Patch Management per PMI: perché gli aggiornamenti da soli non bastano

Scritto da ExposIQ | Marzo 12, 2026

“Applichiamo regolarmente le patch” e un’affermazione che in molte PMI svizzere viene considerata la prova di una buona sicurezza IT. E in effetti: il patching e importante. Ma e solo una parte dell’equazione. Chi crede che gli aggiornamenti regolari siano sufficienti, trascura una buona parte della superficie di attacco.

Questo articolo spiega perche il patch management e necessario ma non sufficiente, e come la scansione delle vulnerabilita fornisca il complemento decisivo.

Cosa fa il patching e cosa no

Le patch chiudono vulnerabilita note nel software. Quando Microsoft, Apache o un altro produttore rilascia un aggiornamento di sicurezza, questo corregge uno o piu CVE documentati. E essenziale e deve avvenire in modo affidabile.

Tuttavia, le patch risolvono solo un determinato tipo di vulnerabilita: errori nella codifica del software. Molti dei problemi di sicurezza piu critici nelle reti delle PMI non sono pero bug del software, bensi errori di configurazione, e per questi non esiste alcuna patch.

Errori di configurazione: la superficie di attacco invisibile

Gli errori di configurazione non derivano da software difettoso, ma da un’installazione o una manutenzione errata. Esempi tipici:

  • Credenziali predefinite: Router, switch, stampanti, sistemi NAS e firewall ancora operativi con nomi utente e password di fabbrica. “admin/admin” o “admin/password” sono spaventosamente diffusi.
  • Interfacce di gestione aperte: RDP, SSH, interfacce web di dispositivi di rete o database direttamente raggiungibili da Internet, spesso senza che l’amministratore ne sia a conoscenza.
  • Crittografia mancante: Servizi interni che comunicano senza crittografia. HTTP al posto di HTTPS, LDAP non crittografato, Telnet al posto di SSH.
  • Permessi troppo generosi: Condivisioni SMB su cui “Everyone” ha accesso in scrittura. Database che accettano connessioni da qualsiasi indirizzo IP.
  • Configurazioni TLS obsolete: Web server che supportano ancora TLS 1.0 o cipher suite deboli.
  • Sicurezza e-mail mancante: Domini senza SPF, DKIM e DMARC che consentono l’e-mail spoofing.

Per nessuna di queste vulnerabilita verra mai rilasciata una patch. Possono essere corrette solo attraverso modifiche consapevoli alla configurazione, e per farlo bisogna prima conoscerle.

Il Patch Gap: la lacuna pericolosa

Anche se una PMI applica le patch in modo esemplare, esiste un intervallo di tempo inevitabile tra la pubblicazione di una vulnerabilita e l’installazione della patch. Questa lacuna, il Patch Gap, e un rischio reale.

Il procedimento tipico:

  1. Giorno 0: La vulnerabilita diventa nota pubblicamente (pubblicazione CVE)
  2. Giorno 0-7: Il produttore rilascia una patch (nel migliore dei casi)
  3. Giorno 7-14: La PMI valuta e testa la patch
  4. Giorno 14-30: La patch viene installata su tutti i sistemi interessati

Nella pratica passano quindi da 2 a 4 settimane tra la divulgazione di una vulnerabilita e la sua correzione, anche nelle PMI ben organizzate. Per i sistemi meno prioritari o per processi di aggiornamento complicati (ad esempio applicazioni specializzate che devono essere testate dopo un aggiornamento del sistema operativo), possono passare mesi.

Allo stesso tempo, studi dimostrano che gli aggressori sono sempre piu rapidi. Il tempo medio dalla pubblicazione del CVE al primo tentativo di exploit osservato e inferiore a 15 giorni. Per le vulnerabilita altamente critiche, gli attacchi automatizzati iniziano spesso entro poche ore.

Cosa succede nella lacuna?

Durante il Patch Gap sono decisivi due aspetti:

  • Consapevolezza: La PMI sa che e interessata? Senza scansione delle vulnerabilita, il team IT deve affidarsi alle comunicazioni dei produttori e ai siti di notizie.
  • Compensazione: E possibile adottare misure di protezione temporanee (regole WAF, restrizioni firewall, disattivazione del servizio) per ridurre il rischio fino al patching?

Uno scanner di vulnerabilita che verifica regolarmente l’infrastruttura rende possibili entrambe le cose: identifica automaticamente i sistemi interessati e fornisce la base per misure compensative mirate.

Patch installata – problema risolto? Non sempre.

