Studio Trend Micro: le vecchie vulnerabilità sono una grave minaccia. Circa un quarto degli exploit scambiati nel sottosuolo dei criminali informatici ha più di tre anni.
Trend Micro, uno dei principali fornitori mondiali di soluzioni di sicurezza informatica, pubblica un nuovo studio che esorta le aziende a concentrare i loro sforzi di patching sulle vulnerabilità che rappresentano il rischio maggiore per la loro organizzazione, anche se hanno diversi anni.
Gli exploit di 3 anni sono ancora popolari
Trend Micro Research ha rilevato che il 22% degli exploit scambiati su forum clandestini ha più di tre anni. Il rapporto evidenzia diversi rischi derivanti da exploit e vulnerabilità legacy, tra cui:
- L'exploit più antico venduto clandestinamente è stato per CVE-2012-0158, un cosiddetto Microsoft Remote Code Execution Exploit (RCE) del 2012.
- CVE-2016-5195, meglio noto come "Dirty Cow Exploit", rimane aggiornato cinque anni dopo.
- Nel 2020, WannaCry era ancora la famiglia di malware più segnalata in circolazione, con oltre 2021 dispositivi infetti in tutto il mondo a marzo 700.000. WannaCry si sta diffondendo dal 2017.
- Il 47% dei criminali informatici ha preso di mira i prodotti Microsoft negli ultimi due anni.
“I criminali informatici sanno che le aziende fanno fatica a patchare i propri sistemi il più rapidamente possibile e a dare priorità a questo processo. La nostra ricerca mostra che i ritardi delle patch sono un exploit comune", ha affermato Richard Werner, consulente aziendale di Trend Micro. “La durata di una vulnerabilità o di un exploit è indipendente da quando è disponibile una patch protettiva. Piuttosto, gli exploit più vecchi sono più economici e quindi possono essere più popolari tra gli aggressori che fanno acquisti nei forum clandestini. L'applicazione di patch virtuali è il modo migliore per mitigare i rischi di minacce note e sconosciute per le aziende".
Riduzione delle vulnerabilità zero-day e n-day
Prodotti interessati da exploit scambiati su forum criminali informatici sotterranei (Immagine: Trend Micro)
Lo studio mostra anche un calo del mercato delle vulnerabilità zero-day e n-day negli ultimi due anni. Questo sviluppo è dovuto in gran parte alla popolarità dei programmi di bug bounty come Zero Day Initiative di Trend Micro. Ciò è influenzato anche dall'ascesa di Access-as-a-Service, il nuovo driver nel mercato degli exploit. L'accesso come servizio si riferisce alla vendita di accesso illegale a reti o dispositivi (aziendali) precedentemente compromessi su mercati sotterranei virtuali. Questo "servizio" ha i vantaggi di un exploit, ma tutto il noioso lavoro per ottenere l'accesso ai sistemi è già stato svolto per l'acquirente. I prezzi nel sottosuolo partono già da meno di 1.000 euro.
50 nuove vulnerabilità al giorno
Questi sviluppi attuali comportano un rischio maggiore per le aziende. Con quasi 50 nuove vulnerabilità ed esposizioni comuni note (CVE) rilasciate ogni giorno nel 2020, la pressione sui team di sicurezza per stabilire le priorità e distribuire le patch in modo tempestivo non è mai stata così grande. Attualmente un'azienda media impiega quasi 51 giorni per correggere una nuova vulnerabilità. Un modo per colmare questa lacuna di sicurezza è l'applicazione di patch virtuali. Utilizzando questa tecnologia nei sistemi di prevenzione delle intrusioni (IPS), le aziende possono proteggere i propri sistemi da minacce note e precedentemente sconosciute.
Il rapporto completo, The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground, è disponibile online in inglese.
Altro su TrendMicro.com
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.