Gli esperti di Kaspersky Lab e Outpost24 hanno recentemente realizzato un audit sulla sicurezza riguardante alcune organizzazioni europee, analizzando le vulnerabilità per cui non è prevista una patch per capire meglio il panorama della (in)sicurezza It a livello globale.
Il report dimostra che anche attacchi non particolarmente sofisticati contro le reti aziendali possono essere attuati senza l’impiego di costosi exploit zero-day. Nonostante il numero degli attacchi zero-day sia in aumento, i criminali informatici spesso utilizzano ancora vulnerabilità già note. Questo non sorprende, considerando che in un’azienda ci vogliono in media 60-70 giorni per correggerle: il tempo sufficiente per i criminali di ottenere l’accesso ad una rete aziendale. L’audit ha anche rivelato che per i criminali informatici non è necessario hackerare un sistema aziendale, ma è sufficiente attaccare le persone che gestisconoil sistema.
Il team di ricerca composto da Kaspersky Lab e Outpost24 ha raccolto i dati relativi alle vulnerabilità a partire dal 2010. Tali vulnerabilità non sottoposte a patch sono considerate critiche a causa della facilità con cui possono essere utilizzate e l’impatto che possono avere. È interessante notare che in alcuni casi ci sono stati sistemi aziendali che sono rimasti senza patch per un decennio, nonostante le società pagassero un servizio specifico per monitorare la loro sicurezza.
“Molte aziende utilizzano risorse preziose per combattere le potenziali minacce di domani, quando devono in realtà ancora risolvere le minacce di oggi e di ieri – ha dichiarato Martin Jartelius, Chief Security Officer di Outpost24 – Le aziende che si trovano davanti a policy di sicurezza non adeguate, dispositivi di sicurezza mal configurati o personale non formato, devono capire che è possibile ottenere il controllo della maggior parte delle aree dell’organizzazione anche se non vengono utilizzati nuovi attacchi o metodi. E’ quindi essenziale cambiare l’approccio alla sicurezza, adottando soluzioni integrate come parte dei processi di business”.
