I dati del Cyber Index PMI 2023 parlano chiaro: sebbene 51 imprese su 100 abbiano dimostrato di avere un buon livello di consapevolezza in materia di sicurezza informatica, solo una piccolissima parte (14 PMI su 100) è in grado di valutare il proprio livello di sicurezza e implementare soluzioni adeguate ad aumentarlo o mantenerlo nel tempo. Eppure, le PMI sono sempre più non solo la spina dorsale dell’infrastruttura produttiva nostrana ma anche il bersaglio privilegiato dei criminali informatici.
Implementare misure di sicurezza è imperativo per le micro, piccole e medie imprese, ma la sempre più significativa mole di prodotti in uso, ognuno dotato di documentazioni diverse che ne descrivono le configurazioni di sicurezza da applicare, non rende queste operazioni di semplice applicazione. Ecco perché c’è bisogno di una centralizzazione delle azioni da compiere per garantire una copertura sufficiente. D’altronde, all’aumentare del numero di sistemi da gestire aumenta anche la complessità dell’intero processo e diventa fondamentale poter fare affidamento su uno strumento semplice per la rilevazione delle problematiche.
Ma quali sono le problematiche più comuni nelle configurazioni di sicurezza degli host? L’abbiamo scoperto osservando i dati raccolti con la piattaforma Intrusa su un campione delle di PMI italiane.
Configurazioni di sicurezza degli host: la ricerca
Per riuscire ad individuare le problematiche più comuni nelle micro, piccole e medie imprese, la ricerca si è basata su un campione di dati ottenuto da più di 100 PMI italiane con una dimensione compresa tra le 5 e le 150 postazioni. La raccolta e analisi dei dati ha avuto inizio in concomitanza con il primo aggancio di una macchina alla piattaforma Intrusa, proseguendo poi con il naturale utilizzo degli strumenti messi a disposizione da Intrusa alla PMI.
Il contesto di partenza di questa ricerca ha immediatamente messo in luce una prevalenza di postazioni Windows, in effetti più frequenti tra le PMI italiane, in proporzione di 1 a 10 rispetto alle macchine GNU/Linux (1 macchina Linux – server – ogni 10 macchine Windows – server o workstation).
Per analizzare la diffusione, è stato utilizzato un campione di macchine con le seguenti caratteristiche:
- 2000 host
- 1000 workstation
- 1000 server (di cui 160 Domain Controllers)
- 200 host linux – solo server.
I 5 problemi principali
Stabilito il contesto, non resta che anticipare il fulcro della ricerca.
L’analisi si è concentrata sulla “security posture” media delle PMI italiane, con l’obiettivo di fornire una panoramica relativa alla sicurezza informatica nelle micro, piccole e medie imprese.
Il risultato è stata la scoperta di 5 problematiche ricorrenti che riproporremo di seguito in ordine di gravità presentando, per ognuna, una spiegazione sommaria e alcune indicazioni relative alla sua diffusione all’interno del campione selezionato.
1. Macchine con sistemi operativi fuori supporto
I sistemi operativi per i quali è terminato il supporto non ricevono aggiornamenti di sicurezza e rendono impossibile risolvere eventuali vulnerabilità.
È importante sottolineare che basta la presenza di poche macchine con sistemi fuori supporto ad indebolire significativamente l’intera infrastruttura aziendale, creando un facile punto di ingresso per gli attaccanti informatici e semplificandone la proliferazione in rete moltiplicando di fatto l’impatto sui dati e l’operatività aziendale.
- 26% degli host Linux ha superato la data di EOL (end-of-life)
- 19% degli host Windows è fuori supporto
2. Configurazioni di default
È purtroppo prassi comune, nella maggior parte delle PMI, non modificare le configurazioni di default delle postazioni. Un ambiente Windows ha attive, di default, molte impostazioni potenzialmente pericolose che però garantiscono la compatibilità con i sistemi più legacy. Per garantire un livello di sicurezza adeguato all’attuale contesto di rischio, risulta indispensabile, anche per le micro, piccole e medie imprese, rivedere le configurazioni di default relative tutte le impostazioni di sistema di cui non si ha necessità.
