Un recente tweet ha riportato alla luce un problema tanto vecchio quanto preoccupante: oltre 511 mila istanze di Microsoft IIS risultano oggi fuori dal ciclo di vita ufficiale, e più di 227 mila di queste hanno superato persino il periodo di Extended Security Updates.
Numeri che non rappresentano soltanto una statistica tecnica, ma un segnale concreto di quanto l’obsolescenza tecnologica sia ancora un problema strutturale nell’infrastruttura digitale globale.
L’obsolescenza del software non è un evento improvviso, ma un processo graduale e spesso invisibile. I sistemi vengono implementati, funzionano correttamente per anni e finiscono per diventare parte integrante dei processi aziendali. Proprio questa continuità operativa porta molte organizzazioni a rimandare aggiornamenti critici, trasformando nel tempo piattaforme solide in elementi fragili e vulnerabili.
Advertising
Il caso dei server IIS evidenzia un fenomeno ben noto agli esperti di sicurezza: la stratificazione delle vulnerabilità. Ogni versione non aggiornata accumula nel tempo falle note, exploit pubblici e tecniche di attacco sempre più raffinate. Non si tratta più di singole vulnerabilità isolate, ma di veri e propri ecosistemi di rischio che si sovrappongono, rendendo questi sistemi bersagli estremamente appetibili per i malintenzionati. E poi su internet, il rischio non è davvero trascurabile.
Quando un software supera anche il periodo di supporto esteso, la situazione si aggrava ulteriormente. In questa fase, eventuali nuove vulnerabilità non vengono più corrette ufficialmente, lasciando le infrastrutture completamente esposte. Gli attaccanti, consapevoli di questa condizione, tendono a catalogare e monitorare questi sistemi, automatizzando scansioni e attacchi su larga scala.
Le conseguenze di questa mancata manutenzione non si limitano alla compromissione tecnica. Un server vulnerabile può diventare il punto di ingresso per attacchi più complessi, come ransomware, furti di dati o campagne di phishing su larga scala. In molti casi, una semplice mancata patch può trasformarsi in un incidente con impatti economici, reputazionali e legali significativi.
Un altro aspetto critico è la falsa percezione di sicurezza.
Molte organizzazioni ritengono che sistemi “stabili” siano automaticamente sicuri, ignorando il fatto che stabilità e sicurezza sono due concetti profondamente diversi. Un software può funzionare perfettamente dal punto di vista operativo e allo stesso tempo essere completamente esposto dal punto di vista della cybersecurity.
Advertising
Il problema è soprattutto culturale.
L’aggiornamento delle infrastrutture viene spesso visto come un costo e non come un investimento. Ed infatti lo è. Tuttavia, il prezzo dell’inazione è quasi sempre superiore: intervenire dopo una violazione comporta costi molto più elevati rispetto alla prevenzione, senza contare i danni indiretti difficilmente quantificabili.
Di fronte a questi numeri, emerge la necessità di un cambio di paradigma. La gestione del ciclo di vita del software deve diventare una priorità di business e non una semplice attività tecnica. Monitoraggio continuo, aggiornamenti regolari e politiche di dismissione dei sistemi obsoleti sono oggi elementi fondamentali per ridurre il rischio e garantire la resilienza digitale.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.