Barracuda full logo

Mese della sensibilizzazione sulla sicurezza informatica: È ora di ricordare l'arretrato delle tue vulnerabilità

Argomenti:
30 set 2025
|
Andrew Sanders

È di nuovo quel periodo dell'anno! Mentre stai ultimando il PSA dello scorso anno sul Mese della sensibilizzazione sulla sicurezza informatica riguardo alla robustezza delle password, potrebbe essere anche il momento di dare un'occhiata alle tue best practice. Anche se sappiamo che ogni Patch Tuesday può portare nuove complicazioni per la tua organizzazione, è comunque importante comprendere la tua posizione in termini di gestione delle vulnerabilità.

Perché l'elenco delle tue vulnerabilità continua a crescere?

Ogni applicazione ha varie dipendenze — ad esempio, i driver nella tua scheda video potrebbero dipendere da elementi del sistema operativo Windows per visualizzare le immagini. Se un aggiornamento di sicurezza al sistema operativo interrompe queste dipendenze, i tuoi utenti si ritroveranno con hardware malfunzionante.

Puoi ripristinare i tuoi driver o la versione del sistema operativo per risolvere il problema iniziale, ma poi devi aspettare che qualcuno rilasci una patch aggiornata che supporti il tuo hardware. Se la tua organizzazione è una scuola o una piccola impresa che utilizza hardware ormai obsoleto, potresti non avere fortuna. Anche le grandi imprese potrebbero trovare i loro programmi di gestione delle patch ritardati indefinitamente a causa di preoccupazioni apparentemente più importanti.

Nel frattempo, le tue vulnerabilità sono ancora sfruttabili.

Le vulnerabilità stanno diventando più vulnerabili

Gli attori malintenzionati stanno notando il tempo che le organizzazioni impiegano per applicare efficacemente patch alla loro infrastruttura. In passato gli hacker impiegavano circa 63 giorni dal momento della scoperta per iniziare a sfruttare una vulnerabilità zero-day. Quel lasso di tempo è diminuito a una media di 32 giorni. Nel frattempo, le vulnerabilità non patchate sono la causa di oltre il 60% delle violazioni dei dati.

Aggiungendo alle preoccupazioni degli amministratori della sicurezza, le vulnerabilità vengono scoperte a un tasso crescente. Nel 2024, i ricercatori hanno scoperto 61% in più di vulnerabilità rispetto agli anni precedenti, e il numero di vulnerabilità sfruttate è aumentato del 96%. Questo potrebbe avere a che fare con l'ascesa del "software codificato in base al vibe", che è parzialmente o totalmente generato da IA.

Sebbene il codice scritto da IA contenga errori a circa la stessa frequenza del codice scritto da umani, l'IA rende facile scrivere più codice più velocemente — e più codice significa più vulnerabilità in totale. Inoltre, gli sviluppatori possono avere una fiducia irrealistica nella capacità dell'IA di scrivere codice sicuro. Ciò significa che possono dimenticare di controllare la presenza di vulnerabilità, che poi finiscono nel software di produzione.

Come trovi le vulnerabilità e esposizioni comuni (CVE) non patchate?

Ora che sei consapevole del fatto che le vulnerabilità non risolte possono affliggere anche le organizzazioni più mature con le applicazioni più recenti, come agisci diversamente?

Iniziamo col dire che è del tutto possibile che un'organizzazione dimentichi di avere un'applicazione non aggiornata. Se stai ancora utilizzando fogli di calcolo per tenere traccia delle patch e qualcuno non aggiorna una riga, quell'informazione potrebbe andare persa.

Per questo motivo, iniziare o rinnovare la tua strategia di gestione delle patch di solito inizierà con gestione degli asset. Avrai bisogno di un elenco di tutto il software attualmente in esecuzione, e poi dovrai confrontare i numeri di versione tra ciò che è in esecuzione sulla tua infrastruttura e la versione più aggiornata del produttore.

Infine, non tutte le applicazioni non aggiornate contengono una vulnerabilità critica. Per questo motivo, è utile incrociare i riferimenti del proprio software obsoleto con il database CVE, un archivio supportato dalla comunità delle vulnerabilità conosciute.

Cosa succede dopo aver identificato le applicazioni non aggiornate?

Potrebbe essere che tu abbia dozzine di applicazioni non aggiornate. Per alcune di esse, la soluzione potrebbe essere semplice come scaricare e installare la patch — ma anche se fosse così chiaro, potresti comunque dover testare la patch prima di distribuirla in produzione. Questo richiede tempo prezioso.

Altre applicazioni non patchate potrebbero rimanere non patchate, sia perché il produttore non ha mai rilasciato una patch, sia perché la versione più aggiornata è ancora incompatibile con il tuo hardware. In questo caso, dovrai improvvisare delle protezioni, come posizionare l'applicazione in una subnet sicura.

