End of life software, cos’è e perchè usarlo è, sempre più, una pessima idea.
Niente è costruito per durare per sempre, e questo è particolarmente vero per l’hardware e il software dei computer che usiamo quotidianamente per lavorare.
Va detto però che, da sempre, per le organizzazioni di tutte le dimensioni, l’idea di aggiornare centinaia o addirittura migliaia di macchine perché un provider lo ha ritenuto necessario è un pensiero cupo. A peggiorare le cose, molte organizzazioni non sono consapevoli del fatto che una semplice svista durante l’aggiornamento delle loro applicazioni può portare a errori con implicazioni aziendali catastrofiche.
Tuttavia, mantenere i programmi che hanno superato la fine del loro ciclo di vita (EOL, End of life software) è ancora più pericoloso.
L’esecuzione del software EOL sulle reti aziendali è una delle vulnerabilità più comuni che aumenta il rischio di violazione dei dati di un’organizzazione. Ad esempio, sebbene Microsoft abbia avvertito che Windows 7 sarebbe stato ritirato a gennaio 2020, una recente ricerca ha dimostrato che il 17% dei desktop esegue ancora il sistema operativo a partire da giugno 2021.
Windows 7 è un sistema operativo molto amato, quindi non sorprende che le organizzazioni non vogliano lasciarlo andare. Tuttavia, semplicemente non è sicuro come il suo successore. Le aziende che non sono riuscite ad adattarsi hanno pagato il prezzo quando il 98% dei computer colpiti dall’attacco ransomware WannaCry del 2017 eseguiva Windows 7.
Per questo motivo, è imperativo che le organizzazioni comprendano come ridurre i rischi per la sicurezza posti dal software EOL e si preparino ad aggiornare le soluzioni che si stanno avvicinando alla data EOL. Diamo un’occhiata più da vicino al motivo per cui non dovresti mantenere il software oltre la data di scadenza e delineare le migliori pratiche per prepararti ai prossimi annunci EOL.
[Sistemi operativi a fine supporto e device fuori controllo? Come e cosa si rischia se ci si dimentica di gestire gli endpoint. Scopri Il bello, e la sicurezza, di Microsoft Windows 11. Qui il primo capitolo di una guida multimediale esclusiva]
Che cos’è la fine del ciclo di vita per un applicativo (End of life software)
L’End of life, EOL, per un software si verifica quando un produttore decide di interrompere la vendita, il supporto e l’applicazione di patch al proprio hardware o software. Funzionalmente, il produttore non considera più il software o il dispositivo “utile” e probabilmente prevede di rilasciare un modello più recente. L’azienda può fornire una garanzia “post-supporto”, ma spesso ha un prezzo elevato. A meno che il cliente non paghi il sovrapprezzo, il produttore non fornirà più aggiornamenti, patch o upgrade del firmware.
Sebbene “fine vita” includa “fine servizio” (EOS), non sono la stessa cosa. I produttori spesso cercano di incoraggiare i clienti ad acquistare nuovi prodotti non fornendo più servizi di manutenzione o aggiornamenti dopo una certa data. Se una soluzione ha superato la data EOS, il produttore potrebbe comunque vendere il prodotto ma non fornirà più servizi o supporto. Quindi, in genere è solo una questione di tempo prima che venga annunciata la data EOL.
Esempi recenti di software EOL e EOS
Skype for Business Online (EOL 31 luglio 2021) – Microsoft ha recentemente annunciato l’inizio del proprio programma EOL per l’integrazione di Skype for Business con fornitori di servizi di audioconferenza di terze parti.
Windows 10 (EOL 14 ottobre 2025) – Microsoft ha annunciato che terminerà il supporto per Windows 10.
Skype for Business Server (EOS 14 ottobre 2025): mentre Skype for Business Online verrà ritirato già nel 2021, Skype for Business Server rimane con una data di estensione fino al 2025.
Adobe Flash Player (EOL gennaio 2021) – Al momento, Adobe non supporta Flash Player (terminato il 31 dicembre 2020) e ha bloccato l’esecuzione dei contenuti Flash in Flash Player a partire dal 12 gennaio 2021.
Perché il software End of life è un grave rischio per la sicurezza
Anche se potresti pensare di avere un po’ di tempo prima di dover agire quando viene annunciata una data di fine vita, ti consigliamo vivamente di creare un piano immediatamente. Ad esempio, quando Microsoft ha annunciato la fine del supporto per Windows 7, molte organizzazioni hanno faticato a eseguire l’aggiornamento a Windows 10. Di conseguenza, sono sorte complicazioni per coloro che non davano priorità all’aggiornamento.