Una realta spesso trascurata: non ogni patch installata funziona. Esistono numerosi scenari in cui una patch e stata installata ma la vulnerabilita persiste:

  • La patch richiede un riavvio: Gli aggiornamenti di Windows in particolare vengono spesso installati, ma il riavvio viene rimandato, a volte per settimane. Fino al riavvio, la vulnerabilita resta aperta.
  • La patch e stata installata in modo errato: Conflitti di dipendenze, spazio di archiviazione insufficiente o problemi di permessi possono portare a un aggiornamento contrassegnato come “installato” ma non effettivamente efficace.
  • La patch copre solo una parte del problema: Alcune vulnerabilita richiedono modifiche alla configurazione aggiuntive dopo l’installazione della patch. La nota vulnerabilita di Exchange ProxyNotShell, ad esempio, richiedeva una regola URL Rewrite dopo la patch.
  • Il servizio non e stato riavviato dopo la patch: Un web server Apache con patch applicata il cui processo non e stato riavviato continua a funzionare con il vecchio codice vulnerabile in memoria.

L’unico metodo affidabile per verificare l’effettiva efficacia di una patch e una nuova scansione delle vulnerabilita dopo l’installazione.

Confronti tra scansioni: la verifica del patching

I confronti tra scansioni sono uno strumento potente per il patch management. Il principio e semplice: si confrontano i risultati di una scansione prima del patching con una scansione successiva. Il risultato mostra:

  • Vulnerabilita corrette: Erano presenti nella scansione precedente e ora sono scomparse. La patch ha funzionato.
  • Vulnerabilita persistenti: Erano presenti prima e ci sono ancora. La patch non ha funzionato o non e stata installata.
  • Nuove vulnerabilita: Non erano presenti nella scansione precedente. O sono stati pubblicati nuovi CVE, sono stati aggiunti nuovi sistemi, oppure la patch ha involontariamente introdotto nuovi problemi.

Questo confronto prima-dopo rende misurabile il successo delle attivita di patching e fornisce al team IT un feedback chiaro su quale lavoro ha effettivamente prodotto risultati.

Un approccio olistico per le PMI

Una gestione efficace delle vulnerabilita combina il patch management con la scansione regolare. Le due discipline si completano a vicenda:

Il patch management garantisce che:

  • Le vulnerabilita software note vengano chiuse
  • I sistemi operativi e le applicazioni siano aggiornati
  • Le raccomandazioni dei produttori vengano implementate

La scansione delle vulnerabilita garantisce che:

  • Gli errori di configurazione vengano rilevati, per i quali non esistono patch
  • Il software end-of-life venga identificato
  • L’efficacia delle patch venga verificata
  • Le nuove vulnerabilita vengano rilevate tempestivamente
  • I sistemi sconosciuti o dimenticati vengano scoperti

Raccomandazioni pratiche per le PMI

  1. Automatizzate il vostro patching – Windows Server Update Services (WSUS), Intune o soluzioni di patch management di terze parti riducono l’impegno manuale.
  2. Eseguite una scansione dopo ogni ciclo di patching – per assicurarvi che le patch abbiano effettivamente funzionato.
  3. Scansionate alla ricerca di errori di configurazione – password predefinite, porte aperte, crittografia mancante e servizi non sicuri non vengono corretti da nessuna patch.
  4. Definite un ritmo – cicli di patching mensili combinati con scansioni settimanali o mensili delle vulnerabilita.
  5. Misurate i vostri progressi – i confronti tra scansioni mostrano se il numero totale di vulnerabilita diminuisce o aumenta.

Gli errori piu frequenti del “solo patching”

Per concludere, una panoramica delle situazioni che il puro patch management non copre e che emergono regolarmente nelle scansioni delle vulnerabilita:

  • Web server con directory listing attivato
  • Database in ascolto su 0.0.0.0 anziche solo su localhost
  • Installazioni WordPress con xmlrpc.php disattivato ma ancora raggiungibile
  • Servizi SNMP con community string “public”
  • Server SSH con accesso root e autenticazione tramite password consentiti
  • Certificati SSL wildcard su sistemi che non necessitano di HTTPS
  • File di backup (.bak, .old, .sql) nella directory web pubblica

Nessuno di questi problemi viene risolto da una patch. Tutti sono rilevabili tramite scansione.

Conclusione

Il patching e indispensabile, ma e solo meta dell’opera. Gli errori di configurazione, il Patch Gap e la mancata verifica degli aggiornamenti creano lacune che gli aggressori sfruttano in modo mirato. Solo la combinazione di patch management rigoroso e scansione regolare delle vulnerabilita fornisce un quadro completo della propria situazione di sicurezza.

ExposIQ offre con oltre 35 motori di scansione e 11’700 template Nuclei una verifica completa che va ben oltre il semplice rilevamento dei CVE: errori di configurazione, credenziali predefinite, software end-of-life e problemi DNS vengono rilevati allo stesso modo. I confronti tra scansioni mostrano se le vostre patch hanno effettivamente funzionato. Il tutto ospitato in Svizzera, conforme alla nLPD, a partire da CHF 99 al mese. Maggiori informazioni su exposiq.ch.

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.