Il ransomware \u00e8 la pi\u00f9 grande minaccia informatica per le PMI svizzere. I danni vanno da interruzioni operative di giorni a pagamenti di riscatti, fino alla perdita completa dei dati. Tuttavia, un malinteso molto diffuso persiste: molte aziende credono che i gruppi ransomware impieghino exploit zero-day altamente sofisticati, contro i quali \u00e8 quasi impossibile proteggersi. La realt\u00e0 \u00e8 diversa \u2013 e allo stesso tempo preoccupante e incoraggiante.<\/p>\n
La stragrande maggioranza degli attacchi ransomware non si basa su vulnerabilit\u00e0 zero-day, bens\u00ec su falle di sicurezza da tempo note e documentate<\/strong>, per le quali sono disponibili le patch. Studi dimostrano che oltre l’80 percento degli attacchi ransomware riusciti sfrutta vulnerabilit\u00e0 note da mesi o addirittura anni.<\/p>\n Questo significa che nella maggior parte dei casi questi attacchi sarebbero stati evitabili. Non attraverso costose nuove tecnologie, ma attraverso una gestione coerente delle vulnerabilit\u00e0.<\/p>\n Il Centro nazionale per la cibersicurezza (NCSC, oggi UFCS) della Svizzera ha registrato nel 2023 e 2024 un flusso costante di segnalazioni di ransomware, in particolare da parte di PMI. I vettori d’ingresso pi\u00f9 frequenti sono prevedibili in modo allarmante.<\/p>\n Le appliance VPN di Fortinet, Citrix, Ivanti e Pulse Secure sono tra i bersagli preferiti dei gruppi ransomware. Il motivo \u00e8 semplice: questi dispositivi si trovano direttamente su Internet e, in caso di sfruttamento riuscito, offrono immediatamente accesso alla rete interna.<\/p>\n Alcune delle vulnerabilit\u00e0 pi\u00f9 devastanti degli ultimi anni hanno riguardato proprio questi sistemi:<\/p>\n L’aspetto insidioso: molte PMI utilizzano questi dispositivi senza sapere quale versione firmware \u00e8 in esecuzione o se sono interessati da vulnerabilit\u00e0 note. L’appliance \u00abfunziona\u00bb \u2013 e proprio questo \u00e8 il problema.<\/p>\n Il protocollo RDP esposto rimane uno dei vettori d’ingresso ransomware pi\u00f9 frequenti. Gli aggressori sfruttano attacchi brute-force su password deboli o vulnerabilit\u00e0 RDP note come BlueKeep (CVE-2019-0708). Ogni sistema la cui porta RDP (3389) \u00e8 direttamente raggiungibile da Internet viene individuato entro poche ore da scanner automatizzati.<\/p>\n I server Exchange on-premise sono stati negli ultimi anni un bersaglio privilegiato. Le vulnerabilit\u00e0 ProxyShell e ProxyLogon (CVE-2021-26855 e correlate) hanno consentito l’esecuzione di codice remoto senza autenticazione. Molte PMI gestiscono ancora server Exchange non completamente aggiornati.<\/p>\n Installazioni WordPress con plugin obsoleti, sistemi Joomla o applicazioni web sviluppate internamente con vulnerabilit\u00e0 SQL injection offrono anch’essi punti d’ingresso. Attraverso un’applicazione web compromessa, un aggressore pu\u00f2 spesso accedere al server sottostante e da l\u00ec muoversi nella rete.<\/p>\n \u00abAbbiamo i backup, quindi siamo protetti.\u00bb Questa frase ricorre in quasi ogni conversazione con le PMI sul tema ransomware. Ed \u00e8 fondamentalmente sbagliata.<\/p>\n I backup sono una parte importante della strategia di recovery, ma non prevengono un attacco. I moderni gruppi ransomware hanno evoluto le loro tattiche:<\/p>\n La prevenzione \u2013 ovvero impedire l’accesso iniziale \u2013 \u00e8 superiore a qualsiasi misura reattiva. Ed \u00e8 esattamente qui che entra in gioco la gestione delle vulnerabilit\u00e0.