Come fare sicurezza informatica nelle PMI? Una ricerca su 6.000 host aziendali
Come fare la sicurezza informatica al meglio nelle PMI, questa è la domanda a cui cerchiamo di rispondere in questa analisi svolta su 6.000 host, confrontando i dati di configurazione degli host prima e dopo un anno di utilizzo del nostro prodotto.
Il contesto
L’analisi si è basata sui dati di oltre 300 PMI italiane. Di queste:
- Host totali analizzati: 6.000
- 5.700 Windows (3.700 workstation e 2.000 server, di cui 390 domain controller).
- 300 Linux.
- Active Directory: 250 domini con 33.000 utenze attive e 22.000 computer abilitati.
- Microsoft 365 Entra ID: 30 tenant con 1.500 utenze cloud.
Questa panoramica riflette le dimensioni delle PMI italiane e le sfide legate alla sicurezza informatica.
Le principali problematiche emerse dalla ricerca
1. Configurazioni di default: un problema ricorrente
Le configurazioni di default restano il problema più comune.
- il 90% delle workstation ha la funzionalità Windows Script Host attiva.
- le share amministrative sono abilitate sul 90% degli host.
- c’è ancora un uso esteso di protocolli legacy o deprecati, ad esempio il 91% degli host mantiene NetBIOS abilitato e l’88% supporta LLMNR.
Progressi significativi sono stati osservati per il protocollo di autenticazione Microsoft Digest, noto anche come Wdigest, passato dall’11% al 4%.
2. Protocollo SMBv1 attivo
Il protocollo SMBv1 è ancora abilitato sul 26% degli host Windows, inclusi 39% dei domain controller.
Inoltre, rileviamo la mancanza di criteri di abilitazione ed enforcing della firma di sicurezza di SMB: 87% degli host con la firma lato client disabilitata e il 79% con la firma lato server.
3. Antivirus, firewall e cifratura disco
- 411 workstation con antivirus non aggiornato, delle quali 393 non hanno in atto la protezione fornita dall’antivirus stesso.
- 79% delle workstation non implementa Bitlocker per la cifratura dei dischi.
- 138 workstation hanno Windows Firewall disabilitato.
Le problematiche nei domini e nelle utenze
1. Privilegi amministrativi mal gestiti
- il 96% dei domini AD non implementa criteri che impediscono a utenze non amministrative di aggiungere macchine al dominio.
- nel 95% dei domini sono presenti utenti amministrativi che non sono conformi alle baseline di sicurezza, per un totale di 2269 utenze.
2. Attacchi brute force su account Microsoft 365
- poco meno del 15% delle utenze cloud (221 su 1.500) ha subito o sta subendo attacchi brute force.
3. Account e computer inattivi
- il 43% delle utenze e delle macchine non sono disabilitate, nonostante risultino inattive da più di sei mesi.
Fare sicurezza informatica è indispensabile per le PMI
Abbiamo ripetuto l’analisi sul campione aggiornato degli host considerati nel report 2024.
Grazie ad Intrusa, sono stati registrati progressi significativi:
- La presenza di account “Administrator” attivi è scesa dal 41% al 32%.
- L’uso di protocolli legacy o deprecati è calato dall’87% al 72%.
- La presenza di SMBv1 abilitato è diminuita dal 33% al 26%, con una riduzione notevole sui domain controller.
- L’adozione di soluzioni per la gestione centralizzata delle password (LAPS) è incrementata dal 13% al 50%.
Da questi risultati possiamo osservare che le PMI stanno introducendo migliorie alla postura aziendale in termini di sicurezza informatica. Adottare strumenti specializzati come Intrusa SIEM Cloud porta a miglioramenti concreti nella sicurezza per le PMI. Grazie a queste soluzioni è possibile rilevare anomalie, aumentare la governance e lavorare in conformità alle normative come GDPR, NIS2, ISO27001.
La sicurezza informatica non è solo un costo, ma un investimento per il futuro delle aziende italiane.
Vuoi proteggere i tuoi dati e migliorare la sicurezza della tua azienda?
Scopri Intrusa SIEM Cloud. Partecipa alla nostra prossima Live-demo! per vedere come possiamo aiutarti a trasformare la tua infrastruttura IT in una fortezza digitale.