Consigli sulla gestione della superficie d’attacco
All’emergere di una nuova vulnerabilità, gli attaccanti scansionano con frenesia Internet per identificare i sistemi indifesi, mentre chi li deve proteggere si affretta a implementare patch e altri metodi di mitigazione. L’informatica è diventata così poco costosa che a un aspirante cyber criminale è sufficiente investire solo circa 10 dollari per affittare potenza di elaborazione nel cloud ed effettuare una scansione del web alla ricerca di sistemi vulnerabili.
L’impennata degli attacchi andati a buon fine conferma le vittorie dei malintenzionati e non si possono ignorare né l’impatto sempre più frequente di queste violazioni sulle vite digitali di tutti, né il flusso continuo di notizie relative all’aumento di estorsioni informatiche.
Per aiutare le aziende ad affrontare questa situazione, il team di ricerca Cortex Xpanse di Palo Alto Networks ha studiato la superficie di attacco Internet pubblica di alcune delle principali aziende del mondo. Tra gennaio e marzo ha scansionato oltre 50 milioni di indirizzi IP associati a 50 organizzazioni globali per comprendere quanto velocemente gli attaccanti siano in grado di identificare sistemi vulnerabili per sfruttarli in tempo quasi reale.
Dalle ricerche è emerso che circa una vulnerabilità su tre era dovuta a problemi con il Remote Desktop Protocol (RDP), il cui utilizzo è aumentato dall’inizio del 2020 per supportare il lavoro da remoto durante la pandemia. Si tratta di un dato preoccupante in quanto il RDP può fornire un accesso admin diretto ai server, rendendolo uno dei gateway più comuni per gli attacchi ransomware. Sono a portata di mano, ma si può essere ottimisti: la maggior parte delle vulnerabilità può essere facilmente risolta. Alcuni dei risultati principali del report evidenziano inoltre che:
- Gli attaccanti sono al lavoro 24/7. Gli avversari lavorano tutto il giorno per trovare sistemi vulnerabili nelle reti aziendali, l’esposizione delle quali è aumentata significativamente nell’ultimo anno per supportare lo smart working. In una giornata tipica, gli attaccanti hanno condotto una nuova scansione ogni ora, quando alle aziende possono servire settimane.
- Gli attaccanti si affrettano a sfruttare nuove vulnerabilità. Non appena venivano comunicate nuove vulnerabilità, nel periodo tra gennaio e marzo gli attaccanti si sono attivati immediatamente per approfittarne, con scansioni avviate entro 15 minuti dagli annunci Common Vulnerabilities and Exposures (CVE). Gli attaccanti hanno lavorato più velocemente per gli zero-day di Microsoft Exchange Server, lanciando scansioni entro cinque minuti dall’annuncio di Microsoft del 2 marzo.
- RDP rappresentava un terzo di tutti i problemi di sicurezza. Il Remote Desktop Protocol ha rappresentato circa un terzo dei problemi di sicurezza totali (32%). Altre vulnerabilità comunemente esposte includevano server database configurati in modo non corretto, esposizione a vulnerabilità zero-day di alto profilo provenienti da vendor, insieme all’accesso remoto non protetto attraverso Telnet, Simple Network Management Protocol (SNMP), Virtual Network Computing (VNC) e altri protocolli. Molte di queste esposizioni ad alto rischio, se sfruttate, possono fornire accesso admin diretto. Nella maggior parte dei casi, queste vulnerabilità possono essere risolte facilmente, ma sono facilmente sfruttabili dagli attaccanti.
- Il cloud protagonista dei problemi di sicurezza più critici. I footprint cloud sono stati responsabili del 79% dei problemi di sicurezza più critici rilevati nelle aziende globali. Questo sottolinea come la velocità e la natura del cloud computing guidino il rischio nelle infrastrutture moderne, soprattutto se si considera la rapida crescita di questi ambienti nell’ultimo anno trainata dal lavoro da remoto durante la pandemia.