Le vulnerabilità sono uno degli elementi cardine negli incidenti di sicurezza e, insieme ad altre minacce come exploit e malware, costituiscono un rischio continuo. Nel 2017 il numero di vulnerabilità segnalate ha raggiunto il suo picco storico, spazzando via i record registrati negli anni precedenti: ne sono infatti state registrate 14.600, rispetto alle 6.447 del 2016. Non solo, ma anche il numero di vulnerabilità identificate come critiche è cresciuto in maniera esponenziale nell'anno appena concluso.

Secondo gli esperti di ESET, il più grande produttore di software per la sicurezza informatica dell’Unione europea, è del tutto naturale che questo tipo di minaccia aumenti, dato il trend che vede i software sempre più numerosi e pervasivi: basta pensare al numero di app che un utente medio aveva sullo smartphone nel 2016, a quelle che ha aggiunto nel 2017 e a quelle che ha oggi. Il software aumenta, si diffonde e viene utilizzato per fare sempre più cose mentre i siti web dipendono sempre più da script e da plug-in di terze parti. Ogni singolo programma o app può essere vulnerabile e ogni singolo aggiornamento può portare nuove vulnerabilità.

Aumento esponenziale delle vulnerabilità segnalate nel 2017

Secondo CVE Details, nel 2017 il totale di queste falle nella sicurezza è più che raddoppiato, con un aumento del 120% da un anno all'altro.

È importante sottolineare che l'aumento potrebbe essere addirittura superiore, in quanto questi dati non includono le vulnerabilità zero-day, utilizzate “in-the-wild”, quindi senza che produttori o utenti ne siano a conoscenza.

Guardando i risultati di questi record, è anche importante sottolineare che nel 2017 sono state segnalate una media di 40 vulnerabilità al giorno, rispetto alle “sole” 17 registrate durante il 2016.

 

Aumentano anche le vulnerabilità di gravità elevata e critica

La gravità delle vulnerabilità è determinata sulla base di vari fattori, come il loro impatto sulla riservatezza, integrità o disponibilità dei dati, nonché sul tipo di vettore di attacco sfruttato, la complessità dell'attacco, i privilegi richiesti o qualsiasi interazione con l'utente.

Sulla base alle classificazioni di gravità del sistema di punteggio della vulnerabilità comune (CVSS), secondo il National Vulnerability Database (NVD) nel 2017 il numero delle vulnerabilità considerate elevate e critiche è aumentato considerevolmente.

Le vulnerabilità considerate critiche sono cresciute significativamente negli ultimi 5 anni, passando dallo 0 (zero) registrato nel 2013, a 2.070 alla fine dell'anno scorso, raddoppiando di numero rispetto al 2016.

Per quanto riguarda le vulnerabilità considerate elevate, anche in questo caso il livello di crescita è stato considerevole, passando da 2.470 nel 2016 a oltre 4.100 alla fine del 2017, con un aumento di oltre il 60%.

Si nota dunque un significativo aumento del numero di vulnerabilità segnalate negli ultimi mesi, insieme ad un ulteriore aumento di quelle considerate alte e critiche. Tutto sommato, possiamo dichiarare il 2017 l'anno delle vulnerabilità! ESET Italia non può che raccomandare l’aggiornamento costante dei sistemi operativi e dei software installati così da poter arginare qualsiasi tentativo di sfruttarne le falle, e l’utilizzo di strumenti di sicurezza efficaci che comprendano un controllo dei protocolli di comunicazione.