Tra queste configurazioni, Intrusa ha tracciato:
- 41% di host con l’account amministrativo di default attivo
- 87% di host con il protocollo LLMNR attivo
- 11% di host con Wdigest abilitato
- 92% di host con NetBios (NBT-NS) abilitato
3. Versioni obsolete di protocolli – SMB
Per motivi simili a quelli del punto precedente, Windows non disattiva automaticamente i protocolli obsoleti ed è perciò importante le PMI disattivino manualmente tutti i protocolli obsoleti non necessari.
Analizzando la situazione per il protocollo SMB (Server Message Block) è emerso che:
- 33% degli host hanno il protocollo SMBv1/CIFS abilitato: parliamo, insomma, di 663 host sui 2000 analizzati ma è particolarmente grave questi siano attivi su 88 Domain controller e su 412 server.
4. Credenziali degli account degli amministratori locali non centralizzate
La gestione delle password degli amministratori locali può essere particolarmente problematica e non è raro trovare situazioni in cui, per far fronte alle decine di macchine presenti, si inizi ad utilizzare un’unica password valida per tutti gli account amministrativi. Al di là della password, che spesso non rispetta nemmeno i requisiti minimi consigliati, questa pratica è estremamente rischiosa.
Una singola macchina compromessa porta infatti l’attaccante a disporre della password amministrativa per accedere e compromettere tutte le altre.
Una soluzione consiste nell’uso di strumenti di centralizzazione della gestione password come LAPS. Questo permette di avere delle password robuste e diverse tra le varie postazioni e di gestire in modo efficace anche la rotazione automatica ed i criteri di complessità delle password.
- 87% degli host senza LAPS installato
5. Servizi e ruoli non necessari ma attivi su server
La documentazione windows consiglia di disattivare numerosi servizi non necessari su postazioni critiche come File Server e Domain Controllers, alcuni dei quali anche critici, ma che spesso rimangono attivi come servizi di default.
Le best practice suggeriscono inoltre di evitare l’installazione di ruoli aggiuntivi su macchine Domain Controllers (DC). Ad esempio, è consigliabile installare i ruoli “Web Server”, “Remote-Desktop-Services”, “Print-Services” e “File Server” su macchine distinte rispetto a quelle utilizzate come DC.
- 76% dei server hanno servizi non necessari attivi (come ad esempio “Xbox live auth manager” e “Xbox live game save”)
- 21% dei domain controller hanno altri ruoli installati (come Web Servers, Remote-Desktop-Services, etc.)
Perché antivirus, firewall e cifratura del disco non sono così scontati
Per quanto le PMI sembrino prestare maggior attenzione agli antivirus, ai firewall e alla cifratura del disco gestendoli con maggior cura, è altrettanto vero che ci sono ancora una serie di problematiche da affrontare.
Ad esempio, gli antivirus e i firewall a volte risultano correttamente installati ma disabilitati e l’uso di Bitlocker per la cifratura del disco è decisamente scarso. Su 2000 host totali:
- 3 workstation senza antivirus o con antivirus disabilitato
- 25 workstation senza firewall o con firewall disabilitato
- 87% delle workstation senza cifratura del disco tramite Bitlocker
Conclusione
L’analisi delle configurazioni di sicurezza degli host nel campione preso in esame evidenzia la necessità impellente di monitorare e risolvere una serie di problematiche: dalle macchine con sistemi operativi fuori supporto alle configurazioni di default rischiose fino a versioni obsolete dei protocolli.
Tuttavia, c’è una nota positiva: l‘analisi, basata sulla situazione delle macchine al momento dell’aggancio alla piattaforma Intrusa, mostra un trend di miglioramento nel tempo. Ciò significa che le problematiche emerse non sono il frutto di un disinteresse alla sicurezza informatica delle PMI quanto una naturale conseguenza di due fattori: la mancata conoscenza del problema e la scarsa abilità di saperlo risolvere.
È qui che entrano in campo le piattaforme di presidio degli indicatori di sicurezza come Intrusa, che offrono la visibilità necessaria sulle problematiche di sicurezza e forniscono indicazioni chiare sulle azioni correttive da intraprendere. Contattaci per scoprire come funziona la nostra piattaforma ed in che modo può aiutarti a mantenere un livello di sicurezza adeguato per contrastare le attuali minacce!