4Securitas, azienda europea che sviluppa soluzioni di cybersicurezza, e Muscope Cybersecurity, azienda italiana specializzata nell’analisi del rischio cyber, hanno esaminato il perimetro di attacco e la sicurezza di oltre duemila aziende del settore manifatturiero italiano, al fine di analizzarne il livello di sicurezza informatica. Lo studio copre il periodo tra settembre 2022 e marzo 2023.
Cybersecurity: la scelta di ACSIA CRA
Nel corso di questo studio, sono stati esaminati il perimetro di attacco e la sicurezza di 2.332 aziende manifatturiere italiane, selezionate tra le 67.800 con più di 10 dipendenti, ovvero circa il 10% delle aziende del comparto con più di 50 dipendenti e il 2% di quelle con un numero di dipendenti compreso tra 10 e 49. Le aziende con meno di 10 dipendenti non sono state incluse nell’analisi. Le aziende selezionate per questo report sono state identificate in base al codice ATECO, appartenenti alla sezione “C: Attività manifatturiere”.
Per l’analisi dei dati, è stata adottata una metodologia di analisi passiva, che prevede l’esplorazione di siti web, indirizzi IP, sistemi di posta elettronica, server DNS e reti delle aziende coinvolte. Questo approccio consente di raccogliere informazioni sui software utilizzati e di verificarne le versioni, al fine di identificare eventuali vulnerabilità note. I dati sono stati raccolti mediante il servizio ACSIA CRA sviluppato da 4Securitas e Muscope Cybersecurity Srl. L’obiettivo finale di questa ricerca è quello di contribuire a creare un ambiente digitale più sicuro e resiliente per le aziende italiane, riducendo i rischi associati a potenziali attacchi informatici.
Analisi delle vulnerabilità aziendali
Nel campione analizzato, il 57.1% delle aziende presenta almeno una vulnerabilità su uno degli asset riconducibili all’azienda, mentre per il 42.9% non sono state rilevate vulnerabilità. Il 19,9% delle aziende ha un numero di vulnerabilità compreso tra 11 e 100, e il 13,5% presenta un numero di vulnerabilità compreso tra 101 e 500. Infine, l’1,6% delle aziende ha un numero di vulnerabilità identificate superiore a 500.
Il numero totale di vulnerabilità individuate nel campione è di 113.259, di cui 47 sono estremamente critiche e rappresentano lo 0,04% del totale. Sebbene sia un numero basso, queste vulnerabilità sono estremamente problematiche e andrebbero risolte immediatamente. Il 23,39% delle vulnerabilità sono critiche, il 24,53% alte e poco più del 52% sono di gravità media o bassa.
Un altro elemento analizzato in questo settore è l’anzianità delle vulnerabilità in base alla classificazione CVE. Le 113.259 vulnerabilità individuate nel campione sono state rappresentate in un grafico a bolle, che mostra l’anno di scoperta in relazione alla gravità e rappresenta la grandezza della bolla con il numero di vulnerabilità di quel tipo. Si noti che sono state individuate vulnerabilità lievi risalenti al 2001 e vulnerabilità alte al 2006. Le vulnerabilità estremamente gravi risalgono invece al 2020 e riguardano in particolare un plugin della piattaforma WordPress.
Il grafico evidenzia che molti sistemi non vengono aggiornati da parecchio tempo, una situazione potenzialmente critica per le possibili conseguenze sulla sicurezza. La distribuzione delle vulnerabilità nel tempo evidenzia un problema generale riguardante il mancato aggiornamento dei software utilizzati.
Grazie alla collaborazione con Tecniche Nuove, azienda leader nel settore editoriale che ha scelto proprio ONE4 per la protezione dei propri sistemi informatici, inserendo in fase di acquisto il codice “TECNICHENUOVE” potrai usufruire di un’esclusiva promozione e ottenere, unitamente ad ACSIA CRA, un’ora di consulenza gratuita da parte di un esperto ONE4.