La fine di Windows 7 potrebbe essere un'opportunità per i criminali informatici ed evidenzia la necessità di efficaci strategie di patching, secondo gli esperiti di Cyber Risk di QBE.
Fine del ciclo di vita di Windows 7
Il 14 gennaio Microsoft ha ritirato il suo sistema operativo Windows 7. Ciò significa che la compagnia tecnologica non dovrà più fornire aggiornamenti di sicurezza (supporto) per questo software molto diffuso, anche se i clienti paganti hanno ancora la possibilità di sottoscrivere degli Extended Security Updates.
Il
14 gennaio 2020:
potenzialmente è l’ultimo aggiornamento per Windows 7
I dispositivi con software “non patchati” o “non supportati” come Windows 7 sono più vulnerabili agli attacchi informatici, ai virus e ai malware. Ecco perché gli esperti di sicurezza informatica consigliano ai milioni di utenti di Windows 7 di aggiornare il proprio sistema operativo - si ritiene che circa 200 milioni di computer utilizzino ancora Windows 7.
Le falle di sicurezza continuano a essere presenti in Windows 7, anche se ormai ha più di un decennio di vita. A gennaio 2020, la National Security Agency statunitense ha
messo in guardia da nuove gravi vulnerabilità nei sistemi operativi Windows, tra cui Windows 7 e l'ultima versione di Windows 10. Microsoft ha incluso una correzione a quello che potenzialmente è l’ultimo aggiornamento per Windows 7 del 14 gennaio 2020.
Il 14 gennaio Microsoft ha ritirato il suo sistema operativo Windows 7. Ciò significa che la compagnia tecnologica non dovrà più fornire aggiornamenti di sicurezza (supporto) per questo software molto diffuso, anche se i clienti paganti hanno ancora la possibilità di sottoscrivere degli Extended Security Updates.
Il
14 gennaio 2020:
potenzialmente è l’ultimo aggiornamento per Windows 7
I dispositivi con software “non patchati” o “non supportati” come Windows 7 sono più vulnerabili agli attacchi informatici, ai virus e ai malware. Ecco perché gli esperti di sicurezza informatica consigliano ai milioni di utenti di Windows 7 di aggiornare il proprio sistema operativo - si ritiene che circa 200 milioni di computer utilizzino ancora Windows 7.
Le falle di sicurezza continuano a essere presenti in Windows 7, anche se ormai ha più di un decennio di vita. A gennaio 2020, la National Security Agency statunitense ha messo in guardia da nuove gravi vulnerabilità nei sistemi operativi Windows, tra cui Windows 7 e l'ultima versione di Windows 10. Microsoft ha incluso una correzione a quello che potenzialmente è l’ultimo aggiornamento per Windows 7 del 14 gennaio 2020.
Le vulnerabilità note
La decisione di Microsoft di ritirare il supporto per Windows 7 offrirà ai criminali informatici un'enorme opportunità. I bug nel software possono essere sfruttati dai cyber criminali per scopi dannosi e spesso costituiscono un elemento importante degli strumenti e delle tecniche utilizzate dagli hacker per accedere alle reti,
per rubare dati o per l'estorsione informatica.
Gli hacker cercano le cosiddette vulnerabilità "zero-day" - difetti sconosciuti agli sviluppatori e agli utenti dei software - ma il più delle volte sono in grado di sfruttare anche le vulnerabilità note. Questo perché il software spesso
non è aggiornato tempestivamente. Una volta identificata una vulnerabilità, infatti, i fornitori di software emettono rapidamente un aggiornamento o una “patch” per risolvere il problema. Tuttavia, se lasciati senza patch, i sistemi sono esposti agli attacchi.
L'attacco globale del ransomware
WannaCry del 2017, ad esempio, ha utilizzato una nota vulnerabilità nel software Windows denominata "Eternal Blue". Anche se la correzione della vulnerabilità era stata pubblicata diversi mesi prima dell'epidemia di WannaCry, il malware ha colpito centinaia di migliaia di computer senza patch in tutto il mondo.
La decisione di Microsoft di ritirare il supporto per Windows 7 offrirà ai criminali informatici un'enorme opportunità. I bug nel software possono essere sfruttati dai cyber criminali per scopi dannosi e spesso costituiscono un elemento importante degli strumenti e delle tecniche utilizzate dagli hacker per accedere alle reti, per rubare dati o per l'estorsione informatica.
Gli hacker cercano le cosiddette vulnerabilità "zero-day" - difetti sconosciuti agli sviluppatori e agli utenti dei software - ma il più delle volte sono in grado di sfruttare anche le vulnerabilità note. Questo perché il software spesso non è aggiornato tempestivamente. Una volta identificata una vulnerabilità, infatti, i fornitori di software emettono rapidamente un aggiornamento o una “patch” per risolvere il problema. Tuttavia, se lasciati senza patch, i sistemi sono esposti agli attacchi.
