SE LE AZIENDE SI SENTONO VULNERABILI NON HANNO TUTTI I TORTI.

Transcript

1 VALUTAZIONE DELLA VULNERABILITÀ 2013 SE LE AZIENDE SI SENTONO VULNERABILI NON HANNO TUTTI I TORTI.

2 SOMMARIO Se le aziende si sentono vulnerabili non hanno tutti i torti. 3-4 Riepilogo delle indagini 5 Ci siamo ricordati di chiudere la porta a chiave? 6 Colmare il vuoto di conoscenza 7 Quantificare i rischi 8 Quali sono i paesi più vulnerabili? 9 Francia: sicurezza elevata, ma fanalino di coda quanto a valutazione 10 Germania: la chiave è la prevenzione 11 Svezia: non sapere non sempre è un piacere 12 Colmare il gap della vulnerabilità 13 Riferimenti 14 p. 2

3 SE LE AZIENDE SI SENTONO VULNERABILI NON HANNO TUTTI I TORTI. La violazione della sicurezza che ha interessato la rete PlayStation Network di Sony nel 2011, considerata il furto di dati di maggiori proporzioni mai perpetrato, è stata così devastante che i suoi effetti tardano a scomparire: nel gennaio del 2013, il UK Information Commissioners Office (ICO) sanzionò Sony Computer Entertainment Europe per ( ) in seguito a ciò che fu descritto come una grave violazione del Data Protection Act. Nel rapporto dell ICO si conclude affermando che l attacco avrebbe potuto essere prevenuto se la sicurezza di Sony fosse stata aggiornata. Dopo avere infettato 10 server, gli hacker hanno sottratto i dati relativi agli account di oltre 75 milioni di clienti mondiali del gruppo. Ne sono scaturite interrogazioni nei parlamenti di tutto il mondo, azioni legali e il blocco dell accesso alla rete online per più di un mese. Non si tratta, comunque, di un caso isolato: nel 2012, la tecnologia di Symantec ha permesso di analizzare oltre 1,5 milioni di siti Web nell ambito dei servizi di scansione anti-malware e di valutazione della vulnerabilità dei siti Web. Oltre URL sono stati analizzati ogni giorno per rilevare l eventuale presenza di malware, con una frequenza di 1 sito Web infetto ogni 532. Valutando le vulnerabilità potenzialmente violabili dei siti Web, sono state inoltre eseguite oltre scansioni al giorno. Il 53% circa dei siti Web analizzati si è rivelato privo di patch e soggetto a vulnerabilità sfruttabili. Il 24% di queste vulnerabilità è stato classificato di livello critico. Queste vulnerabilità possono ovviamente essere sfruttate in qualsiasi momento, con effetti quali la compromissione della sicurezza pubblica e la conseguente perdita di fiducia. Come indicato da recenti indagini di Symantec 1, si tratta di vulnerabilità che possono essere presenti praticamente in qualsiasi azienda. Il problema è che la maggior parte delle aziende non ne è consapevole. I criminali informatici sono costantemente alla ricerca di nuove vulnerabilità o punti deboli nei siti Web e l esempio di Sony mostra come spesso tale ricerca possa avere successo. Le infezioni da malware o lo sfruttamento delle vulnerabilità mettono a repentaglio la sicurezza delle informazioni dei clienti e possono provocare, prima ancora che l azienda sia in grado di reagire, il blacklisting del sito Web rivolto al pubblico da parte dei motori di ricerca, la perdita della fiducia dei clienti e un danno irreparabile al marchio. Di fronte a un panorama di attacchi malware sempre più sofisticati e perdite di dati online sempre più gravi, le aziende non possono più limitarsi a un azione a posteriori ai problemi di sicurezza che si verificano nei propri siti Web. p. 3

