Palo Alto Networks e il suo ultimo report: primi attacchi entro 15 minuti dall’annuncio di nuove vulnerabilità

Anonymous Hacker by Brian Klug, Creative Commons License, Flickr

State leggendo di una nuova vulnerabilità e, come di consueto, state pensando a un piano di patching. Sapete bene che, nel frattempo, l’infrastruttura aziendale sarà a rischio ma anche che la fretta è cattiva consigliera quando si deve mettere mano sui terminali e che, in alcuni casi, non potete riavviare host e servizi a vostra discrezione in quanto, se non ridondati o bilanciati, potreste creare disservizio.

In tutto ciò, mentre pianificate la burocrazia e stendete un piano, rimanete comunque tranquilli perché pensate che, in fondo, le probabilità che questa nuova vulnerabilità venga usata proprio oggi e contro di voi sono minime.

Ebbene, questa falsa percezione è stata formalmente smentita ancora una volta dall’ultimo report della Unit 42 di Palo Alto Networks, nota azienda di ricerca in tema cybersecurity. Anche quest’anno abbiamo dei dati interessanti, tra cui appunto il tempo medio che intercorre tra l’annuncio di una nuova CVE e la rilevazione dei primi attacchi automatizzati: meno di 15 minuti.

L’evoluzione dell’informatica, che molti di noi hanno vissuto in prima persona, è stata tale per cui ciò che un tempo richiedeva conoscenze specialistiche è ora alla portata quasi di chiunque e il cybercrimine non fa eccezione: siamo da ormai alcuni anni nell’era in cui la barriera d’ingresso è talmente bassa e la competenza tecnica necessaria per lanciare attacchi così bassa che si parla persino di Ransomware as a Service.

A rendere più agevoli le scansioni e gli attacchi automatizzati su vastissima scala vi è anche il fatto di avere a disposizione hardware enormemente più potente a ciò che avevamo 10-15 anni fa e delle connessioni molto più veloci con fibra ovunque. Insomma, la speranza di poterci nascondere “nel mucchio” e di non essere notati nella vastità che oggi è Internet si rivela sempre più vana, anche perchè il numero di utenti connessi negli ultimi 10 anni è praticamente raddoppiato.

Che dire, poi, di tutti quegli host esposti a Internet che hanno servizi o sistemi operativi che hanno raggiunto la loro end of life e che, quindi, non sono patchabili se non dopo averli aggiornati a versioni più recenti? Un allarmante 32% delle organizzazioni studiate sembra avere esattamente questo problema e, se patchare e riavviare dei servizi su larga scala può già essere un operazione non banale, mettere in atto delle vere e proprie migrazioni può rivelarsi ancora più proibitivo.

Il secondo dato notevole è che, come abbiamo già evidenziato in articoli passato, anche quest’anno la stragrande maggioranza degli attacchi provengono da phishing e, appunto, vulnerabilità, e solo il 9% da brute-forcing o credential stuffing. Lungi da noi affermare che il 9% sia poco o da sottovalutare ma ciò rende evidente che, nella maggior parte dei casi, la lunghezza delle password non sembra il fattore determinante (a patto di non scendere sotto i normali standard di decenza) e che l’aspetto umano (per il phishing, per l’appunto) e la perenne imperfezione del software che usiamo ogni giorno, fanno sicuramente la parte del leone.

Come fare, allora? In un mondo in cui ogni azienda è diversa nella sua infrastruttura e nelle sue esigenze burocratiche e di uptime è impossibile fare generalizzazioni, tuttavia è saggio tenere bene a mente la tipica raccomandazione di esporre su Internet solo ciò che realmente lo necessita, di considerare la possibilità di rendere disponibili altri servizi non aperti al pubblico solo sotto VPN e che, se è stata appena annunciata una CVE che riguarda uno dei nostri servizi esposti, non ci si può pensare domani e che i primi tentativi di attacco potrebbero già arrivare… Prima che finiate il vostro caffè!

Tags: , ,