Caricamento...
Caricamento...
Processo sistematico di identificazione, test e distribuzione degli aggiornamenti di sicurezza su tutti i dispositivi aziendali.
Il patch management è il processo sistematico di identificazione, acquisizione, test e distribuzione degli aggiornamenti software (patch) su tutti i dispositivi aziendali: sistemi operativi, applicazioni, firmware di dispositivi di rete e driver. Le patch possono essere aggiornamenti di sicurezza che correggono vulnerabilità, fix funzionali che risolvono bug o aggiornamenti di funzionalità che introducono nuove caratteristiche.
Il processo si articola in fasi precise: inventario dei dispositivi e del software installato, monitoraggio delle nuove patch rilasciate dai vendor, valutazione della criticità e dell’applicabilità, test in un ambiente pilota per verificare la compatibilità, distribuzione controllata sull’intero parco macchine e verifica dell’installazione avvenuta. Senza un processo strutturato, le patch vengono applicate in ritardo o non vengono applicate affatto, lasciando vulnerabilità aperte.
BullTech gestisce il patch management per i propri clienti tramite la piattaforma NinjaOne RMM: scansione automatica delle patch mancanti, approvazione e distribuzione centralizzata, scheduling fuori orario lavorativo per non impattare la produttività, e reportistica completa sullo stato di aggiornamento di ogni dispositivo. Le patch critiche di sicurezza vengono distribuite entro 48 ore dal rilascio.
Le vulnerabilità software non corrette sono il secondo vettore di attacco più utilizzato dopo il phishing. Quando un vendor rilascia una patch di sicurezza, sta implicitamente dichiarando l’esistenza di una vulnerabilità: da quel momento, gli attaccanti hanno una finestra temporale per sfruttarla prima che le aziende applichino l’aggiornamento. Questa finestra, chiamata window of exposure, è mediamente di 15 giorni nelle aziende senza patch management strutturato.
Casi recenti come la vulnerabilità Log4Shell, le falle nei firewall FortiGate e i bug zero-day in Microsoft Exchange hanno dimostrato che le conseguenze di un patching tardivo possono essere devastanti: accesso completo ai sistemi aziendali, furto di dati e distribuzione di ransomware. Un programma di patch management riduce la superficie di attacco fino all’80%.
La NIS2 e i framework di cybersecurity come il NIST richiedono esplicitamente un processo documentato di gestione degli aggiornamenti. Dimostrare che i sistemi aziendali sono regolarmente aggiornati è uno dei primi requisiti di compliance verificati in caso di audit.
La piattaforma RMM di BullTech scansiona periodicamente ogni dispositivo gestito per identificare le patch mancanti per sistema operativo e applicazioni. Le patch vengono classificate per criticità: le patch di sicurezza critiche vengono testate e distribuite entro 48 ore, quelle importanti entro una settimana, gli aggiornamenti non critici nel ciclo mensile ordinario. La distribuzione avviene tipicamente fuori orario lavorativo con riavvio programmato.
Per le applicazioni line-of-business (gestionali, ERP, software verticali), il patch management richiede un coordinamento specifico con il fornitore dell’applicazione per verificare la compatibilità prima dell’aggiornamento del sistema operativo. BullTech gestisce anche questa fase, comunicando con i vendor applicativi e testando la compatibilità prima di distribuire gli aggiornamenti.
Tool di patch management a confronto — WSUS (Windows Server Update Services): costo gratuito con licenza Windows Server, gestisce solo prodotti Microsoft, ideale per PMI con Active Directory e budget limitato. Microsoft Intune: costo da 6 EUR/utente/mese (incluso in Microsoft 365 Business Premium), gestisce Windows, macOS, iOS e Android, ideale per PMI cloud-first con dispositivi mobili. ManageEngine Patch Manager Plus: costo da 3 EUR/endpoint/mese, gestisce Windows, macOS, Linux e oltre 850 applicazioni di terze parti, ideale per MSP e PMI strutturate che vogliono una copertura completa. NinjaOne RMM (usato da BullTech): costo su preventivo (tipicamente 3-5 EUR/endpoint/mese), include patch management + monitoraggio + scripting + help desk in un’unica piattaforma.