4 SE LE AZIENDE SI SENTONO VULNERABILI NON HANNO TUTTI I TORTI. Symantec ha interpellato 200 professionisti IT di aziende di ogni dimensione in quattro paesi europei circa il grado di conoscenza della propria esposizione alle minacce e le misure adottate per estendere tale conoscenza. Quasi un quarto riconosce di non sapere quanto siano sicuri i propri siti Web e, tuttavia, più di metà degli interpellati ammette di non avere mai condotto una valutazione della vulnerabilità del sito. Se da una parte gli intervistati considerano in genere bassa la probabilità di una specifica vulnerabilità del sito Web, l esperienza di Symantec, maturata nel corso delle valutazioni gratuite offerte ai propri clienti, dice che più del 24% presenta vulnerabilità importanti 2. Le infezioni malware, una delle minacce della sicurezza a più rapida diffusione, spesso sono la conseguenza diretta di vulnerabilità del sito Web. Secondo quanto rivela il Report Symantec sulle minacce alla sicurezza dei siti Web 3, solo nel 2011 sono stati scoperti 403 milioni di tipi univoci di malware, un dato che mostra chiaramente come un sito che presenta vulnerabilità sia destinato inevitabilmente a essere attaccato. Le valutazioni della vulnerabilità possono colmare il vuoto di conoscenza esistente in questo campo, non solo localizzando le vulnerabilità ma anche indicando le necessarie misure correttive. Inoltre, la valutazione non deve essere un processo occasionale: il sondaggio mostra come la fiducia che le organizzazioni ripongono nella sicurezza dei propri siti Web è maggiore tra quelle che ripetono mensilmente tale processo. Non sorprende che le aziende di maggiori dimensioni siano maggiormente consapevoli dei rischi e più inclini a condurre e ripetere regolarmente valutazioni della vulnerabilità. Tuttavia, ammonisce il Report Symantec sulle minacce alla sicurezza dei siti Web , sarebbe un errore supporre che solo le grandi aziende siano target degli attacchi informatici: il report dimostra come al contrario tali attacchi interessino oggi un numero significativo di aziende più piccole (31%). Le aziende di maggiori dimensioni sono per loro natura portate a condurre valutazioni più capillari, ma anche quelle più piccole devono disporre un quadro più accurato, oltre che dell esposizione complessiva, degli specifici rischi che corrono. Sono state 5,291 VULNERABILITÀ segnalate nel 2012 rispetto alle 4,989 VULNERABILITÀ segnalate nel 2011 p. 4

5 RIEPILOGO DELLE INDAGINI 5 23% - NON SICURO 2% - NON SO 27% - ABBASTANZA SICURO 15% - MOLTO SICURO Quasi un quarto dei responsabili IT non conosce il livello di sicurezza del proprio sito Web. 33% - DEL TUTTO SICURO Coloro che valutano regolarmente la vulnerabilità hanno un quadro più accurato della sicurezza dei propri siti Web OGNI MESE 0% 30% 52% 14% 4% MAI 0% 36% 27% 14% 27% Non sicuro Abbastanza sicuro Molto sicuro Del tutto sicuro Non so p. 5

6 CI SIAMO RICORDATI DI CHIUDERE LA PORTA A CHIAVE? La sicurezza dei siti Web non è mai stata così importante. Eppure le aziende del Nord Europa mostrano un gap ancora considerevole nella consapevolezza del problema e, conseguentemente, un esposizione non indifferente alle possibili violazioni della loro sicurezza. Più di metà non ha mai eseguito una valutazione della vulnerabilità del proprio sito Web 53% 64% 56% UK FR SE DE 42% 16% 8% 22% 12% 16% 14% 10% 26% 15% 14% 12% 20% MAI NELL'ULTIMO ANNO NEGLI ULTIMI 6 MESI NELL'ULTIMO MESE Nel sondaggio che abbiamo rivolto a 200 responsabili IT, quasi un quarto di essi (23%) ammette di non conoscere il livello di sicurezza del proprio sito Web. Tra le aziende al di sotto dei 500 dipendenti, il dato raggiunge il 30%: quasi un terzo delle piccole e medie imprese non ha idea dello stato della sicurezza del proprio sito Web. A fronte di uno sparuto 2% che ammette l esistenza di qualche vulnerabilità e di un terzo (33%) che presuppone che il proprio sito Web sia molto sicuro, ve ne è un altrettanto esiguo 15% che afferma di essere in generale completamente sicuro. Solo metà del campione (48%) considera il proprio sito Web molto o completamente sicuro rispetto ai tre quarti (74%) delle aziende statunitensi. Senza una migliore comprensione delle vulnerabilità, risulta difficile dire quali potranno essere gli effetti di questo gap. Ma, stante la vertiginosa ascesa (+81%) mostrata dagli attacchi malware nel , è lecito attendersi un incremento delle violazioni come conseguenza di queste vulnerabilità. Solo 19 tra le aziende interpellate hanno ammesso di aver subito violazioni della sicurezza Internet negli ultimi sei mesi, per quanto tre di queste abbiano p. 6 riportato seri danni dall evento. Tuttavia, poiché la maggior parte delle violazioni della sicurezza Internet non viene segnalata o neppure rilevata, è possibile che i crimini informatici passino inosservati persino alle aziende che ne sono vittima. Presumere che il sito Web di un azienda sia sicuro è un azzardo. Il dato che Symantec ricava dalla sua quotidiana attività di valutazione della vulnerabilità, offerta gratuitamente ai clienti, mostra che circa un quarto dei siti Web aziendali presenta vulnerabilità critiche 7. Dal punto di vista delle aziende più piccole, pensare che solo i marchi di maggiore diffusione siano esposti agli attacchi è sbagliato: il 17,8% di questi ha come obiettivo aziende con meno di 250 dipendenti, dato che i crimini perpetrati a danno delle piccole imprese corrono meno il rischio di essere scoperti 8. Ciò che si può senz altro dire è che, senza un approccio deciso a una sicurezza su più livelli, i siti Web sono destinati a essere inevitabilmente esposti agli attacchi. Analogamente, senza un minimo di dati su quelle che sono le vulnerabilità specifiche di un sito Web, è impossibile comprendere la gravità della minaccia e i rischi corsi da un organizzazione.

