Anonymous Hacker by Brian Klug, Creative Commons License, Flickr
In tutto ciò, mentre pianificate la burocrazia e stendete un piano, rimanete comunque tranquilli perché pensate che, in fondo, le probabilità che questa nuova vulnerabilità venga usata proprio oggi e contro di voi sono minime.
Ebbene, questa falsa percezione è stata formalmente smentita ancora una volta dall’ultimo report della Unit 42 di Palo Alto Networks, nota azienda di ricerca in tema cybersecurity. Anche quest’anno abbiamo dei dati interessanti, tra cui appunto il tempo medio che intercorre tra l’annuncio di una nuova CVE e la rilevazione dei primi attacchi automatizzati: meno di 15 minuti.
L’evoluzione dell’informatica, che molti di noi hanno vissuto in prima persona, è stata tale per cui ciò che un tempo richiedeva conoscenze specialistiche è ora alla portata quasi di chiunque e il cybercrimine non fa eccezione: siamo da ormai alcuni anni nell’era in cui la barriera d’ingresso è talmente bassa e la competenza tecnica necessaria per lanciare attacchi così bassa che si parla persino di Ransomware as a Service.
A rendere più agevoli le scansioni e gli attacchi automatizzati su vastissima scala vi è anche il fatto di avere a disposizione hardware enormemente più potente a ciò che avevamo 10-15 anni fa e delle connessioni molto più veloci con fibra ovunque. Insomma, la speranza di poterci nascondere “nel mucchio” e di non essere notati nella vastità che oggi è Internet si rivela sempre più vana, anche perchè il numero di utenti connessi negli ultimi 10 anni è praticamente raddoppiato.
Che dire, poi, di tutti quegli host esposti a Internet che hanno servizi o sistemi operativi che hanno raggiunto la loro end of life e che, quindi, non sono patchabili se non dopo averli aggiornati a versioni più recenti? Un allarmante 32% delle organizzazioni studiate sembra avere esattamente questo problema e, se patchare e riavviare dei servizi su larga scala può già essere un operazione non banale, mettere in atto delle vere e proprie migrazioni può rivelarsi ancora più proibitivo.
Il secondo dato notevole è che, come abbiamo già evidenziato in articoli passato, anche quest’anno la stragrande maggioranza degli attacchi provengono da phishing e, appunto, vulnerabilità, e solo il 9% da brute-forcing o credential stuffing. Lungi da noi affermare che il 9% sia poco o da sottovalutare ma ciò rende evidente che, nella maggior parte dei casi, la lunghezza delle password non sembra il fattore determinante (a patto di non scendere sotto i normali standard di decenza) e che l’aspetto umano (per il phishing, per l’appunto) e la perenne imperfezione del software che usiamo ogni giorno, fanno sicuramente la parte del leone.
Come fare, allora? In un mondo in cui ogni azienda è diversa nella sua infrastruttura e nelle sue esigenze burocratiche e di uptime è impossibile fare generalizzazioni, tuttavia è saggio tenere bene a mente la tipica raccomandazione di esporre su Internet solo ciò che realmente lo necessita, di considerare la possibilità di rendere disponibili altri servizi non aperti al pubblico solo sotto VPN e che, se è stata appena annunciata una CVE che riguarda uno dei nostri servizi esposti, non ci si può pensare domani e che i primi tentativi di attacco potrebbero già arrivare… Prima che finiate il vostro caffè!
2 risposte
[…] E’ una sentenza che, ognuno di voi, darà in modo diverso, ma il dato di fatto è che il numero di aziende che investe in bounty programs negli ultimi 10 anni è aumentato, così come la loro sicurezza, in una situazione cyber che, come annunciavamo qualche settimana addietro, in questo periodo storico è ben poco rosea. […]
[…] Sicurezza: seguendo molto da vicino l’ultima versione dei software, saremo tra i primi a ricevere le security fix, che dovranno invece venire riadattate e riviste anche dalle distro più conservative, per essere incluse anche nelle versioni antecedenti del software (processo che può richiedere da alcune ore ad alcuni giorni). Secondo alcune fonti, però, sorge il sospetto che non tutte le falle di sicurezza ricevano una CVE e che, quindi, alcune patch non arrivino a essere integrate nelle distro stabili poichè passano ‘sotto il radar’, seppur fixate da nuove minor version. Resta anche da tener presente che, anche nel migliore dei casi, v’è comunque un necessario intervallo di tempo (da alcune ore ad alcuni giorni) da attendere affinchè i team di sicurezza integrino le patch nella propria distribuzione e, abbiamo già visto, nella cybersecurity il tempo può essere un fattore strategico. […]