<\/p>\n La gestione delle vulnerabilit\u00e0 riduce la superficie d’attacco prima che un aggressore possa sfruttarla. Il processo \u00e8 chiaro:<\/p>\n Dato che le appliance VPN rientrano tra i punti d’ingresso pi\u00f9 critici, meritano un’attenzione particolare. Ma \u00e8 proprio qui che sta la sfida: molti scanner di vulnerabilit\u00e0 rilevano le porte aperte, ma non riescono a determinare in modo affidabile la versione firmware specifica di un’appliance Fortinet o Ivanti.<\/p>\n ExposIQ risolve questo problema con un approccio specializzato: vengono verificati in modo mirato 28 diversi percorsi di login<\/strong> per i prodotti VPN e di accesso remoto pi\u00f9 comuni, combinati con migliaia di template Nuclei che testano vulnerabilit\u00e0 specifiche di questi prodotti. In questo modo non vengono rilevate solo le porte aperte, ma viene determinata l’effettiva vulnerabilit\u00e0 dell’appliance.<\/p>\n L’Ufficio federale della cibersicurezza (UFCS, ex NCSC) raccomanda espressamente alle aziende svizzere di effettuare regolarmente scansioni delle vulnerabilit\u00e0 come pilastro fondamentale della difesa informatica. Le raccomandazioni concrete comprendono:<\/p>\n Tutte queste raccomandazioni presuppongono che sappiate quali sistemi operano nella vostra rete e quali vulnerabilit\u00e0 sussistono. Senza gestione delle vulnerabilit\u00e0 operate alla cieca.<\/p>\n La prevenzione del ransomware non deve iniziare con un budget milionario. Un approccio pragmatico per le PMI si presenta cos\u00ec:<\/p>\n ExposIQ supporta le PMI svizzere proprio in questo approccio. Con oltre 35 motori di scansione, 64’000 CVE e verifiche specializzate per gateway VPN, la piattaforma copre i vettori d’ingresso ransomware pi\u00f9 comuni. Ospitata in Svizzera, conforme alla nLPD e disponibile a partire da CHF 99 al mese. Perch\u00e9 la prevenzione \u00e8 sempre pi\u00f9 conveniente del ripristino: exposiq.ch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Il ransomware \u00e8 la pi\u00f9 grande minaccia informatica per le PMI svizzere. I danni vanno da interruzioni operative di giorni a pagamenti di riscatti, fino alla perdita completa dei dati. Tuttavia, un malinteso molto diffuso persiste: molte aziende credono che i gruppi ransomware impieghino exploit zero-day altamente sofisticati, contro i quali \u00e8 quasi impossibile proteggersi. … Leggi tutto<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"prevenzione ransomware gestione vulnerabilit\u00e0","rank_math_title":"Prevenzione ransomware attraverso la gestione delle vulnerabilit\u00e0","rank_math_description":"La maggior parte degli attacchi ransomware sfrutta vulnerabilit\u00e0 note. RDP, appliance VPN ed Exchange sono i punti di ingresso pi\u00f9 comuni.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1178","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/1178","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/comments?post=1178"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/1178\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/media?parent=1178"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/categories?post=1178"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/tags?post=1178"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}I punti d’ingresso pi\u00f9 comuni per il ransomware<\/h2>\n
1. Gateway VPN e appliance di accesso remoto<\/h3>\n
\n
2. Remote Desktop Protocol (RDP)<\/h3>\n
3. Microsoft Exchange Server<\/h3>\n
4. Applicazioni web e CMS obsoleti<\/h3>\n
Perch\u00e9 il solo backup non \u00e8 prevenzione<\/h2>\n
\n
La scansione continua come strategia di prevenzione<\/h2>\n
\n
Verificare specificamente i gateway VPN<\/h2>\n
Attuare le raccomandazioni dell’UFCS<\/h2>\n
\n
L’approccio pragmatico per le PMI<\/h2>\n
\n