7 COLMARE IL VUOTO DI CONOSCENZA Le valutazioni periodiche della vulnerabilità sono il mezzo che le organizzazioni hanno a disposizione per colmare il gap di informazioni sulla sicurezza del proprio sito Web. Nel complesso, ne emerge un adozione estremamente bassa dell analisi automatizzata a scopo di valutazione della vulnerabilità, forse ciò in rapporto con la disponibilità piuttosto recente del servizio gratuito offerto da Symantec. Solo il 6% di coloro che hanno condotto una valutazione ha utilizzato questo metodo, mentre metà (50%) si è affidata a terzi e il 44% ha condotto un analisi interna. Più di metà degli interpellati (53%) non ne ha mai condotta una, probabilmente a causa della scarsa consapevolezza del diffondersi del malware. Il 15% del campione del sondaggio ha condotto una valutazione della vulnerabilità nel mese precedente, il 16% nei sei mesi precedenti e il 16% nel corso dell ultimo anno. La maggior parte di coloro che hanno condotto valutazioni della vulnerabilità tende a ripeterle. Il 52% di coloro che hanno condotto una valutazione l ha ripetuta nel corso degli ultimi 12 mesi e un quarto dice di provvedervi con regolarità. Le aziende di dimensioni maggiori sono risultate più propense a condurre una valutazione nel recente periodo (21%), mentre una porzione ben più elevata di medie imprese (dai 500 ai 999 dipendenti) non ne ha mai condotta una (67%). Analogamente, tra quelle che hanno condotto valutazioni, sono le aziende più grandi a mostrarsi più inclini a ripeterle, con il 37% delle 30 aziende interessate che ha dichiarato di ripeterle con frequenza mensile. L impatto delle valutazioni della vulnerabilità è chiaro. Più di un quarto (27%) di coloro che non ne hanno mai condotte ammette candidamente di non conoscere il grado di sicurezza attuale del proprio sito Web, rispetto al 23% complessivo. Al contrario, chi ha condotto una o più valutazioni guarda con maggiore fiducia alla sicurezza del proprio sito Web. Solo il 4% di questo gruppo non sa quanto sia sicuro il proprio sito. Raccogliere informazioni sulla vulnerabilità del sito non è, naturalmente, che il primo passo, ma un passo in grado, di per sé, di rendere più consapevoli dei rischi che si è preparati ad affrontare. Un numero elevato di coloro che conducono valutazioni regolari afferma che il proprio sito Web è molto sicuro (52%) e quasi un terzo (30%) lo considera discretamente sicuro. Quando è stata l ultima volta che si è eseguita una valutazione della vulnerabilità del sito Web e quali sono stati gli esiti? OGNI MESE 0% 30% 52% 14% 4% MAI 0% 36% 27% 14% 27% Non sicuro Abbastanza sicuro Molto sicuro Del tutto sicuro Non so p. 7

