L’era della cosiddetta “Patchpocalypse” (o “apocalisse delle patch”) è ormai una realtà, e i modelli di sicurezza attuali si rivelano pericolosamente inadeguati.

patch pexels

Il panorama della sicurezza informatica ha raggiunto un punto di svolta, una condizione che ricorda in modo inquietante l’inizio del 2020. All’epoca, molti consideravano la crisi emergente come qualcosa di lontano, e non si rendevano conto della rapidità con cui il mondo avrebbe poi subito un arresto improvviso. Oggi ci troviamo di fronte a una dinamica simile, ma guidata da una minaccia in rapida accelerazione, alimentata da strumenti sempre più sofisticati a disposizione dei criminali informatici, come dimostra l’esempio di tecnologie quali Mythos. Questi strumenti consentono di orchestrare e concatenare attacchi in modo rapido e semplice, trasformando vulnerabilità apparentemente banali, in minacce critiche ad una velocità estremamente elevata.

La velocità con la quale avviene una compromissione non si misura più in mesi, ma in minuti, costringendoci a ripensare il nostro approccio alla sicurezza. Non si tratta semplicemente di un aumento del volume delle minacce, ma di un vero e proprio cambiamento di paradigma.

Per anni, il settore ha tollerato un certo “debito di sicurezza”, basandosi su una sorta di tacito accordo con i criminali informatici che lasciava tempo sufficiente per intervenire e porre rimedio alle vulnerabilità. Oggi, quell’equilibrio è stato unilateralmente annullato dagli strumenti d’attacco basati sull’intelligenza artificiale.

Queste capacità di lanciare attacchi a velocità-macchina trasformano ogni minima configurazione errata e ogni sistema non aggiornato in un obiettivo potenziale, esponendo ogni azienda al rischio di una violazione immediata e su larga scala. Eppure, molte aziende continuano a contrastare queste minacce con strategie ormai obsolete.

L’era della cosiddetta “Patchpocalypse” (o “apocalisse delle patch”) è ormai una realtà, e i modelli di sicurezza attuali si rivelano pericolosamente inadeguati.

La crisi degli attacchi a velocità-macchina

Per decenni, le aziende hanno costruito i propri modelli di sicurezza basandosi sulla velocità umana. Una vulnerabilità veniva individuata, classificata e gestita con finestre di intervento che andavano dai 30 giorni ai tre mesi, consentendo ai team IT di operare con tempi relativamente prevedibili.

Oggi, però, questa logica è stata completamente ribaltata: la valutazione e lo sfruttamento delle vulnerabilità avvengono a velocità-macchina, esponendo qualsiasi componente software a un rischio costante. Il flusso continuo di nuove vulnerabilità ha generato per i team IT una coda di interventi di fatto impossibile da esaurire: una vera e propria sequenza infinita di bug. Si tratta di una sfida esistenziale soprattutto per le aziende che si affidano a infrastrutture legacy. L’automazione degli attacchi rende infatti obsoleti i tradizionali cicli di patching: la finestra utile per la remediation si è ridotta da mesi a poche ore, se non a minuti.

Questa sfida è ulteriormente aggravata da una realtà concreta: molte piattaforme legacy non verranno mai aggiornate. Si pensi a un impianto manifatturiero critico gestito da un mainframe VAX/VMS di 40 anni fa — ancora oggi presente anche in alcuni contesti finanziari — oppure a infrastrutture di rete o produzione controllate da sistemi Windows 98/NT.

Questi sistemi, che controllano direttamente la sicurezza fisica e la continuità operativa, non possono essere semplicemente messi offline per eseguire un ciclo di patching, anche quando una patch esiste. Si tratta di reliquie tecnologiche ancora funzionanti, che rappresentano un debito di sicurezza strutturale ormai radicato.

In questo contesto, non è più realistico attendere finestre di intervento di 30 giorni: la perfezione del patching è un mito operativo. Le decisioni devono essere concrete e immediate. Il focus deve quindi spostarsi dalla prevenzione dell’infezione al suo contenimento, segnando un cambiamento profondo nella filosofia operativa della sicurezza: dalla remediation, all’isolamento.

