Molte aziende sono convinte che la propria infrastruttura IT sia sicura — fino alla prima scansione. Condividiamo le scoperte più frequenti dalla nostra esperienza sul campo e cosa significano per la vostra azienda.
La prima scansione è sempre una rivelazione
Quando una PMI analizza per la prima volta la propria infrastruttura con un vulnerability scanner, i risultati sono quasi sempre sorprendenti. Non perché l’IT sia stato gestito male — ma perché le vulnerabilità si accumulano silenziosamente nel corso di mesi e anni.
Sulla base della nostra esperienza con le reti delle PMI svizzere, vi mostriamo cosa emerge tipicamente — e perché è importante.
1. Software obsoleto ovunque
La scoperta più frequente: software non aggiornato. Non riguarda solo i sistemi operativi dei server, ma soprattutto:
- Web server (Apache, Nginx, IIS) con CVE note
- Sistemi CMS (WordPress, Joomla) con plugin obsoleti
- Dispositivi di rete (switch, firewall, access point) con firmware vecchio di anni
- Librerie SSL/TLS che supportano ancora protocolli ormai superati
La maggior parte di queste vulnerabilità ha exploit pubblicamente disponibili. Significa che chiunque con un minimo di competenza tecnica può sfruttarle.
2. Servizi aperti di cui nessuno è a conoscenza
Quasi ogni rete ha servizi attivi senza che nessuno lo sappia. Esempi tipici:
- Un servizio SNMP con community string “public” che espone dettagli della rete
- Una porta di database raggiungibile da Internet
- Un accesso RDP dimenticato dopo una manutenzione
- Un web server di test configurato da uno sviluppatore due anni fa
Ognuno di questi servizi aperti è un potenziale punto d’ingresso per un attaccante. Ciò che non si conosce, non si può proteggere.
3. Problemi di configurazione SSL/TLS
Anche le aziende che “cifrano tutto” presentano spesso problemi nella configurazione SSL/TLS:
- Certificati scaduti o in scadenza
- Supporto per protocolli obsoleti (TLS 1.0, TLS 1.1)
- Cipher suite deboli che rendono possibili attacchi come BEAST o POODLE
- Certificati self-signed su servizi accessibili pubblicamente
Questi problemi sono spesso facili da risolvere — ma bisogna prima conoscerli.
4. Password predefinite e autenticazione debole
Sembra incredibile, ma in una percentuale sorprendentemente alta delle scansioni troviamo:
- Dispositivi con password predefinite (admin/admin, admin/password)
- Servizi senza autenticazione (interfacce di gestione aperte)
- Server FTP con accesso anonimo
- Applicazioni web con account amministratore predefiniti
Per un attaccante, questa è la via più semplice per penetrare nella rete. Nessun exploit necessario — basta effettuare il login.
5. Segmentazione assente
Se lo scanner riesce ad accedere a tutto da un segmento di rete, anche un attaccante può farlo. Spesso non esiste alcuna separazione tra:
- Rete ufficio e rete server
- Wi-Fi ospiti e rete interna
- Sistemi di produzione e IT aziendale
Questo significa che una singola workstation compromessa può diventare un trampolino verso l’intera rete.
Cosa fare dopo la prima scansione?
La prima scansione produce spesso decine, se non centinaia, di risultati. Può sembrare opprimente. L’approccio corretto:
- Niente panico. La maggior parte delle aziende ottiene risultati simili.
- Prioritizzare in base al rischio. Prima le vulnerabilità critiche sui sistemi accessibili pubblicamente.
- Implementare le vittorie rapide. Cambiare le password predefinite, disattivare i servizi non necessari, applicare le patch.
- Scansionare regolarmente. Una scansione singola mostra lo stato attuale. Solo le scansioni regolari mostrano se la situazione migliora.
L’errore più grande
L’errore più grande non è avere delle vulnerabilità. L’errore più grande è non sapere quali si hanno. Ogni giorno senza visibilità è un giorno in cui un attaccante è in vantaggio.
Una scansione regolare delle vulnerabilità è la misura più semplice e conveniente per migliorare in modo misurabile la vostra sicurezza IT. Non perfetta — ma infinitamente meglio di navigare alla cieca.