8 QUANTIFICARE I RISCHI In un vuoto di conoscenza, non sorprende troppo rilevare che i responsabili IT considerano nel complesso bassa la probabilità di subire vari tipi di vulnerabilità. Considerato che oltre metà degli interpellati non ha mai condotto una valutazione della vulnerabilità, è comprensibile che, quando si tratta di capire quale sia la probabilità di un attacco al proprio sito Web, si tiri a indovinare. Tuttavia, c è uno scarto notevole tra le aspettative degli interpellati circa le potenziali vulnerabilità dei propri siti e i dati raccolti da Symantec sulla reale incidenza di queste nella vita dei siti Web. Nell ordine, queste sono risultate le vulnerabilità considerate più probabili dai soggetti intervistati: Attacco di forza bruta (20%) Vulnerabilità delle autorizzazioni (19%) Furto di informazioni (15%) Attacco CSRF (15%) Spoofing dei contenuti (14%) Cross Site Scripting (13%) Il Cross Site Scripting, la vulnerabilità considerata meno probabile dal campione del nostro sondaggio, è invece una delle più frequenti in base alle ricerche di Symantec. Quasi un terzo (32%) degli interpellati ammette di non sapere se i propri siti sono soggetti a questa vulnerabilità. Anche il furto di informazioni è considerato scarsamente probabile. Quasi la metà (49%) ritiene improbabile il verificarsi di questo problema, mentre, nella realtà, le violazioni dei dati sono sempre più diffuse. La già citata violazione subita da Sony PlayStation ne è una prova inconfutabile. Il nostro campione reputa gli attacchi di forza bruta i più probabili (il 20% li considera probabili o molto probabili), nella convinzione che i punti deboli dell infrastruttura fisica superino i rischi connessi all ambiente virtuale. Le vulnerabilità delle autorizzazioni sono considerate probabili o più probabili da appena il 19%, ma rappresentano la violazione più comune realmente verificatasi secondo il nostro campione, ritenuta da 6 degli interpellati la più grave violazione subita negli ultimi sei mesi. Lo scarto tra le aspettative degli interpellati e la realtà del fenomeno evidenzia ulteriormente il gap nella conoscenza delle vulnerabilità. Le organizzazioni devono acquisire maggiore consapevolezza dei rischi cui sono esposte. Senza un quadro più accurato dell attuale esposizione, è impensabile pensare che possano migliorare la sicurezza dei propri siti Web. Qual è, secondo gli interpellati, la probabilità che il proprio sito Web subisca un attacco Cross Site Scripting? 32% 37% 4% Poco probabile 9% Molto probabile 18% Non so p. 8

9 QUALI SONO I PAESI PIÙ VULNERABILI? Regno Unito. Sicuri... ma c è da esserne sicuri? Molte organizzazioni considerano il proprio sito Web relativamente sicuro e privo di particolari vulnerabilità, ma dato che metà degli interpellati non conduce alcuna valutazione a riguardo, risulta difficile capire quanto fondata sia questa loro convinzione. più numerose che negli altri paesi le organizzazioni che reputano poco probabile l eventualità di un attacco che sfrutti una vulnerabilità, mentre nelle altre tre è ancora britannica la penultima organizzazione sempre in termini di percezione della propria vulnerabilità. Il Regno Unito presenta anche il più alto numero di organizzazioni che, in tre categorie, ammettono di non conoscere la propria esposizione alle specifiche vulnerabilità. Un esempio indicativo è quello del Cross Site Scripting, considerato dal 40% degli intervistati il meno probabile tra tutte le vulnerabilità, con un 48% che dichiara di non avere un opinione a riguardo. Le organizzazioni britanniche si collocano nella media quanto alla considerazione della sicurezza del proprio sito Web, con un 48% che lo reputa molto o del tutto sicuro, esattamente la stessa media percentuale degli altri tre paesi. Vicino alla media (24%) si colloca anche il numero di coloro che rispondono di non sapere quanto sia sicuro il proprio sito Web. È invece superiore alla media, e anzi il più elevato tra tutti i mercati oggetto dell indagine (20%), il numero di coloro che considerano del tutto sicuro il proprio sito. Il Regno Unito si classifica, per la percezione della probabilità di subire una violazione, all ultimo posto: in tre delle sei categorie (vedere l elenco a pagina 8), sono Il Regno Unito appare diviso in parti uguali (50-50%) per quanto riguarda le valutazioni della vulnerabilità: a fronte di una metà che vi ha provveduto regolarmente nel corso degli ultimi 12 mesi (56%) ve ne è un altra che non ne ha mai condotto una. È inoltre il paese che riporta il minor numero di violazioni. Chiaramente, nel Regno Unito si assiste a una polarizzazione tra le organizzazioni che conducono le valutazioni regolarmente, chiudendo ogni falla e considerandosi estremamente sicure, e quelle che non vi provvedono e non hanno un idea certa della propria esposizione. Un quinto delle aziende britanniche considera il proprio sito Web del tutto sicuro 0% 28% 28% 20% 24% Non sicuro Abbastanza sicuro Molto sicuro Del tutto sicuro Non so p. 9

10 FRANCIA. SICUREZZA ELEVATA, MA FANALINO DI CODA QUANTO A VALUTAZIONE A una prima analisi, le organizzazioni francesi appaiono certe della sicurezza dei propri siti Web. Tuttavia, man mano che si entra nel dettaglio, ammettono di non avere un idea precisa delle specifiche vulnerabilità, in quanto non conducono valutazioni della vulnerabilità. Un alto numero di organizzazioni francesi considera il proprio sito Web molto sicuro 42% 33% 52% 48% 23% 8% FR MEDIA FR MEDIA FR MEDIA MOLTO SICURO DEL TUTTO SICURO NON SO Un alto numero di organizzazioni francesi considera il proprio sito Web molto sicuro (il 42% rispetto a una media del 33%); un numero superiore alla media si colloca nel quartile superiore di coloro che si dicono molto o del tutto sicure (il 52% rispetto al 48%). Solo un numero esiguo di esse (l 8% rispetto a una media del 23%) afferma di non sapere quanto sia sicuro il proprio sito Web. Tuttavia, le organizzazioni francesi mostrano la percezione più elevata in cinque delle sei categorie di vulnerabilità, distinguendosi per la maggiore sensazione di incertezza tra i quattro paesi presi in esame. I rischi maggiormente percepiti sono il CSRF o Cross-Site Request Forgery (rispetto al quale il 34% delle organizzazioni si considera esposto o molto esposto), gli attacchi di forza bruta (32%) e le vulnerabilità delle autorizzazioni (28%). I numeri bassi riportati in ogni categoria indicano che c è molta incertezza circa la possibilità o meno che il proprio sito Web possa essere interessato dalla specifica vulnerabilità: l 8% o meno rispetto a una media del 30% negli altri paesi. La Francia si è distinta per il maggior numero di soggetti (quasi due terzi: il 64%) che hanno ammesso di non avere mai valutato la vulnerabilità, ma anche come secondo paese per più alto numero di organizzazioni (44%) che conducono valutazioni interne. Il 39% delle organizzazioni che hanno condotto valutazioni le ha ripetute ogni mese. Più di ogni altra, le organizzazioni francesi devono migliorare la raccolta di informazioni sulle specifiche vulnerabilità dei propri siti Web. Ammettono più delle altre di temere l esistenza di problemi della sicurezza. Le valutazioni le aiuteranno a quantificare questi timori o a confermare l impressione che i siti Web francesi sono più sicuri. p. 10

11 GERMANIA. LA CHIAVE È LA PREVENZIONE La Germania si distingue come il paese con il tasso di attività più elevato in termini di valutazione della vulnerabilità, nonché quello maggiormente informato circa la sicurezza dei propri siti Web. Le aziende tedesche hanno condotto il più alto numero di valutazioni nel mese precedente e negli ultimi sei e sono ultime nella classifica di quelle che non ne hanno mai condotta una VALUTAZIONI CONDOTTE DA TERZI VALUTAZIONI CONDOTTE INTERNAMENTE ANALISI AUTOMATIZZATE ALTRO 38% 69% 3% 14% Il paese mostra la maggiore percentuale di interpellati che considerano il proprio sito molto sicuro e più della media di quelli che ammettono di non sapere. Il 44% delle 50 organizzazioni esaminate ritiene il proprio sito molto sicuro, salendo al 56% se sommate al numero di quelle che lo considerano totalmente sicuro. Tuttavia, non è indifferente il numero (28% contro una media del 23% nei quattro paesi) di coloro che ammettono di non sapere quanto sia sicuro il proprio sito Web. Le aziende tedesche mostrano un grado di percezione piuttosto elevato circa la vulnerabilità dei propri siti, ma anche il numero più alto di Non so. In tre delle sei categorie (Cross Site Scripting, furto di informazioni e vulnerabilità delle autorizzazioni), sono quelle che più di ogni altra ammettono di ritenere probabile o molto probabile l emergere di una vulnerabilità. Tuttavia, nella categoria del Cross-Site Request Forgery, un cospicuo 60% ammette di non saper dire quanto sia probabile che il proprio sito ne venga interessato. In generale, ad ogni modo, il paese mostra un grado elevato di consapevolezza circa i rischi: un dato che non sorprende, visto che presenta il maggior numero di organizzazioni che hanno condotto valutazioni della vulnerabilità nel mese precedente (20%) e negli ultimi sei mesi (26%), nonché il minor numero di aziende che non ne ha mai condotto una rispetto agli altri mercati (42%). Nel totale, il 58% degli interpellati tedeschi ha condotto valutazioni nel corso dell ultimo anno, contro una media del 47% nei quattro paesi oggetto dell indagine. Le valutazioni vengono perlopiù eseguite internamente (69% contro una media del 44%). Le aziende tedesche mostrano anche il maggior numero di violazioni (16%, 8 interpellati) rispetto a quelle degli altri paesi. Dal sondaggio emerge un paese in generale meglio informato e più preparato rispetto agli altri del Nord Europa. Le rimanenti organizzazioni che non hanno mai condotto una valutazione dovranno recuperare il terreno perduto con le altre connazionali. p. 11

12 SVEZIA. NON SAPERE NON SEMPRE È UN PIACERE Contrariamente a quanto accade in Germania, le cui aziende appaiono bene informate, in Svezia le organizzazioni si distinguono per una scarsa consapevolezza dei rischi che corrono i propri siti Web. Le organizzazioni svedesi si collocano all ultimo posto tra quelle che considerano il proprio sito Web sicuro o del tutto sicuro (38%). La loro media è di 10 punti percentuali inferiore a quella complessiva del quartile superiore. Tuttavia, il 32% di esse, contro una media del 23% nei quattro paesi, ammette di non sapere quanto sia sicuro il proprio sito Web. Questa carenza di informazioni è confermata dall elevato numero di Non so ottenuti in risposta alla domanda sulla conoscenza o meno di specifiche vulnerabilità. In tre delle sei categorie (furto di informazioni, spoofing dei contenuti e vulnerabilità delle autorizzazioni), sono quelle che più di ogni altra ammettono di non sapere se i loro siti presentano vulnerabilità. Allo stesso tempo, la considerazione della probabilità delle varie vulnerabilità risulta piuttosto bassa, con il furto di informazioni ritenuto il più probabile dal 16%. La carenza di informazioni non sorprende: solo il 22% ha condotto una valutazione della vulnerabilità nel corso del mese precedente o degli ultimi sei mesi, il numero più basso nei quattro paesi esaminati. Superiore alla media è la percentuale (56%) di coloro che non hanno mai condotto una valutazione. Tra coloro che l hanno condotta, quasi un terzo (il 32% contro una media del 23%) non ha mai ripetuto il processo. Mancando delle necessarie informazioni, le aziende svedesi non sono in grado di quantificare la propria esposizione o adottare misure per contrastare gli specifici rischi che corrono. Pochi semplici accorgimenti, quali la scansione automatica, possono rimetterle in condizioni di colmare i gap. Solo il 22% delle aziende svedesi ha condotto una valutazione della vulnerabilità nel mese precedente o negli ultimi sei mesi 56% 12% 10% 22% NELL'ULTIMO MESE NEGLI ULTIMI 6 MESI NELL'ULTIMO ANNO MAI p. 12

