Quasi tutte le realtà moderne utilizzano software e piattaforme digitali in qualche modo. Ma con minacce informatiche sempre più sofisticate e diffuse, i tuoi strumenti sono davvero sicuri?
Scopri come Google ha deciso di accorciare i tempi di sicurezza per affrontare le vulnerabilità più velocemente.
Che Cos’è Project Zero?
Tutto è iniziato con Project Zero, un team di sicurezza d’élite incaricato di individuare le vulnerabilità “zero-day”, ossia falle sconosciute ai produttori di software. Non si limita a cercare bug e nuovi tipi di attacco, ma studia e documenta pubblicamente anche come potrebbero essere sfruttati.
Questa fonte rapida e affidabile dà ai produttori di software il tempo di correggere le debolezze prima che vengano sfruttate. Di conseguenza, aiuta a proteggere individui e aziende che usano quei prodotti dalle nuove minacce informatiche.
Una Policy di Disclosure Più Rigida
Quando Project Zero è stato lanciato nel 2021, il gruppo ha creato una policy “90+30 giorni”. I vendor avevano 90 giorni per risolvere i bug segnalati e altri 30 giorni extra per permettere agli utenti di adottare la patch. Se il termine non veniva rispettato, Project Zero rendeva pubblici i dettagli della vulnerabilità.
Il problema era il cosiddetto “upstream patch gap”, cioè il tempo che passava tra la disponibilità della correzione a monte e la sua distribuzione ai vendor a valle. Gli hacker, che si muovono velocemente e spesso collaborano, sfruttavano proprio questi intervalli.
Ecco come Google ha deciso di stringere ulteriormente i tempi:
Annunci Più Precoci
Il periodo di tolleranza ora dura solo pochi giorni, indipendentemente dallo stato della patch. Alcuni esperti di cybersecurity temono che tempistiche così strette possano portare a correzioni affrettate e piene di errori.
Altri invece ritengono che un colosso come Google possa creare un precedente positivo, spingendo l’intero settore a migliorare. Già nel 2020, ad esempio, la pressione di Project Zero sul caso GitHub aveva portato a soluzioni molto più rapide.
Più Dettagli per il Pubblico
Ma rilasciare informazioni così presto non aiuta anche i criminali? Google precisa che i report non includeranno dettagli tecnici, proof-of-concept o elementi che possano essere usati per attacchi. Verranno condivisi solo:
- Il nome del vendor o del progetto open source
- I prodotti interessati
- La data della segnalazione
- La scadenza dei 90 giorni per la disclosure
Queste informazioni servono a creare pressione pubblica e maggiore attenzione sui difetti non corretti. Una comunicazione più chiara tra vendor e clienti/partner dovrebbe portare a patch più rapide e ad una maggiore adozione.
Cosa Puoi Fare per Proteggere la Tua Azienda?
Anche se la policy di disclosure di Google spinge verso una maggiore responsabilità, resta fondamentale muoversi in anticipo. Ecco qualche consiglio utile:
- Rimani aggiornato: Monitora regolarmente database di vulnerabilità e notizie sulle nuove minacce.
- Aggiorna subito: Anche i ritardi minimi ti lasciano esposto, quindi installa le patch appena disponibili.
- Investi in difese: Usa firewall robusti e soluzioni antimalware per costruire un perimetro digitale sicuro.
- Forma il tuo team: Educa i dipendenti alle basi della sicurezza per ridurre i rischi di errore umano.
Con l’accorciarsi dei tempi di disclosure, i vendor saranno spinti a rilasciare correzioni più rapide ed efficaci. Quanto questa novità rafforzerà davvero la sicurezza online dipenderà da quanto velocemente i diversi settori riusciranno ad adattarsi — e da quanto le aziende sapranno farsi trovare pronte.
Ricordati... “Anche se l’informatica non è il tuo lavoro, non puoi lavorare senza l’informatica!”