Sarà molto importante per te dare priorità ai tuoi sforzi — perché quasi sicuramente non avrai abbastanza tempo per correggere ogni applicazione.

Dare priorità alle tue vulnerabilità non patchate

I ricercatori di sicurezza spesso combinano due rubriche per aiutare a dare priorità alla gestione delle patch. Il Common Vulnerability Scoring System (CVSS) è sviluppato dal National Infrastructure Advisory Council con l'obiettivo di caratterizzare la gravità delle vulnerabilità del software su una scala da zero a dieci. Tuttavia, il CVSS non è progettato per costituire l'unica base per dare priorità alla gestione delle vulnerabilità.

Il Exploit Prediction Scoring System (EPSS) classifica i CVE in base alla probabilità che vengano sfruttati. EPSS utilizza un modello matematico che calcola la relazione tra l'attività di sfruttamento e la gravità di un exploit. Con queste informazioni, può prevedere se un gran numero di attori malevoli tenterà di sfruttare una vulnerabilità nei prossimi 30 giorni.

Sorprendentemente, non c'è una grande sovrapposizione tra i punteggi EPSS e CVSS. La ricerca mostra che gli hacker spesso non danno priorità alle vulnerabilità più gravi o anche a quelle più facili da sfruttare.

Detto ciò, i responsabili della sicurezza dovrebbero estendere la ricerca sull'intelligence di sicurezza e usare il proprio giudizio quando danno priorità alla gestione delle vulnerabilità. Se una vulnerabilità ottiene un punteggio elevato sia su EPSS che su CVSS, allora dovrebbe essere gestita per prima. Ma a volte si può scoprire che una vulnerabilità con punteggio alto interessa un'applicazione relativamente banale, o una che è già situata su una subnet schermata e monitorata. In tal caso, potrebbe essere opportuno affrontare prima altre debolezze.

Tenere il passo con la gestione delle vulnerabilità: cosa ci aspetta?

La gestione delle vulnerabilità non è un progetto che si esaurisce una volta per tutte. Idealmente, dovrebbe essere eseguita su base continua — e probabilmente dovresti utilizzare qualcosa di più avanzato di un foglio di calcolo.

In un mondo ideale, utilizzerai una soluzione che esegue una scansione proattiva delle vulnerabilità. Le soluzioni di sicurezza in questa categoria eseguono regolarmente la scansione della tua rete e controllano le tue applicazioni attive, riducendo i giorni di lavoro necessari per eseguire un controllo manuale del software. Inoltre, le nuove vulnerabilità verranno automaticamente contrassegnate e classificate per gravità, eliminando gran parte delle congetture nella definizione delle priorità.

I sistemi di prevenzione delle intrusioni euristici — noti anche come basati sul comportamento — sono un utile complemento alla gestione delle vulnerabilità. Questi strumenti riconoscono i sintomi di un attacco informatico, come la creazione, crittografia o eliminazione di un gran numero di file. Successivamente, intervengono per bloccare le attività sospette. Nel caso in cui non abbiate ancora risolto una vulnerabilità (o se non sapete che esiste, come in una minaccia zero-day), questi strumenti forniranno una seconda linea di difesa.

Supera l'affaticamento da patch con Barracuda

Managed Vulnerability Security è una nuova offerta di Barracuda che solleva dal peso di difendersi da gravi exploit. Questo servizio combina scansioni regolari delle vulnerabilità con l'intervento tempestivo del nostro esperto Security Operations Center (SOC). Il nostro servizio completamente gestito consente di beneficiare della supervisione di esperti senza aggiungere carico di lavoro esistente, eliminando al contempo il tuo arretrato di vulnerabilità. Programma una conversazione e scopri come Barracuda può aiutarti a sbloccare la tua resilienza informatica.

Blocca le minacce con la sicurezza informatica gestita 24 ore su 24, 7 giorni su 7.
Andrew Sanders

Andrew Sanders è un esperto copywriter su argomenti di tecnologia e sicurezza delle informazioni. Ha lavorato in precedenza con Gradient Cyber, Privitar (ora Informatica) e SentinelOne.

Post correlati:
Your guide to new Barracuda features and capabilities
Your guide to new Barracuda features and capabilities
 IA e automazione nella sicurezza informatica: esperti di Databricks e Barracuda condividono cosa c'è in serbo
IA e automazione nella sicurezza informatica: esperti di Databricks e Barracuda condividono cosa c'è in serbo
 Prossimamente: La tua occasione per assumere il ruolo dell'hacker
Prossimamente: La tua occasione per assumere il ruolo dell'hacker
 Mese della sensibilizzazione sulla sicurezza informatica: Rimanere un passo avanti rispetto alle minacce di phishing in evoluzione
Mese della sensibilizzazione sulla sicurezza informatica: Rimanere un passo avanti rispetto alle minacce di phishing in evoluzione
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.