Il processo di applicazione delle patch è quasi sempre associato ad aggiornamenti di sistema dove deve essere necessariamente testato tutto.
Tuttavia, in alcune situazioni o momenti, può non essere sempre possibile ritestare tutto. In alcuni casi il fornitore di software di turno non rilascia gli aggiornamenti security immediatamente. Che cosa si può fare quindi con il virtual patching framework?
Virtual Patching cosa è?
Si tratta di una terminologia e tecnica già presente da diversi anni. Non è quindi una novità (Virtual Patching OSWAP) all'interno dell'area della cyber security.
L'idea alla base è sostanzialmente quella di trovare una alternativa (da identificare caso per caso) che eviti lo sfruttamento di una determinata vulnerabilità da parte di malintenzionati.
Non quindi risolvere una determinata vulnerabilità ma evitare che sia sfruttata. Ad esempio?
Una determinata vulnerabilità sfrutta uno specifico componente. A seguito di una analisi (se possibile) questo componente, se non usato, potrebbe essere disattivato.
Quando può essere usato?
Il momento ideale di applicazione di questa tecnica è nei casi in cui non sia stata ancora individuata una "cura" ufficiale per un determinato problema di sicurezza (leggi, ad esempio, qui: 10KBLAZE SAP Exploit Vulnerability cosa significa?). Ovvero quelle vulnerabilità chiamate zero-days (0-day vulnerabilities).
In altre parole, da quando una vulnerabilità viene resa pubblica a quando il vendor di turno fornisce una patch per la sua risoluzione.
In molti casi, prima della soluzione effettiva della vulnerabilità (che può riguardare anche correzioni del codice di programmazione) vengono anche fornite delle soluzioni alternative - workaround - che permettono in tutto o parte di arginare il problema (prima di applicare la patch che risolve la vulnerabilità).
Virtual patching in SAP?
Anche in SAP è possibile utilizzare questa tecnica. Non si tratta chiaramente di scegliere se applicare o meno le patch ufficiali. Non è una "scorciatoia" da applicare in tutti i casi.
Ma in alcune situazioni all'interno di un processo di gestione delle patch può essere applicata questa tecnica, soprattutto con particolare riferimento alle vulnerabilità zero days. Pur non essendo sempre possibile farlo.
Serve uno strumento oppure è possibile farlo "a mano"?
Chiaramente è possibile svolgere manualmente la ricerca delle varie vulnerabilità e l'applicazione di questa tecnica.
Tuttavia, esistono sul mercato software che permettono di individuare le vulnerabilità e permettere una valutazione di applicabilità o meno della virtual patching, ad esempio:
- Onapsis
- SecurityBridge