L'attacco globale del ransomware
WannaCry del 2017, ad esempio, ha utilizzato una nota vulnerabilità nel software Windows denominata "Eternal Blue". Anche se la correzione della vulnerabilità era stata pubblicata diversi mesi prima dell'epidemia di WannaCry, il malware ha colpito centinaia di migliaia di computer senza patch in tutto il mondo.
Cogliere le opportunità
Malgrado il ruolo di rilievo che l’assenza di patch ha giocato in attacchi informatici di alto profilo come quello di WannaCry, il problema persiste. Secondo Gartner i sistemi senza patch restano una delle principali cause di violazioni della sicurezza informatica, con una percentuale stimata del 99%.
Ogni volta che viene rivelata una falla o un’alta vulnerabilità nella sicurezza o viene rilasciato un aggiornamento del sistema o una patch, i criminali informatici vi vedono un'opportunità, spiega Verizon nel suo rapporto 2019 Data Breach Investigations.
Gli hacker sono alla continua ricerca di modi per monetizzare le vulnerabilità, sia attraverso sofisticati attacchi mirati contro le reti e i siti web delle aziende, sia attraverso attacchi non mirati, come il phishing o il ransomware.
Negli ultimi anni alcune delle più grandi violazioni di dati sono state relative a vulnerabilità non coperte da patch. Ad esempio, i sistemi obsoleti hanno contribuito alla massiccia violazione di Equifax del 2017. Più di recente, un attacco ransomware presso Travelex a Capodanno 2019 - che ha portato l'azienda a mettere offline i propri siti Web per oltre due settimane - sarebbe stato associato a una nota vulnerabilità nel software VPN.
Malgrado il ruolo di rilievo che l’assenza di patch ha giocato in attacchi informatici di alto profilo come quello di WannaCry, il problema persiste. Secondo Gartner i sistemi senza patch restano una delle principali cause di violazioni della sicurezza informatica, con una percentuale stimata del 99%.
Ogni volta che viene rivelata una falla o un’alta vulnerabilità nella sicurezza o viene rilasciato un aggiornamento del sistema o una patch, i criminali informatici vi vedono un'opportunità, spiega Verizon nel suo rapporto 2019 Data Breach Investigations.
Gli hacker sono alla continua ricerca di modi per monetizzare le vulnerabilità, sia attraverso sofisticati attacchi mirati contro le reti e i siti web delle aziende, sia attraverso attacchi non mirati, come il phishing o il ransomware.
Negli ultimi anni alcune delle più grandi violazioni di dati sono state relative a vulnerabilità non coperte da patch. Ad esempio, i sistemi obsoleti hanno contribuito alla massiccia violazione di Equifax del 2017. Più di recente, un attacco ransomware presso Travelex a Capodanno 2019 - che ha portato l'azienda a mettere offline i propri siti Web per oltre due settimane - sarebbe stato associato a una nota vulnerabilità nel software VPN.
Strategia di patching
Gli hacker sanno che una volta rivelata una vulnerabilità, hanno un tempo limitato per cercare di sfruttarla. Quindi risolvendo rapidamente le vulnerabilità si otterrà una maggiore protezione. Tuttavia, dato il volume di aggiornamenti dei software e il fatto che potenzialmente le patch possono interrompere o ridurre la funzionalità dei sistemi sensibili, il patching non è semplice.
Ecco le raccomandazioni che gli esperti di sicurezza informatica fanno alle aziende:
• adottare una strategia di patching che dia priorità agli aggiornamenti
• mirare le correzioni verso i maggiori rischi dell'organizzazione
• dare priorità alle vulnerabilità importanti, una volta identificate
• avere un piano per le restanti vulnerabilità
• eseguire tempestivamente di aggiornamenti dei software supportati su tutti i sistemi, ove possibile
Ci sono ragioni legittime per cui alcune macchine e dispositivi possono continuare a utilizzare software vecchi o non aggiornati. La decisione di continuare ad utilizzare software non più supportati dovrebbe andare di pari passo con un aumento delle misure appropriate per mantenere la sicurezza informatica, come ad esempio l'isolamento dei sistemi non supportati da altre reti.
Gli hacker sanno che una volta rivelata una vulnerabilità, hanno un tempo limitato per cercare di sfruttarla. Quindi risolvendo rapidamente le vulnerabilità si otterrà una maggiore protezione. Tuttavia, dato il volume di aggiornamenti dei software e il fatto che potenzialmente le patch possono interrompere o ridurre la funzionalità dei sistemi sensibili, il patching non è semplice.
