Matteo Brandi : 26 Settembre 2024 07:11
“Vecchio software, aggiorno o rischio il crash? Dilemma Eterno“. Aggiornare o non aggiornare? Questo è il dilemma che spesso attanaglia molti, tanto da essere stato inserito nella OWASP Top 10 con il nome di “Vulnerable and Outdated Components” (Componenti software Obsoleti e Vulnerabili…qui il sito ufficiale) . Mi sono immaginato intervistatore di un possibile CTO di una ipotetica azienda. Riferimenti a fatti o persone reali sono puramente casuali.
Oggi ci sediamo virtualmente con la nostra tazza di caffè (o tè, se preferite) e parliamo di qualcosa che potrebbe sembrare un po’ noioso, ma che è in realtà cruciale per la sicurezza della nostra azienda: i Componenti Vulnerabili ed Obsoleti. Sì, lo so, non è il tipo di argomento che fa scaldare i cuori, ma fidatevi di me, è importante!
Intervistatore: Oggi abbiamo l’onore di ospitare il nostro CTO, che ci parlerà di un tema cruciale per la sicurezza delle nostre applicazioni: i componenti vulnerabili ed obsoleti. Benvenuto CTO!
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
CTO: Grazie, è un piacere essere qui!
Intervistatore: Cominciamo con una domanda semplice. Può spiegarci cosa sono esattamente i componenti software vulnerabili ed obsoleti?
CTO: Pensate ai componenti software come ai mattoncini che usiamo per costruire le nostre applicazioni. Alcuni di questi mattoncini possono essere vecchi e non più supportati dai produttori. Quando parliamo di componenti vulnerabili, ci riferiamo a pezzi di software che hanno falle di sicurezza note. Gli obsoleti, invece, sono quelli che non ricevono più aggiornamenti o supporto. Entrambi possono rappresentare un grosso rischio per la sicurezza delle nostre applicazioni.
Intervistatore: Interessante! Può fare un esempio per aiutarci a capire meglio?
CTO: Immaginate di avere una vecchia auto d’epoca. Funziona ancora e ha anche un certo fascino, ma i pezzi di ricambio sono difficili da trovare e la sicurezza non è al livello delle auto moderne. I componenti software obsoleti sono simili: possono funzionare, ma sono più suscettibili agli attacchi e difficili da mantenere sicuri.
Intervistatore: Parlando di sicurezza, quali sono i rischi associati all’utilizzo di questi componenti?
CTO: Il rischio principale è che le vulnerabilità nei componenti software possono essere sfruttate dai criminali informatici per accedere ai nostri sistemi. È come avere una serratura difettosa: se un ladro scopre che non funziona bene, cercherà sicuramente di entrare. Le vulnerabilità permettono ai malintenzionati di fare proprio questo, mettendo a rischio i dati e le operazioni dell’azienda.
Intervistatore: Capisco. E quali strategie adottare per affrontare questo problema?
CTO: Abbiamo diverse strategie in atto. Prima di tutto, monitoriamo costantemente i nostri componenti per assicurarci che siano aggiornati e privi di vulnerabilità note. Poi, applichiamo aggiornamenti e patch regolarmente testandoli prima su una infrastruttura speculare ma non produttiva. Utilizziamo anche strumenti che verificano automaticamente le nostre dipendenze software, avvisandoci se qualcosa non va. Teniamo sempre aggiornati i manuali in modo che tutti possano sapere le versioni dei software o librerie presenti in produzione. Infine, investiamo molto nella formazione continua del nostro team per essere sempre pronti ad affrontare nuove minacce.
Intervistatore: È rassicurante sapere che ci sono così tante misure in atto. C’è qualche consiglio che vorrebbe dare alle altre aziende che affrontano lo stesso problema?
CTO: Sicuramente. Il primo consiglio è di non sottovalutare l’importanza degli aggiornamenti. Possono sembrare noiosi, ma sono fondamentali per mantenere la sicurezza. Inoltre, investire in strumenti di monitoraggio e formazione del personale è essenziale. E, naturalmente, avere sempre un piano di backup per quando le cose non vanno come previsto.
Intervistatore: Grazie mille per questi preziosi consigli! Prima di salutarci, c’è qualcos’altro che vorrebbe aggiungere?
CTO: Solo una cosa: la sicurezza non è mai un argomento da prendere alla leggera. Un buon controllo oggi può risparmiarci grandi problemi domani. Grazie per avermi ospitato, e buon lavoro a tutti!
Intervistatore: Grazie a lei per aver condiviso la sua esperienza e competenza. E grazie a voi per averci seguito.
Dover modificare profondamente un software o delle procedure perché un elemento del nostro processo di lavoro è datato è una attività sicuramente noiosa e snervante, specialmente se il lavoro fatto in precedenza non è adeguatamente documentato. Dover sistemare le cose perché è entrato un malware…è decisamente peggio.
Matteo BrandiQuesta mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...
L’attuale accelerazione normativa in materia di cybersicurezza non è un fenomeno isolato, ma il culmine di un percorso di maturazione del Diritto penale che ha dovuto confrontarsi con la dematerial...
