Qual è il livello di Cyber Security in Italia? Scopri i risultati delle nostre analisi cliccando sulla regione italiana che più t’interessa.
Non abbiamo ancora verificato tutte le regioni d’Italia, ma non ti preoccupare: a breve pubblicheremo tutti i risultati! Nel frattempo.. ecco l’elenco delle regioni (e del relativo periodo) analizzate
Analizzata a Luglio 2023
Analizzata a Settembre 2023
Analizzata a Novembre 2023
Analizzata a Gennaio 2024
Analizzata a Gennaio 2024
Prima di proseguire con l’analisi dei dati, tuttavia, è necessario ricordare come funziona il mondo delle vulnerabilità informatiche. Quando viene scoperta una vulnerabilità in un servizio particolarmente utilizzato, questa viene comunicata non solo dal ricercatore all’azienda/ente produttrice/manutentrice del servizio o applicativo ma anche ad una delle Autorità dell’ambito (le cosiddette CNA ovverosia le CVE Numbering Authorities come, ad esempio, la MITRE Corporation). Quest’ultima assegna alla vulnerabilità un codice identificativo (il cosiddetto CVE o, per meglio dire, il CVE-ID) e la inserisce all’interno di un database pubblicamente disponibile, con indicate tutte le informazioni tecniche di riferimento.
Questa pratica è fondamentale per salvaguardare la sicurezza di tutte le società che utilizzano quel servizio. Quando viene usato un vulnerability scanner, infatti, viene verificato all’interno del database quali siano le vulnerabilità che afferiscono alla particolare rete aziendale consentendo così di risolvere velocemente la problematica.
Tuttavia è bene ricordare – dato che siamo in tema – che uno scanner non è una panacea a tutti i mali: riesce ad identificare le vulnerabilità principali, non può sostituire uno sguardo professionale esperto o analizzare applicativi e soluzioni non diffuse a livello globale. Per tale motivo, vi è una distinzione tra Vulnerability Scan e Vulnerability Assessment: il primo identifica le vulnerabilità esclusivamente facendo riferimento ai dati pubblici e senza contestualizzare le rilevazioni all’interno del network specifico, il secondo deve analizzare anche gli applicativi/servizi minori e contestualizzare il tutto nelle specifiche del network analizzato.
Fatta questa doverosa premessa, torniamo ad analizzare i dati emersi da quest’analisi sulle aziende venete.
Perché abbiamo rinvenuto queste problematiche? In alcuni casi il problema può essere derivante dall’impossibilità di aggiornare i sistemi per incompatibilità degli applicativi, in altri possono essere problematiche di fondi e/o sovvenzioni mancanti al budget di sicurezza o, in altri ancora, banale dimenticanza dell’esistenza di un servizio. Quest’ultima capita più spesso di quel che si creda. Si pensi ad una struttura complessa con molti utenti e, magari, più società nel gruppo: quant’è facile, nel mentre dell’evoluzione costante di un’azienda, dimenticarsi di aver cambiato un applicativo e aver lasciato – inizialmente per consentire il passaggio agevole agli utenti – il vecchio applicativo esposto?
Ciò che è certo è che non è possibile identificare un’unica motivazione per la quale abbiamo potuto rinvenire questi dati, così come non è detto che una versione di un servizio/applicativo sia immediatamente applicabile al suo dispiegamento. Tuttavia, il quadro che ne emerge è quanto meno preoccupante e denota una postura di sicurezza piuttosto precaria per molte aziende del nostro territorio.
Come abbiamo ottenuto questi dati? Non abbiamo effettuato analisi attive sulle aziende. Abbiamo interrogato vari servizi di terza parte (alcuni gratuiti, altri che richiedono una sottoscrizione a pagamento) che indicizzano ogni indirizzo IP/servizio esposto alla rete internet alla ricerca di eventuali problematiche di sicurezza e verificato con i database ufficiali delle autorità.
Ecco alcuni suggerimenti per non vedere le proprie vulnerabilità indicizzate dai motori di ricerca specializzati:
- Rimuovere gli headers dai server
- Utilizzare dei reverse proxy (tenendoli aggiornati)
- Effettuare verifiche periodiche relative agli aggiornamenti disponibili