Ridurre l’esposizione e passare alla granularità

Il primo passo fondamentale consiste nel ridurre in modo drastico la superficie di esposizione: eliminare ciò che non deve essere esposto su Internet. Se un sistema non ha bisogno di essere visibile a tutta la rete pubblica, va segmentato e isolato.

Per i servizi esposti verso l’esterno, le aziende dovrebbero adottare Web Application Firewall (WAF) o soluzioni analoghe di protezione a livello di edge. Per tutto il resto, l’approccio deve essere chiaro: utilizzare soluzioni di accesso moderne in grado di nascondere, proteggere e isolare gli asset.

Questo consente di guadagnare tempo prezioso e, soprattutto, di rimuovere il vettore di attacco immediato.

Il perimetro di rete, un tempo concepito come una solida fortezza, non esiste più. Affidarsi a VPN tradizionali o a controlli firewall per l’accesso alla rete significa, di fatto, concedere a un utente o a un dispositivo compromesso una testa di ponte all’interno dell’infrastruttura.

È qui che emerge la differenza tra la retorica dello Zero Trust e la sua reale implementazione. La chiave per affrontare con successo l’era della “machine time” risiede nell’adozione di un modello Zero Trust autentico, che si traduce essenzialmente in granularità dei controlli.

Durante la pandemia, l’adozione dello Zero Trust ha spesso rappresentato più un acceleratore per l’accesso remoto che una vera trasformazione architetturale, complice l’incapacità delle infrastrutture di sostenere il carico. Questo ha fatto sì che solo una minima parte delle aziende abbia implementato policy realmente granulari.

L’attuale scenario, fortemente influenzato dall’intelligenza artificiale, richiede l’implementazione di un modello Zero Trust realmente efficace, in grado di garantire che dispositivi e utenti siano protetti e isolati, con accesso esclusivo a ciò che è strettamente necessario — e a nient’altro.

Il vero Zero Trust si basa sul principio del privilegio minimo, arrivando a segmentare gli accessi fino al livello del singolo applicativo o servizio. Questo significa che un dispositivo connesso alla rete non può né vedere né comunicare con risorse non esplicitamente autorizzate al suo utilizzo.

Questa granularità estrema rappresenta l’unico meccanismo di difesa realmente efficace contro il movimento laterale alla velocità delle macchine, trasformando una potenziale violazione dell’intera rete in un incidente circoscritto a un singolo asset.

Proteggere dispositivi OT e connessi tramite SIM

L’importanza di un approccio granulare emerge in modo ancora più evidente nel caso dei dispositivi connessi tramite SIM e dei sistemi OT (Operational Technology). Oggi, infatti, molti dispositivi si collegano tramite SIM direttamente a gateway esposti su Internet oppure utilizzano reti mobili per accedere a infrastrutture aziendali private attraverso routing interno. In entrambi i casi si tratta di esempi di una segmentazione insufficiente. I dispositivi IoT e OT pongono tre principali criticità.

La sfida posta da un servizio fisico è cruciale. Si tratta infatti di dispositivi che supportano processi del mondo reale — come controllori di linee di produzione, semafori o distributori automatici — e per i quali qualsiasi downtime ha un impatto diretto su ricavi e continuità operativa, rendendo complessi gli interventi di patching. Se un attacco ransomware su una postazione standard può risultare altamente impattante, un attacco contro un controller di valvole intelligenti in un impianto petrolchimico può diventare potenzialmente catastrofico, con conseguenze sulla sicurezza fisica e sulla stabilità ambientale.

In secondo luogo, questi dispositivi seguono un ciclo di vita non standard: spesso provengono da fornitori esterni ai tradizionali processi IT di patching e operano su software proprietari e difficili da gestire, come versioni personalizzate di Android in ambito automotive. Questo “problema di ecosistema” si traduce in dispositivi consegnati come vere e proprie black box proprietarie, spesso basate su kernel datati o sistemi operativi custom che sfuggono alle normali policy di change management IT. Infine, si riscontra frequentemente una mancanza di supervisione: molti di questi dispositivi vengono connessi al di fuori del perimetro di controllo di IT e sicurezza, dando origine a regole di accesso eccessivamente permissive, spesso del tipo “any-any”. Questo ha generato una forma di Shadow IT su larga scala, in cui configurazioni permissive sono state adottate per garantire il funzionamento dei sistemi, ma hanno finito per creare vulnerabilità significative per l’intera infrastruttura aziendale.

