VPN troppo rischiose, 2 aziende su 3 pensano di sostituirle entro l’anno

Secondo un’indagine Zscaler, il 92% delle imprese teme attacchi ransomware per le vulnerabilità VPN e l’81% adotterà una strategia Zero Trust entro un anno

A cura della redazione A cura della redazione

in: Dal Mercato | Posizione 1.

argomenti trattati: | .

Il mantenimento della sicurezza e della conformità rappresenta la sfida più importante (56%) per le aziende che ancora utilizzano le VPN. Il 92% di esse è preoccupato che le vulnerabilità persistenti delle VPN porteranno ad attacchi ransomware, il 65% prevede di sostituire le proprie VPN entro l’anno, mentre l’81% punta ad adottare una strategia Zero Trust pervasiva.

Sono i principali risultati del ThreatLabz report 2025 sui rischi legati alle VPN, commissionato da Zscaler a Cybersecurity Insiders, che mette in evidenza le diffuse criticità legate alla sicurezza, all’esperienza utente e alla gestione operativa dei servizi VPN, sulla base di un sondaggio condotto su oltre 600 professionisti IT e della sicurezza.

Progettate per l’accesso da remoto, oggi le VPN secondo Zscaler rappresentano un punto debole per le reti aziendali, esponendo alle minacce asset IT e dati sensibili a causa di accessi con privilegi eccessivi, vulnerabilità e una superficie d’attacco in espansione.

Le VPN, sia fisiche che virtuali, sono l’opposto dell’approccio Zero Trust, sostiene Zscaler, poiché portano gli utenti remoti (e quindi anche i potenziali criminali) all’interno della rete. Inoltre, le VPN ostacolano l’efficienza operativa a causa di prestazioni lente, frequenti problemi di connessione e manutenzione complessa, generando carichi aggiuntivi per i team IT e minando la produttività degli utenti. Il report contiene approfondimenti di esperti del settore, e una guida per mettere in sicurezza gli accessi negli attuali ambienti di lavoro ibridi.

L’AI per individuare velocemente le vulnerabilità

Nell’indagine i rischi per la sicurezza e la conformità risultano la principale criticità legata alle VPN (54%), confermando la crescente percezione che le VPN siano inadeguate e ormai superate per proteggere dalle minacce informatiche moderne. I criminali informatici sfruttano l’intelligenza artificiale per identificare le vulnerabilità, utilizzando modelli GPT per eseguire query su potenziali debolezze nei prodotti VPN – ad esempio, chiedendo direttamente a un chatbot di IA generativa l’elenco completo delle vulnerabilità CVE associate ai prodotti VPN utilizzati da un’azienda. Attività che in passato richiedevano settimane o mesi, oggi possono essere completate in pochi minuti.

Un sorprendente 92% dei partecipanti al sondaggio ha dichiarato di temere attacchi ransomware legati a vulnerabilità VPN non ancora corrette.

“I criminali informatici sfrutteranno sempre di più l’IA per attività automatizzate di ricognizione, attacchi intelligenti di password spray e sviluppo veloce di exploit, compromettendo le VPN su larga scala,” ha dichiarato Deepen Desai, CSO di Zscaler. “Per contrastare questi rischi, le aziende dovrebbero adottare un approccio Zero Trust pervasivo. Così facendo si elimina la necessità di esporre asset a Internet, come le VPN fisiche o virtuali, riducendo drasticamente la superficie di attacco e l’impatto potenziale delle violazioni”.

L’analisi dei CVE relativi alle VPN

Per comprendere come gli attaccanti sfruttino le vulnerabilità delle VPN connesse a Internet, ThreatLabz ha analizzato i CVE relativi alle VPN dal 2020 al 2025, utilizzando i dati del MITRE CVE Program. In generale, la segnalazione tempestiva delle vulnerabilità è positiva, visto che la rapida divulgazione e correzione del problema consente al settore di migliorare l’integrità informatica, favorisce la collaborazione della community e accelera la risposta a nuove minacce.