Questo perché il software EOL pone diverse importanti minacce alla sicurezza se non controllato.
Quando un particolare software viene ritirato, i produttori non forniscono più patch, correzioni di bug o aggiornamenti di sicurezza che gli attori delle minacce utilizzano come backdoor in reti e sistemi.
Durante la pandemia del 2020, la trasformazione digitale era imperativa.
Le organizzazioni di tutto il mondo dovevano capire come orientare le proprie strategie di trasformazione e, di conseguenza, il software EOL spesso cadeva dall’elenco delle cose da fare.
Tuttavia, identificare e rimuovere qualsiasi istanza di EOL o EOS su tutta la linea è l’unico modo per garantire che i criminali informatici non sfruttino le vulnerabilità all’interno del software ritirato.
Gli hacker sono diventati più sofisticati che mai e trovare un punto debole nel software EOL è più facile di quanto si possa pensare. Questo è esattamente il motivo per cui la tua organizzazione dovrebbe evitare di offrire agli attori delle minacce l’opportunità in primo luogo interrompendo l’uso del software EOL.
I rischi aggiuntivi legati all’esecuzione di software end of Life
Oltre ai rischi per la sicurezza, l’esecuzione del software EOL pone molti altri problemi potenzialmente importanti che le organizzazioni devono considerare. Sebbene possa sembrare più conveniente conservare software e hardware fino a quando non smettono di funzionare, la comprensione di tutti i potenziali rischi può aiutare quando si esegue un’analisi costi-benefici.
Alcuni rischi di cui le aziende devono essere consapevoli
Compliance: la maggior parte delle normative e degli standard di settore incorpora la gestione delle patch come requisito di conformità. Le industrie regolamentate sono obbligate a mantenere ed eseguire solo software/hardware supportati e aggiornati.
Compatibilità software: i sistemi operativi obsoleti potrebbero non essere in grado di eseguire software più recenti.
Prestazioni e affidabilità: è più probabile che la tecnologia meno recente funzioni lentamente o smetta di funzionare del tutto, con conseguente perdita di produttività.
Costi: i team IT spendono più tempo e denaro cercando di riparare, proteggere e mantenere la tecnologia EOL nel tempo rispetto a quanto costerebbe un nuovo acquisto. Nonostante questi rischi, è comune per le organizzazioni attendere fino all’ultimo momento possibile per aggiornare il proprio hardware o software EOL.
Inoltre, gli attori delle minacce conoscono le vulnerabilità di sicurezza di software e dispositivi EOL e continueranno a sfruttarle negli attacchi. Ogni giorno in cui il produttore non fornisce una patch di sicurezza è un altro giorno in cui gli attori malintenzionati possono trovare nuove vulnerabilità.
Una volta che un produttore annuncia che uno dei suoi prodotti o servizi si sta avvicinando alla fine del ciclo di vita, la tua azienda dovrebbe iniziare a creare immediatamente un piano per sostituire la tecnologia che presto diventerà legacy.
In generale, questo significa:
Esamina lo stato attuale: partecipa a un’analisi dell’inventario delle risorse e comprendi tutte le dipendenze del sistema.
Opzioni di ricerca: confronta diversi modelli di abbonamento e scelte sostitutive.
Pianifica la strategia: decidi cosa deve essere sostituito per primo e trova eventuali aggiornamenti aggiuntivi necessari.
[Sistemi operativi a fine supporto e device fuori controllo? Come e cosa si rischia se ci si dimentica di gestire gli endpoint. Scopri Il bello, e la sicurezza, di Microsoft Windows 11. Qui il primo capitolo di una guida multimediale esclusiva]
Come puoi rafforzare la sicurezza se la tua tecnologia ha già superato la data di fine vita
Una volta che un produttore non supporta più o vende determinati software o hardware, il rischio complessivo per la sicurezza aumenterà di giorno in giorno.
Ciò significa che è necessario accelerare il processo di pianificazione. Tuttavia, l’aggiornamento delle tue soluzioni richiederà ancora del tempo, il che significa che sarai a rischio enorme fino al completamento della tua iniziativa. Per ridurre il rischio, inizia subito sottoponendoti a un penetration test che aiuterà la tua organizzazione a ottenere visibilità sull’efficacia dei suoi controlli di sicurezza o sulla necessità di migliorare il proprio livello di sicurezza.
Quindi, puoi fornire correzioni temporanee per queste vulnerabilità di sicurezza mentre lavori per aggiornare la tua proprietà più ampia.