Il patch management è un tassello fondamentale della sicurezza informatica aziendale. Per approfondire la strategia di protezione completa, leggi la nostra guida sulla sicurezza informatica (/servizi/sicurezza-informatica) e l’articolo sulla manutenzione preventiva informatica aziendale (/blog/manutenzione-preventiva-informatica-aziendale).
Vuoi approfondire? Manutenzione preventiva informatica aziendale: guida completa
Scopri come possiamo aiutarti con Monitoraggio Proattivo
Scegliere lo strumento giusto per il patching dipende dal budget, dal numero di dispositivi e dai sistemi operativi da gestire. Ecco un confronto chiaro per orientarti.
| Tool | Tipo | Costo indicativo | Pro | Contro |
|---|---|---|---|---|
| WSUS | On-premise | Gratuito (licenza Windows) | Integrato con Active Directory | Solo prodotti Microsoft |
| Microsoft Intune | Cloud | da 8€/utente/mese | Multi-OS, MDM integrato | Costo per utente, complessità |
| Automox | Cloud | da 5$/endpoint/mese | Multi-OS, automazione avanzata | Solo in inglese |
| NinjaOne (ex NinjaRMM) | Cloud | da 3$/endpoint/mese | RMM + patch in un'unica piattaforma | Richiede acquisto RMM completo |
BullTech utilizza NinjaOne come piattaforma RMM operativa, che include il patch management automatico per tutti i dispositivi gestiti. Per le aziende che preferiscono gestire internamente, WSUS resta una buona opzione gratuita se il parco macchine è tutto Windows.
Quando un vendor rilascia una patch di sicurezza, sta di fatto pubblicando l’esistenza della vulnerabilità. Da quel momento parte una corsa: da un lato le aziende che devono applicare la patch, dall’altro gli attaccanti che cercano di sfruttare la falla prima che venga chiusa.
Il 60% degli attacchi sfrutta vulnerabilità per cui esisteva una patch da oltre 30 giorni (Ponemon Institute 2025). Questo significa che la maggior parte degli attacchi riusciti non usa falle zero-day misteriose: sfrutta buchi che potevano essere chiusi settimane prima.
La regola delle 48 ore è semplice: le patch critiche di sicurezza vanno testate e distribuite entro 48 ore dal rilascio. Non è sempre facile (servono test di compatibilità, finestre di manutenzione, coordinamento con i fornitori applicativi), ma è il tempo massimo ragionevole per non lasciare la porta aperta. BullTech automatizza questo processo per i clienti gestiti: la piattaforma RMM scansiona, testa e distribuisce le patch critiche senza intervento manuale.
Non tutti gli strumenti di patching sono uguali. Ecco un confronto pratico per orientarti nella scelta, a seconda del budget e del tipo di infrastruttura.
| Tool | Tipo | Costo | Ideale per |
|---|---|---|---|
| WSUS | On-premise | Gratuito (con licenza Windows Server) | PMI Windows-only con Active Directory |
| Microsoft Intune | Cloud | ~6€/utente/mese | Aziende con Microsoft 365 Business Premium |
| Automox | Cloud | ~3€/endpoint/mese | Ambienti multi-OS (Windows, macOS, Linux) |
| BullTech Managed Patching | MSP gestito | Da 2€/endpoint/mese | PMI senza IT interno che vogliono zero pensieri |
Con BullTech Managed Patching, il patching è completamente gestito: scansione, test in ambiente pilota, distribuzione fuori orario, verifica post-deploy e report mensile. Per le PMI senza un IT interno dedicato, è la soluzione con il miglior rapporto costo-copertura.
