Ci stavo pensando ultimamente. Sono la stessa cosa? o il secondo ha molto più della semplice gestione delle patch?
Per scoprire le differenze, vediamo quali sono effettivamente questi primi tipi di gestione.
Gestione patch
La gestione delle patch include la pianificazione, l'acquisizione, il test e l'installazione delle modifiche a un software. Questo può essere qualsiasi tipo di software: sistemi operativi, driver, software applicativo o firmware sugli elettrodomestici. Una patch non è necessariamente installata per correggere una vulnerabilità, ma può esserlo. Spesso viene fornito per correggere bug o aggiornare un software alla versione più recente. Nelle organizzazioni di medie dimensioni o di grandi dimensioni, in cui solitamente si utilizza la gestione delle patch, sono in uso speciali soluzioni software per distribuire le patch su un numero elevato di sistemi. Per fare un esempio: WSUS è un software di questo tipo.
Gestione delle vulnerabilità
La seguente wikipedia gestione della vulnerabilità è:
the "cyclical practice of identifying, classifying, remediating, and mitigating vulnerabilities", particularly in software.
Voglio aggiungere che le vulnerabilità non si trovano solo nel software, ma possono anche essere presenti nell'hardware e persino nei processi o cose che sono più legate al "mondo fisico", come una porta (ad es. un lucchetto debole) o le finestre del tuo ufficio. Ma una tipica gestione delle vulnerabilità non si occuperà di queste cose, anche se può farlo. Ciò differisce da organizzazione a organizzazione.
Vedi anche la seguente definizione in ISO 27000:
vulnerability
weakness of an asset or control that can be exploited by one or more threats
Le vulnerabilità nel software sono spesso eliminate attraverso l'installazione di una patch. Questo è il motivo per cui alcuni dicono che la gestione delle vulnerabilità fa parte della gestione delle patch. Non direi così, ed ecco perché: a volte ci sono scenari in cui devi operare sistemi che hanno vulnerabilità che non possono essere risolti. Ad esempio, hai un cliente che vuole che tu esegua un server con un sistema operativo molto vecchio. Se il management pensa, questo cliente è importante, a volte non hai scelta, ma accettare la presenza di queste vulnerabilità e potrebbe non essere in grado di correggerle. Ovviamente devi installare altri controlli per proteggere questo server in qualche modo. Ciò farebbe parte della "gestione" di una vulnerabilità. (Un esempio ancora più semplice potrebbe essere: a volte non c'è patch.)
Conclusione
La gestione delle patch e delle vulnerabilità ha lo stesso suono ma è diversa. La gestione delle patch si occupa di patch, aggiornamenti e correzioni del software che devono essere installati per diversi motivi. La distribuzione di queste patch deve essere pianificata in anticipo e devi sapere quali macchine hanno bisogno di una patch a che ora. (Se gestisci diverse migliaia di PC desktop, questa operazione è molto più difficile di quanto possa sembrare.)
La gestione delle vulnerabilità riguarda solo problemi di sicurezza (e talvolta sicurezza) di (soprattutto) software. Molto spesso, questi problemi possono essere risolti con una patch, ma certamente non sempre. Le vulnerabilità possono essere presenti in tutti i tipi di sistemi e possono essere eliminate con molte strategie diverse. Gli amministratori possono modificare le politiche del firewall, l'impostazione della rete, acquistare nuovo hardware, formare i dipendenti, ecc. Per risolvere indefinitamente una vulnerabilità con una patch è quasi sempre un'ottima soluzione, ma potrebbe non essere sempre possibile.
Si sovrappongono molto, ma non sono assolutamente uguali.
Vedo la gestione delle vulnerabilità come un'attività molto più importante e l'applicazione di patch come una delle possibili attività per gestire le vulnerabilità. In questo senso, c'è molto di più nella gestione delle vulnerabilità rispetto alle patch (o alla gestione delle patch). Molto spesso, questo è gestito da professionisti della sicurezza. Spesso vediamo vulnerabilità non coperte dalle patch disponibili.
Idealmente, l'applicazione di patch come attività dovrebbe essere priorizzata in base alle vulnerabilità risolte dalle patch. Tuttavia, al livello più elementare di maturità, tende ad essere un'attività indipendente svolta dagli amministratori IT. In questi casi a volte vediamo patch che non sono correlate a vulnerabilità note (probabilmente correggono difetti non correlati alla sicurezza - o semplicemente un'attività di routine).
Quando si applicano le patch, ci si augura che le patch risolvano le vulnerabilità note nel prodotto del fornitore, ma si sta facendo affidamento sul fornitore del software per eseguire la gestione delle vulnerabilità del proprio prodotto.
Ma la gestione complessiva delle vulnerabilità non è solo la somma delle correzioni applicative ai pacchetti software della tua organizzazione. Questo è parte di esso ma non tutto, e nemmeno la maggior parte di esso.
La gestione delle vulnerabilità è una pratica continua di identificazione, classificazione, quantificazione e mitigazione dei punti deboli nei sistemi IT dell'organizzazione. I malfunzionamenti del software sono spesso sfruttati per accedere ai sistemi, ma ci sono molti modi per violare i sistemi IT di un'organizzazione senza sfruttare un bug del software.
Leggi altre domande sui tag vulnerability patching vulnerability-management