Ecco le raccomandazioni che gli esperti di sicurezza informatica fanno alle aziende:
• adottare una strategia di patching che dia priorità agli aggiornamenti
• mirare le correzioni verso i maggiori rischi dell'organizzazione
• dare priorità alle vulnerabilità importanti, una volta identificate
• avere un piano per le restanti vulnerabilità
• eseguire tempestivamente di aggiornamenti dei software supportati su tutti i sistemi, ove possibile
Ci sono ragioni legittime per cui alcune macchine e dispositivi possono continuare a utilizzare software vecchi o non aggiornati. La decisione di continuare ad utilizzare software non più supportati dovrebbe andare di pari passo con un aumento delle misure appropriate per mantenere la sicurezza informatica, come ad esempio l'isolamento dei sistemi non supportati da altre reti.
Assicurazione Cyber
Un patching tempestivo non è solo un atto di corretta salute informatica, ma è anche un’attività basilare per la gestione e prevenzione del rischio. Un assicuratore, nell’ottica di fornire la corretta copertura Cyber, ha il dovere di informarsi sulla strategia di patching di un'organizzazione e di sapere cosa si sta facendo per proteggere i sistemi non supportati.
Gli assicurati dovrebbero dal canto loro controllare le loro polizze cyber, poiché alcuni assicuratori applicano esclusioni per i danni derivanti da sistemi non supportati, non aggiornati o obsoleti.
Le autorità di regolamentazione stanno inoltre prestando sempre maggiore attenzione alla sicurezza informatica e le conseguenze per la mancata applicazione di patch ai sistemi sono sempre più gravi, in termini di multe, interruzioni dell'attività e danni alla reputazione.
Equifax ha ricevuto una multa di 700 milioni di dollari dalle autorità di regolamentazione statunitensi per la violazione dei dati del 2017, mentre il gruppo alberghiero statunitense Marriott deve affrontare una multa di 99 milioni di sterline nel Regno Unito per una violazione dei dati ai sensi del Regolamento Generale sulla Protezione dei Dati dell'UE (GDPR), causata da un software non protetto da patch. Il GDPR dà ai regolatori il potere di emettere sanzioni fino a 20 milioni di €, ovvero il 4% del fatturato globale di un'azienda.
Un patching tempestivo non è solo un atto di corretta salute informatica, ma è anche un’attività basilare per la gestione e prevenzione del rischio. Un assicuratore, nell’ottica di fornire la corretta copertura Cyber, ha il dovere di informarsi sulla strategia di patching di un'organizzazione e di sapere cosa si sta facendo per proteggere i sistemi non supportati.
Gli assicurati dovrebbero dal canto loro controllare le loro polizze cyber, poiché alcuni assicuratori applicano esclusioni per i danni derivanti da sistemi non supportati, non aggiornati o obsoleti.
Le autorità di regolamentazione stanno inoltre prestando sempre maggiore attenzione alla sicurezza informatica e le conseguenze per la mancata applicazione di patch ai sistemi sono sempre più gravi, in termini di multe, interruzioni dell'attività e danni alla reputazione.
Equifax ha ricevuto una multa di 700 milioni di dollari dalle autorità di regolamentazione statunitensi per la violazione dei dati del 2017, mentre il gruppo alberghiero statunitense Marriott deve affrontare una multa di 99 milioni di sterline nel Regno Unito per una violazione dei dati ai sensi del Regolamento Generale sulla Protezione dei Dati dell'UE (GDPR), causata da un software non protetto da patch. Il GDPR dà ai regolatori il potere di emettere sanzioni fino a 20 milioni di €, ovvero il 4% del fatturato globale di un'azienda.
L’importanza di ridurre i rischi
Il ritiro del supporto per Windows 7 comporterà una diminuzione della sicurezza informatica per gli utenti e si tradurrà in una “porta aperta” per gli hacker. Molte organizzazioni hanno colto l'opportunità di passare a un sistema operativo più recente, ma coloro che continueranno ad utilizzare il software non supportato o non aggiornato senza adeguati controlli stanno esponendo le loro aziende a un rischio inutile, che potrebbe rivelarsi molto costoso a lungo termine.
Il ritiro del supporto per Windows 7 comporterà una diminuzione della sicurezza informatica per gli utenti e si tradurrà in una “porta aperta” per gli hacker. Molte organizzazioni hanno colto l'opportunità di passare a un sistema operativo più recente, ma coloro che continueranno ad utilizzare il software non supportato o non aggiornato senza adeguati controlli stanno esponendo le loro aziende a un rischio inutile, che potrebbe rivelarsi molto costoso a lungo termine.
Altro ancora
Iscriviti per essere informato sui futuri articoli della serie Resilience e sugli altri documenti, report o approfondimenti da QBE.
Iscriviti subito