Vulnerabilità

Le vulnerabilità sono uno degli elementi cardine negli incidenti di sicurezza e, insieme ad altre minacce come exploit e malware, costituiscono un rischio continuo. Nel 2017 il numero di vulnerabilità segnalate ha raggiunto il suo picco storico, spazzando via i record registrati negli anni precedenti: ne sono infatti state registrate 14.600, rispetto alle 6.447 del 2016. In più anche il numero di vulnerabilità identificate come critiche è cresciuto in maniera esponenziale nell’anno appena concluso.

Secondo Luca Sambucci, Operations Manager di ESET Italia, è del tutto naturale che questo tipo di minaccia aumenti, dato il trend che vede i software sempre più numerosi e pervasivi. Basta pensare al numero di app che un utente medio aveva sullo smartphone nel 2016, a quelle che ha aggiunto nel 2017 e a quelle che ha oggi. Il software aumenta, si diffonde e viene utilizzato per fare sempre più cose, mentre i siti web dipendono sempre più da script e da plug-in di terze parti. Ogni singolo programma o app può essere vulnerabile e ogni singolo aggiornamento può portare nuove vulnerabilità. 

Secondo CVE Details nel 2017 il totale di queste falle nella sicurezza è più che raddoppiato, con un aumento del 120% da un anno all’altro. È importante sottolineare che l’aumento potrebbe essere addirittura superiore, in quanto questi dati non includono le vulnerabilità zero-day, utilizzate “in-the-wild”, quindi senza che produttori o utenti ne siano a conoscenza. Guardando i risultati di questi record, è anche importante sottolineare che nel 2017 sono state segnalate una media di 40 vulnerabilità al giorno, rispetto alle “sole” 17 registrate durante il 2016.

vulnerabilità

La gravità delle vulnerabilità è determinata sulla base di vari fattori, come il loro impatto sulla riservatezza, integrità o disponibilità dei dati, nonché sul tipo di vettore di attacco sfruttato, la complessità dell’attacco, i privilegi richiesti o qualsiasi interazione con l’utente. Sulla base delle classificazioni di gravità del sistema di punteggio della vulnerabilità comune (CVSS), secondo il National Vulnerability Database (NVD) nel 2017 il numero delle vulnerabilità considerate elevate e critiche è aumentato considerevolmente.

Le vulnerabilità considerate critiche sono cresciute significativamente negli ultimi 5 anni, passando dallo 0 (zero) registrato nel 2013 a 2.070 alla fine dell’anno scorso e raddoppiando di numero rispetto al 2016. Per quanto riguarda le vulnerabilità considerate elevate, anche in questo caso il livello di crescita è stato considerevole, passando da 2.470 nel 2016 a oltre 4.100 alla fine del 2017, con un aumento di oltre il 60%.

Si nota dunque un significativo aumento del numero di vulnerabilità segnalate negli ultimi mesi, insieme a un ulteriore aumento di quelle considerate alte e critiche. Di fronte a un tale scenario ESET Italia raccomanda sia l’aggiornamento costante dei sistemi operativi e dei software installati così da poter arginare qualsiasi tentativo di sfruttarne le falle, sia l’utilizzo di strumenti di sicurezza efficaci che comprendano un controllo dei protocolli di comunicazione.

WHITEPAPER GRATUITI
  • Computerworld Speciale Industria 4.0
    white paper
    Computerworld Italia – Speciale Industria 4.0
    Un PDF da scaricare per leggerlo comodamente su pc o tablet e avere sotto mano e in un unica soluzione le notizie, le analisi e gli approfondimenti sulla trasformazione in atto nel settore manifatturiero, da più parti definita "quarta rivoluzione industriale".
  • white paper
    Computerworld Italia – Speciale GDPR
    Un PDF da sfogliare online o scaricare per leggerlo comodamente su pc o tablet, per avere sotto mano e in un unica soluzione le notizie, le analisi e gli approfondimenti su come le aziende devono affrontare l'arrivo del GDPR.
  • white paper
    Computerworld Italia – Speciale Data Center
    Un PDF da sfogliare o scaricare su pc o tablet per avere sotto mano le notizie, le analisi e gli approfondimenti sulle principali tendenze dei Data Center: integrazione con il Cloud, approccio software-defined, ottimizzazione delle prestazioni energetiche e molto altro