ll 22% degli exploit venduti nei forum underground ha più di tre anni. Questo il dato che emerge da “The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground”, l’ultima ricerca Trend Micro, specialista globale di cybersecurity. È quindi assolutamente prioritario, per le aziende, focalizzare la propria attenzione e gli sforzi relativi al patching su quelle vulnerabilità che mettono più a rischio l’organizzazione, anche se “vecchie” di diversi anni.
“I criminali sono al corrente che le aziende lottano per stabilire le priorità e applicare tempestivamente le patch. La nostra ricerca mostra che i ritardi vengono spesso sfruttati”. Ha affermato Lisa Dolcini, Head of Marketing di Trend Micro Italia. “La validità di una vulnerabilità o di un exploit non è correlata alla disponibilità di una patch, gli exploit più vecchi sono più economici e quindi potrebbero essere più popolari tra i criminali che fanno acquisti nei forum underground. L’applicazione di patch virtuali rimane il modo migliore per mitigare i rischi di minacce note e sconosciute”.
Il report di Trend Micro rivela diverse curiosità legate alle vulnerabilità e agli exploit legacy, ad esempio:
- L’exploit più vecchio venduto nell’underground era relativo alla vulnerabilità CVE-2012-0158, un RCE Microsoft
- La vulnerabilità CVE-2016-5195, nota come exploit della “mucca sporca – dirty cow”, è ancora in corso dopo cinque anni
- Nel 2020 WannaCry era ancora la famiglia di malware più rilevata e a marzo 2021 erano presenti oltre 700.000 dispositivi vulnerabili in tutto il mondo
- Il 47% dei criminali informatici ha cercato di prendere di mira i prodotti Microsoft negli ultimi due anni
Il rapporto di Trend Micro rivela anche un calo del mercato delle vulnerabilità zero-day e N-day negli ultimi due anni. Questo è dovuto in parte alla popolarità dei programmi di bug bounty, come la Zero Day Initiative di Trend Micro, ma anche all’incremento della modalità Access-as-a-Service come nuova forza nel mercato degli exploit. Un pacchetto Access-as-a-Service ha i vantaggi di un exploit e la maggior parte del lavoro è già stato fatto. I prezzi nell’underground partono da 1.000 USD.
Le diverse tendenze cybercriminali si stanno combinando e questo crea un rischio maggiore per le organizzazioni. Con quasi 50 nuove vulnerabilità scoperte al giorno, la pressione sui team di sicurezza, che si ingegnano per stabilire le priorità e distribuire patch tempestive, non è mai stata così grande. Oggi il tempo medio per avere una patch relativa a una nuova vulnerabilità è di circa 51 giorni. Per colmare questa lacuna nella sicurezza, è fondamentale il virtual patching, basato sulla tecnologia di prevenzione delle intrusioni, che offre un modo semplice per proteggere i sistemi vulnerabili, o a fine ciclo, da minacce note e sconosciute.