Gli esperti di Kaspersky Lab e Outpost24 hanno recentemente realizzato un audit sulla sicurezza su alcune organizzazioni europee, analizzando le vulnerabilità per cui non è prevista una patch per capire meglio il panorama della (in)sicurezza IT a livello globale
Il report dimostra che anche attacchi non particolarmente sofisticati contro le reti aziendali possono essere attuati senza l’impiego di costosi exploit zero-day. Nonostante il numero degli attacchi zero-day sia in aumento, i criminali informatici spesso utilizzano ancora vulnerabilità già note. Questo non sorprende, considerando che in un’azienda ci vogliono in media 60-70 giorni per correggere una vulnerabilità – il tempo sufficiente per i criminali di ottenere l’accesso ad una rete aziendale. L’audit ha anche rivelato che per i criminali informatici non è necessario hackerare un sistema aziendale, ma è sufficiente attaccare le persone che gestiscono il sistema.
Le vulnerabilità devono essere risolte entro tre mesi ma secondo il report, il 77% delle minacce che vanno oltre il termine dei tre mesi, un anno dopo essere state scoperte sono ancora presenti sulle macchine. Il team di ricerca composto da Kaspersky Lab e Outpost24 ha raccolto i dati relativi alle vulnerabilità a partire dal 2010, individuando i sistemi che sono stati vulnerabili negli ultimi tre anni. Tali vulnerabilità non sottoposte a patch sono considerate critiche a causa della facilità con cui possono essere utilizzate e l’impatto che possono avere. È interessante notare che in alcuni casi ci sono stati sistemi aziendali che sono rimasti senza patch per un decennio, nonostante le società pagassero un servizio specifico per monitorare la loro sicurezza.
Dopo aver raccolto i dati insieme ad Outpost24, David Jacoby, senior security researcher di Kaspersky Lab, ha deciso di condurre un esperimento di social engineering per dimostrare quanto fosse facile inserire un drive USB nel computer di un’istituzione governativa o di un’azienda privata. Vestito con un abito elegante, armato di una chiavetta USB contenente solo il PDF della sua biografia, David ha chiesto al personale della reception di 11 organizzazioni differenti se potevano aiutarlo a stampare un documento necessario per un appuntamento, che avrebbe avuto luogo in una sede diversa.
Il campione su cui è stato eseguito questo controllo di sicurezza comprendeva tre alberghi di diverse catene, sei organizzazioni governative e due grandi aziende private. I computer presenti nelle sedi degli enti governativi, in genere, memorizzano informazioni sensibili che riguardano i cittadini, mentre quelli presenti nelle grandi aziende private molto probabilmente contengono le connessioni di rete ad altre società e gli alberghi a cinque stelle sono i luoghi in cui soggiornano diplomatici, politici e dirigenti.
Solo un albergo ha permesso a David di connettere il proprio driver al computer, mentre gli altri due si sono rifiutati. Le aziende private non hanno invece potuto accettare la richiesta. Delle sei organizzazioni governative visitate, quattro hanno aiutato David, inserendo la chiavetta USB in un computer. In due casi la porta USB era disattivata e il personale ha chiesto di inviare il file tramite email.
“E’ sorprendente constatare che gli alberghi e le aziende private hanno una maggiore consapevolezza della sicurezza rispetto alle organizzazioni governative. L’esperimento che abbiamo svolto è importante per ogni paese, perché il divario tra il momento in cui viene rilevata una vulnerabilità e il momento in cui viene patchata esiste in ogni contesto. Il risultato del mio esperimento con il driver USB è anche un campanello d’allarme per chi sta cercando soluzioni di sicurezza su misura in grado di affrontare le ‘minacce di domani’, mentre dovrebbe per prima cosa formare adeguatamente il proprio staff”, ha dichiarato David Jacoby, Senior Security Researcher, Global Research & Analysis Team di Kaspersky Lab.
“Molte aziende utilizzano risorse preziose per combattere le potenziali minacce di domani, quando devono in realtà ancora risolvere le minacce di oggi e di ieri”, ha dichiarato Martin Jartelius, Chief Security Officer di Outpost24. “Le aziende che si trovano davanti a policy di sicurezza non adeguate, dispositivi di sicurezza mal configurati o personale non formato, devono capire che è possibile ottenere il controllo della maggior parte delle aree dell’organizzazione anche se non vengono utilizzati nuovi attacchi o metodi. E’ quindi essenziale cambiare l’approccio alla sicurezza, adottando soluzioni integrate come parte dei processi di business”.
