Matteo Brandi : 26 Settembre 2024 07:11
“Vecchio software, aggiorno o rischio il crash? Dilemma Eterno“. Aggiornare o non aggiornare? Questo è il dilemma che spesso attanaglia molti, tanto da essere stato inserito nella OWASP Top 10 con il nome di “Vulnerable and Outdated Components” (Componenti software Obsoleti e Vulnerabili…qui il sito ufficiale) . Mi sono immaginato intervistatore di un possibile CTO di una ipotetica azienda. Riferimenti a fatti o persone reali sono puramente casuali.
Oggi ci sediamo virtualmente con la nostra tazza di caffè (o tè, se preferite) e parliamo di qualcosa che potrebbe sembrare un po’ noioso, ma che è in realtà cruciale per la sicurezza della nostra azienda: i Componenti Vulnerabili ed Obsoleti. Sì, lo so, non è il tipo di argomento che fa scaldare i cuori, ma fidatevi di me, è importante!
Intervistatore: Oggi abbiamo l’onore di ospitare il nostro CTO, che ci parlerà di un tema cruciale per la sicurezza delle nostre applicazioni: i componenti vulnerabili ed obsoleti. Benvenuto CTO!
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
CTO: Grazie, è un piacere essere qui!
Intervistatore: Cominciamo con una domanda semplice. Può spiegarci cosa sono esattamente i componenti software vulnerabili ed obsoleti?
CTO: Pensate ai componenti software come ai mattoncini che usiamo per costruire le nostre applicazioni. Alcuni di questi mattoncini possono essere vecchi e non più supportati dai produttori. Quando parliamo di componenti vulnerabili, ci riferiamo a pezzi di software che hanno falle di sicurezza note. Gli obsoleti, invece, sono quelli che non ricevono più aggiornamenti o supporto. Entrambi possono rappresentare un grosso rischio per la sicurezza delle nostre applicazioni.
Intervistatore: Interessante! Può fare un esempio per aiutarci a capire meglio?
CTO: Immaginate di avere una vecchia auto d’epoca. Funziona ancora e ha anche un certo fascino, ma i pezzi di ricambio sono difficili da trovare e la sicurezza non è al livello delle auto moderne. I componenti software obsoleti sono simili: possono funzionare, ma sono più suscettibili agli attacchi e difficili da mantenere sicuri.
Intervistatore: Parlando di sicurezza, quali sono i rischi associati all’utilizzo di questi componenti?
CTO: Il rischio principale è che le vulnerabilità nei componenti software possono essere sfruttate dai criminali informatici per accedere ai nostri sistemi. È come avere una serratura difettosa: se un ladro scopre che non funziona bene, cercherà sicuramente di entrare. Le vulnerabilità permettono ai malintenzionati di fare proprio questo, mettendo a rischio i dati e le operazioni dell’azienda.
Intervistatore: Capisco. E quali strategie adottare per affrontare questo problema?
CTO: Abbiamo diverse strategie in atto. Prima di tutto, monitoriamo costantemente i nostri componenti per assicurarci che siano aggiornati e privi di vulnerabilità note. Poi, applichiamo aggiornamenti e patch regolarmente testandoli prima su una infrastruttura speculare ma non produttiva. Utilizziamo anche strumenti che verificano automaticamente le nostre dipendenze software, avvisandoci se qualcosa non va. Teniamo sempre aggiornati i manuali in modo che tutti possano sapere le versioni dei software o librerie presenti in produzione. Infine, investiamo molto nella formazione continua del nostro team per essere sempre pronti ad affrontare nuove minacce.
Intervistatore: È rassicurante sapere che ci sono così tante misure in atto. C’è qualche consiglio che vorrebbe dare alle altre aziende che affrontano lo stesso problema?
CTO: Sicuramente. Il primo consiglio è di non sottovalutare l’importanza degli aggiornamenti. Possono sembrare noiosi, ma sono fondamentali per mantenere la sicurezza. Inoltre, investire in strumenti di monitoraggio e formazione del personale è essenziale. E, naturalmente, avere sempre un piano di backup per quando le cose non vanno come previsto.
Intervistatore: Grazie mille per questi preziosi consigli! Prima di salutarci, c’è qualcos’altro che vorrebbe aggiungere?
CTO: Solo una cosa: la sicurezza non è mai un argomento da prendere alla leggera. Un buon controllo oggi può risparmiarci grandi problemi domani. Grazie per avermi ospitato, e buon lavoro a tutti!
Intervistatore: Grazie a lei per aver condiviso la sua esperienza e competenza. E grazie a voi per averci seguito.
Dover modificare profondamente un software o delle procedure perché un elemento del nostro processo di lavoro è datato è una attività sicuramente noiosa e snervante, specialmente se il lavoro fatto in precedenza non è adeguatamente documentato. Dover sistemare le cose perché è entrato un malware…è decisamente peggio.
Matteo BrandiNumerosi apprezzamenti stanno arrivando per Elon Musk, che continua a guidare con destrezza le molteplici attività del suo impero, tra cui Tesla, SpaceX, xAI e Starlink, mantenendo salda la sua posiz...
Tre ex dipendenti di DigitalMint, che hanno indagato sugli incidenti ransomware e negoziato con i gruppi di ransomware, sono accusati di aver hackerato le reti di cinque aziende americane. Secondo il ...
Cisco ha reso noto recentemente di aver scoperto una nuova tipologia di attacco informatico mirato a compromettere i dispositivi che operano con i software Cisco Secure Firewall Adaptive Security Appl...
Nel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