Nel periodo analizzato, i CVE relativi alle VPN sono aumentati dell’82,5%. Nell’ultimo anno, circa il 60% delle vulnerabilità segnalate ha ottenuto un punteggio CVSS alto o critico. Inoltre, ThreatLabz ha rilevato che le vulnerabilità di esecuzione di codice da remoto (RCE) sono le più diffuse, in termini di impatto o capacità che possono concedere ai criminali. Questi tipi di vulnerabilità sono in genere gravi, poiché possono consentire agli hacker di eseguire codice arbitrario sul sistema. La maggior parte delle CVE relative alle VPN lascia i propri clienti vulnerabili a exploit critici che i malintenzionati possono sfruttare.

Il 93% si preoccupa delle vulnerabilità backdoor

Le VPN forniscono un ampio accesso dopo l’autenticazione, estendendo l’accesso degli utenti a consulenti, partner esterni e fornitori. I criminali informatici possono facilmente sfruttare credenziali deboli o rubate, errori di configurazione e vulnerabilità non corrette per violare queste connessioni fidate. Il report mostra che il 93% delle aziende ora si preoccupa delle vulnerabilità backdoor derivanti dall’accesso di terzi. Nel febbraio 2024, una società di servizi finanziari ha subito una violazione dei dati che ha esposto le informazioni personali di quasi 20.000 clienti, causata da vulnerabilità nella loro VPN.

Adottare un’architettura Zero Trust pervasiva

I fornitori legacy o tradizionali stanno tentando di adattarsi al panorama in evoluzione implementando macchine virtuali nel cloud ed etichettandole come soluzioni Zero Trust. Sfortunatamente, sottolinea Zscaler, una VPN ospitata nel cloud rimane una VPN, e non aderisce ai veri principi Zero Trust. Se un asset è accessibile da Internet, è sempre potenzialmente violabile; ecco perché, da un punto di vista architetturale, la tecnologia VPN basata su cloud non potrà mai raggiungere i veri principi Zero Trust, indipendentemente dal marchio.

Il passaggio a un’architettura Zero Trust olistica sta velocemente sostituendo i vecchi strumenti di sicurezza legacy grazie ai comprovati vantaggi in termini di sicurezza e ai guadagni di efficienza per le aziende che la adottano. Il report ha rilevato che l’81% delle aziende sta adottando, o prevede di adottare, un’architettura Zero Trust entro il prossimo anno.

Estendendo questa architettura a utenti, applicazioni e workload, le aziende secondo Zscaler si assicurano che l’approccio Zero Trust sia veramente pervasivo per una sicurezza resiliente, senza VPN, che:

Riduce la superficie di attacco: sostituisce l’accesso basato sulla rete con policy Zero Trust e controlli basati sull’identità per proteggere utenti e terze parti.
Blocca le minacce: previene la violazione iniziale attraverso un’autenticazione forte, la sicurezza delle identità e l’accesso Zero Trust con il principio del minimo privilegio.
Previene i movimenti laterali: impiega la segmentazione Zero Trust per contenere le minacce e bloccare la diffusione non autorizzata all’interno delle reti.
Migliora la protezione dei dati: applica policy Zero Trust integrate e sensibili al contesto per proteggere le informazioni sensibili.
Semplifica le operazioni: sostituisce le VPN con sicurezza basata sull’IA, monitoraggio continuo e applicazione automatizzata delle policy, oltre a un accesso ininterrotto con continuità operativa.

A cura della redazione

Office Automation è da 38 anni il mensile di riferimento e canale di comunicazione specializzato nell'ICT e nelle soluzioni per il digitale, promotore di convegni e seminari che si rivolge a CIO e IT Manager e ai protagonisti della catena del val...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 200

Officelayout

Progettare arredare gestire lo spazio ufficio
Gennaio-Marzo
N. 200

Abbonati
Innovazione.PA n. 59

innovazione.PA

La Pubblica Amministrazione digitale
Gennaio-Febbraio
N. 59

Abbonati
Executive.IT n.1 2025

Executive.IT

Da Gartner strategie per il management d'impresa
Gennaio-Febbraio
N. 1

Abbonati