galimi si riferisce al silent patching, la pratica di rallentare o diluire la divulgazione pubblica e la documentazione di vulnerabilità e patch, che costituisce un importante ostacolo alla lotta al crimine informatico, ma è fin troppo comune tra i principali vendor e cloud provider.

Partecipa agli ItalianSecurityAwards 2024 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

In particolare, i ricercatori Trend Micro hanno rivelato che le patch silenziose sono diventate particolarmente comuni tra i cloud provider. Le aziende sono frequentemente restie nell'assegnare un ID relativo a delle CVE (Common Vulnerabilities and Exposures) che venga associato a documentazione pubblica e rilasciano invece delle patch privatamente. Questa mancanza di trasparenza, o di numeri di versione per i servizi cloud, ostacola la valutazione del rischio e priva l’intera comunità di security di informazioni preziose, in grado di migliorare la sicurezza complessiva dell'ecosistema.

Il fenomeno era già evidente lo scorso anno, ora si tratta di un vero e proprio allarme perché il divario è peggiorato. Per questo motivo trend Micro invoca un'azione urgente che spinga a dare priorità alle patch, ad affrontare le vulnerabilità e a promuovere la collaborazione tra ricercatori, vendor di sicurezza informatica e cloud service provider, con l’obiettivo di rafforzare i servizi basati su cloud e proteggere gli utenti da potenziali rischi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter