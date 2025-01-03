Le configurazioni errate rimangono un punto di compromesso molto diffuso, e i router sono in prima linea.
Secondo i dati di un recente sondaggio, l'86% dei rispondenti non ha mai cambiato la password di amministratore del router e il 52% non ha mai modificato le impostazioni di fabbrica. Questo mette gli autori degli attacchi nella posizione ideale per compromettere le reti aziendali. Perché dedicare tempo e fatica alla creazione di e-mail di phishing e al furto dei dati del personale, quando si può accedere a dispositivi ritenuti sicuri usando "admin" e "password" come credenziali?
È il momento di guardare in faccia la realtà dei router.
I router consentono a più dispositivi di utilizzare la stessa connessione Internet. Realizzano questo obiettivo indirizzando il traffico: i dispositivi interni vengono instradati lungo il percorso più efficiente verso i servizi rivolti all'esterno e i dati in arrivo vengono inviati all'endpoint appropriato.
Se gli autori degli attacchi riescono a compromettere i router, possono controllare sia ciò che esce che ciò che entra nella tua rete. Questo introduce rischi come:
La natura degli attacchi ai router li rende anche difficili da rilevare. Questo perché i criminali informatici non forzano l'accesso ai router e non seguono procedure complicate per eludere le difese di sicurezza. Sfruttano piuttosto i punti deboli trascurati per accedere direttamente ai router, riuscendo a non attirare l'attenzione.
Prendiamo in considerazione un router con "admin" come login e nessuna password. Alcune semplici ipotesi permettono agli aggressori di entrare nelle impostazioni del router senza innescare una risposta di sicurezza, poiché non hanno violato un servizio di rete o compromesso un'applicazione. Invece, hanno effettuato l'accesso ai router nello stesso modo del personale e dei team IT.
Le aziende riconoscono la necessità di una cybersecurity affidabile. Secondo Gartner, nel 2025 la spesa per la sicurezza informatica crescerà del 15%, raggiungendo i 212 miliardi di dollari. Le aree di investimento comuni includono le piattaforme di protezione degli endpoint (EPP), il rilevamento e risposta degli endpoint (EDR) e l'Integrazione dell'AI generativa (gen AI). Tuttavia, i router vengono spesso trascurati.
L'89% dei rispondenti, ad esempio, non ha mai aggiornato il firmware del proprio router. La stessa percentuale non ha mai cambiato il nome predefinito della propria rete e il 72% non ha mai cambiato la password del Wi-Fi.
Questo dati sono problematici. Un recente report ha rilevato che le immagini firmware popolari dei router OT/IoT erano obsolete e contenevano vulnerabilità N-day sfruttabili. Il report ha rilevato che, in media, i componenti open source avevano più di cinque anni ed erano indietro di quattro anni rispetto all'ultima versione.
Come osservato da GovTech, nel frattempo, un attacco contro un'azienda idrica della zona di Pittsburgh ha avuto successo in parte perché la password predefinita della sua rete era "1111". Altre password comuni sono "password" e "123456", e in alcuni casi i router non hanno alcun tipo di password. Tutto ciò di cui gli aggressori hanno bisogno sono le credenziali di accesso, spesso corrispondente ad "admin", per avere pieno accesso alle funzioni del router.
Ancora più significativo è il fatto che la sicurezza dei router sta peggiorando, non migliorando. Considera che nel 2022 il 48% dei rispondenti ha dichiarato di non aver modificato le impostazioni del proprio router e il 16% non ha mai cambiato la password di amministratore. Nel 2024, oltre il 50% dei router funzionava ancora con le impostazioni di fabbrica, e solo il 14% aveva cambiato password.
Spendendo di più in strumenti di sicurezza ma senza modificare le configurazioni predefinite o aggiornare il firmware del router, le aziende chiudono le porte ma lasciano le finestre spalancate.
Quindi, come possono le aziende ridurre al minimo il rischio di errori di configurazione?
Si parte dalle basi: cambiare regolarmente le password, aggiornare il firmware e assicurarsi che i router non vengano lasciati alle impostazioni di fabbrica. Semplice? Certo. Comune? Da quello che dicono i dati del sondaggio, non proprio.
In parte, il divario tra i rischi dei router e la realtà della sicurezza deriva dall'enorme volume di attacchi informatici. Ad esempio, nel 2023 il 94% delle aziende è stata colpita da attacchi di phishing e, come evidenziato dal Report Cost of a Data Breach di IBM® del 2024, il costo medio di una violazione dei dati è ora di 4,88 milioni di dollari, in aumento del 10% rispetto al 2023 e il più alto mai registrato. Questo mette i team di cybersecurity sulla difensiva e in massima allerta per i comuni vettori di attacco come il phishing, lo smishing e l'uso di applicazioni "shadow IT" che non sono state controllate o approvate.
Di conseguenza, i router possono sfuggire ai controlli. Il primo passo per risolvere questo problema è creare un programma regolare di aggiornamenti. Ogni quattro o sei mesi, programma un controllo del router, inseriscilo in un calendario condiviso e assicurati che tutto il personale addetto alla sicurezza sappia che verrà effettuato. Quando arriva il giorno designato, aggiorna il firmware dove possibile e cambia i dettagli di accesso e password. Vale anche la pena stabilire un programma settimanale per controllare il traffico del router alla ricerca di comportamenti strani o richieste di accesso impreviste.
Sebbene una buona igiene informatica di base contribuisca a ridurre il rischio di attacchi al router, rafforzare la sicurezza richiede un approccio più approfondito.
Il primo passo è trovare e mettere in sicurezza ogni router della tua rete. Data la natura sempre più complessa delle reti aziendali, il modo più semplice per raggiungere questo obiettivo è utilizzare l'automazione. Soluzioni come IBM SevOne Automated Network Observability forniscono modelli di workflow precostituiti per i team IT per identificare dispositivi connessi, raccogliere dati sulle prestazioni e prendere decisioni basate sui dati.
Le aziende devono anche considerare cosa succede quando si verifica una compromissione del router. Nonostante gli sforzi profusi dai team di sicurezza, il crescente numero di endpoint fa sì che sia solo questione di tempo prima che gli aggressori riescano a trovare router non protetti o eludere le difese esistenti.
Una risposta efficace richiede una gestione efficace degli incidenti. Soluzioni come IBM Instana offrono visibilità full-stack, granularità di un secondo e tre secondi per le notifiche, fornendo ai team le informazioni necessarie al momento giusto per ridurre i rischi di sicurezza.
In conclusione, il mancato monitoraggio e aggiornamento delle impostazioni del router lascia le aziende vulnerabili alle minacce. Per risolvere il problema, i team hanno bisogno di una verifica del router. Combinando best practice di igiene della sicurezza con soluzioni di automazione intelligente, le aziende possono mantenere gli utenti non autorizzati dove devono essere: all'esterno delle reti protette.