Non tutte le patch hanno la stessa urgenza. Ecco il template di scheduling che usiamo in BullTech per i clienti gestiti:
| Priorità | Tempistica di applicazione | Esempi |
|---|---|---|
| Critical (CVSS 9.0+) | 24-48 ore dal rilascio | Zero-day attivi, RCE, escalation di privilegi |
| High (CVSS 7.0-8.9) | Entro 7 giorni | Vulnerabilità con exploit pubblico, bypass autenticazione |
| Medium (CVSS 4.0-6.9) | Entro 30 giorni | Bug funzionali, vulnerabilità con condizioni specifiche |
| Low (CVSS < 4.0) | Prossimo ciclo mensile | Aggiornamenti cosmetici, feature update opzionali |
Il 60% degli attacchi sfrutta vulnerabilità con patch disponibile da oltre 30 giorni (Ponemon Institute 2025). Il problema non sono le falle sconosciute: sono quelle note che nessuno ha chiuso in tempo. Un buon schedule di patching elimina questa finestra di esposizione.
Le patch critiche di sicurezza vanno applicate entro 48 ore dal rilascio. Le patch importanti entro 7 giorni. Gli aggiornamenti di funzionalità e quelli opzionali possono seguire il ciclo mensile del Patch Tuesday di Microsoft (secondo martedì del mese). La cosa fondamentale è avere un processo: senza un sistema automatizzato, le patch si accumulano e i sistemi restano esposti per settimane o mesi.
Servono tre cose: uno strumento di patch management (WSUS, Intune, NinjaOne o simili), una policy che definisca le tempistiche per tipo di patch, e una finestra di manutenzione concordata (tipicamente la notte o il weekend) per distribuire gli aggiornamenti senza disturbare il lavoro. Con un MSP come BullTech, tutto questo è incluso nel contratto di assistenza: la piattaforma RMM scansiona, scarica e distribuisce le patch automaticamente secondo le policy concordate con il cliente.
Una patch di sicurezza corregge una vulnerabilità: è un aggiornamento piccolo, mirato, che va installato il prima possibile. Un feature update introduce nuove funzionalità e modifiche significative al sistema operativo o all’applicazione: è più grande, richiede più test di compatibilità e può essere pianificato con più calma (30-90 giorni). Esempio pratico: una patch che corregge un bug in Outlook è urgente; il passaggio a Windows 11 24H2 è un feature update che va pianificato con attenzione.
Secondo il Ponemon Institute 2025, il costo medio di un data breach causato da una vulnerabilità non patchata è di 4.45 milioni di dollari per le grandi aziende. Per una PMI italiana, i numeri sono più contenuti ma comunque significativi: un attacco ransomware che sfrutta una falla nota costa in media 50.000-150.000 euro tra fermo operativo, ripristino e danni reputazionali. Confrontalo con 2-5 euro/endpoint/mese per un servizio di patching gestito.
Sì. La NIS2 richiede esplicitamente "la gestione delle vulnerabilità e la divulgazione delle vulnerabilità" (Art. 21, comma 2, lettera e). Tradotto: devi avere un processo documentato per identificare, valutare e correggere le vulnerabilità nei tuoi sistemi. Un audit NIS2 chiederà: quali strumenti usi per il patching? Entro quanto applichi le patch critiche? Hai un report che lo dimostra? Senza un patch management strutturato, non passi l’audit.
Le risposte alle domande più comuni su Patch Management – Gestione Aggiornamenti.
Continua a esplorare la terminologia IT aziendale.
Managed Service Provider: azienda che gestisce l'IT per conto dei clienti con contratti ricorrenti. Monitoraggio 24/7, helpdesk, sicurezza e backup a canone fisso.
Leggi definizioneServizi ITI Service Level Agreements (SLA) sono accordi contrattuali che definiscono tempi, qualità e penali dei servizi IT garantiti dal fornitore.
Leggi definizioneServizi ITServizio centralizzato di assistenza tecnica che riceve, gestisce e risolve le richieste di supporto degli utenti aziendali.
Leggi definizioneServizi ITPiattaforma software che consente ai fornitori IT di monitorare e gestire da remoto server, PC e dispositivi di rete dei clienti, al costo di 3-8 euro per endpoint al mese. BullTech utilizza Atera come piattaforma RMM operativa per il monitoraggio proattivo di oltre 3.000 endpoint in Lombardia.
Leggi definizioneHai bisogno di chiarimenti su Patch Management – Gestione Aggiornamenti o vuoi capire come applicarlo nella tua azienda? I nostri esperti sono a disposizione.