Per mitigare questi rischi, in particolare nei sistemi mission-critical, ogni connessione cellulare deve essere trattata come un elemento isolato, ovvero come un micro-segmento privato e indipendente.

Se un criminale informatico compromette un dispositivo cellulare vulnerabile e questo ha accesso illimitato alla rete aziendale tramite routing interno, può passare immediatamente da un asset a basso valore ai sistemi ad alto valore dell’infrastruttura privata. Al contrario, isolando ogni singola connessione, nessun dispositivo può comunicare senza che il proprio traffico venga prima sottoposto a un controllo centralizzato e all’applicazione rigorosa delle policy di sicurezza.

Questo livello di protezione diventa essenziale man mano che le aziende digitalizzano e implementano sistemi automatizzati — come le infrastrutture robotiche nella produzione automotive — perché consente di guadagnare tempo operativo critico per gestire, mettere in sicurezza e, progressivamente, modernizzare asset tecnologici complessi e difficili da governare.

Maturità dello Zero Trust

Per affrontare l’“apocalisse delle patch” e proteggere i sistemi mission-critical, le aziende devono concentrarsi sulla riduzione dei rischi e sul prolungamento in sicurezza della vita operativa delle infrastrutture OT/IoT ormai obsolete. Il raggiungimento di una reale maturità Zero Trust richiede un approccio sequenziale e strutturato.

Il primo passo consiste in una visibilità completa dell’inventario. Si tratta di un esercizio trasversale che coinvolge sicurezza, responsabili OT e responsabili di prodotto, con l’obiettivo di mappare ogni asset abilitato alla connettività IP, includendone sistema operativo, funzione, finalità e stato di connessione.

Una volta completata questa fase di identificazione, la priorità è la segmentazione. L’obiettivo è creare micro-segmenti privati e isolati per ogni singolo asset o gruppo.

Questo approccio consente di passare da un’architettura di rete piatta — in cui una singola violazione può mettere a rischio l’intero sistema — a una struttura composta da “isole” discrete e isolate, che limitano il movimento laterale e rappresentano una risposta tattica efficace alle minacce zero-day.

Successivamente, le aziende devono comprendere i rischi in modo più evoluto, valutandoli nel contesto della segmentazione della rete, passando così da una valutazione teorica del rischio a una valutazione contestualizzata.

Questo implica determinare la criticità del dispositivo per il business — ad esempio, se un suo eventuale fermo bloccherebbe una linea di produzione con impatto sui ricavi — così da allocare correttamente risorse limitate.

Infine, le azioni di mitigazione devono essere priorizzate sulla base di questa analisi. Le attività possono includere l’applicazione di patch ai sistemi più critici per il business, quando possibile, l’ispezione di altri asset, oppure il mantenimento di un isolamento rigoroso in attesa di interventi di re-ingegnerizzazione e modernizzazione. Quest’ultimo passaggio rappresenta il cambiamento strategico di lungo periodo: la progressiva riduzione del debito di sicurezza accumulato.

Conclusione

Nell’era dello sfruttamento delle vulnerabilità a velocità-macchina, la sicurezza deve essere proattiva e basata sull’isolamento. L’uptime non può più essere inteso semplicemente come continuità operativa del sistema, ma come una misura di resilienza – la capacità di garantire che i sistemi siano protetti, isolati e in grado di operare senza essere compromessi dal flusso incessante di minacce.

L’adozione di un modello Zero Trust realmente granulare non è più solo una scelta strategica, ma un requisito indispensabile per garantire la continuità operativa. È arrivato il momento del vero Zero Trust.

Nathan Howe, SVP Innovation and Product at Zscaler