13 COLMARE IL GAP DELLA VULNERABILITÀ L indagine condotta tra 200 organizzazioni del Nord Europa ha identificato una grave carenza di informazioni sulla sicurezza dei siti Web e sulle vulnerabilità cui sono soggetti. Ma qual è l impatto di questo gap informativo? E in che modo le organizzazioni cercano di colmarlo? Se, da una parte, un numero esiguo di interpellati ammette di aver subito violazioni della sicurezza e di non disporre di informazioni complete sui tipi di violazioni, molti di coloro che ne sono stati vittima riconoscono che l impatto è stato notevole. Il 9% delle organizzazioni interpellate (19) afferma di avere subito una violazione negli ultimi sei mesi. Le aziende di maggiori dimensioni si sono mostrate decisamente più disposte ad ammettere di aver subito violazioni negli ultimi sei mesi. Più di un quinto (21%) delle 58 aziende con più di dipendenti ha ammesso di essere stata vittima di violazioni. La scarsità di dati sulle violazioni non sorprende, in quanto la maggior parte di esse non viene segnalata o neppure rilevata. Lo schermo dei siti Web legittimi infetti dal malware - fenomeno sempre più diffuso e preoccupante - permette agli hacker di diffondere le vulnerabilità, sottrarre dati personali o persino condurre transazioni fraudolente senza essere notati dalle organizzazioni. Symantec, nel suo Report sulle minacce alla sicurezza dei siti Web, ha rilevato che il 61% dei siti dannosi era costituito in realtà da siti autentici che erano stati violati e infetti da malware. Le violazioni più gravi per gli interpellati sono state le vulnerabilità delle autorizzazioni, seguite dall intrusione e dallo spoofing dei contenuti. Tuttavia, sei organizzazioni hanno preferito non rivelare la natura della violazione più grave subita. In conclusione: quali sono gli strumenti per stabilire se il sito Web è stato violato o se presenta vulnerabilità critiche che potrebbero essere sfruttate dagli hacker? Se, per motivi di budget o strategici, si preferisce evitare di condurre una valutazione completa, con personale interno o di terzi, una scansione remota e automatizzata può rappresentare un ottimo punto di partenza per un processo efficace di individuazione delle vulnerabilità. Nel caso di Symantec, tale servizio viene offerto come accessorio gratuito con la maggior parte dei certificati SSL 9. La scansione consente di verificare l eventuale presenza di vulnerabilità critiche che possano consentire agli hacker la violazione dei siti per inocularvi malware e accedere ai dati riservati dei clienti. Inoltre, genera un report delle minacce corredato di indicazioni pratiche sulle misure correttive, dall aggiornamento del software e della sicurezza al miglioramento della consapevolezza e delle linee guida degli utenti. p. 13

14 RIFERIMENTI 1. Tutte le informazioni contenute nel presente report sono tratte dall indagine IDG Connect condotta nell ottobre 2012, per conto di Symantec, tra 200 professionisti IT in quattro paesi europei: Regno Unito, Francia, Germania e Svezia. 2. Internet Security Threat Report di Symantec 3/4/5. Download del report sulle minacce alla sicurezza dei siti Web, prima parte: Download del report sulle minacce alla sicurezza dei siti Web, seconda parte: 6. Tutte le informazioni contenute nel presente report sono tratte dall indagine IDG Connect condotta nell ottobre 2012, per conto di Symantec, tra 200 professionisti IT in quattro paesi europei: Regno Unito, Francia, Germania e Svezia. 7. Tra ottobre 2011 e la fine dell anno, Symantec ha rilevato che il 35,8% dei siti Web presentava almeno una vulnerabilità e il 25,3% almeno una di livello critico. Symantec Internet Security Threat Report, idem. 8. Symantec Internet Security Threat Report, idem. 9. Symantec offre valutazioni gratuite della vulnerabilità ai clienti dei certificati Extended Validation Secure Site Pro e Secure Site Pro. Tutti i certificati SSL Symantec e i prodotti Secured Seal danno diritto a una scansione anti-malware gratuita al giorno. p. 14

15 INFORMAZIONI SU SYMANTEC Le soluzioni Symantec per la sicurezza dei siti Web includono la crittografia SSL leader di settore, la gestione dei certificati, la valutazione della vulnerabilità e le ricerche giornaliere di malware. Il simbolo Norton Secured Seal e le funzionalità Seal-in-Search infondono fiducia nei suoi clienti durante tutte le fasi del processo di acquisto, dalla ricerca alla scelta fino alla transazione finale. Per ulteriori informazioni, visitare il sito Per ulteriori informazioni sulle valutazioni della vulnerabilità, visitare il sito Website Valutazione Security Della Threat Vulnerabilità Report 2013

16 SEGUICI Per informazioni sulle sedi locali e i relativi recapiti, visitare il sito Web Symantec. Per informazioni sui prodotti in Italia, chiamare: oppure Symantec Italia (Milano) Symantec SRL. Via Rivoltana 2/d Segrate (MI) Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, il logo con un segno di spunta e il logo Norton Secured sono marchi o marchi registrati di Symantec Corporation o delle sue affiliate negli Stati Uniti e in altri paesi. Altri nomi possono essere marchi dei rispettivi proprietari.