Che cos'è una superficie di attacco?

Poiché le organizzazioni adottano sempre più cloud service e modelli di lavoro ibridi (on-premise/lavoro da casa), le loro reti e le superfici di attacco associate diventano ogni giorno più grandi e complesse. Secondo The State of Attack Surface Management 2022 di Randori, il 67% delle organizzazioni ha visto crescere le proprie superfici di attacco negli ultimi due anni. 

Gli esperti di sicurezza dividono la superficie di attacco in tre sottoinsiemi: la superficie di attacco digitale, la superficie di attacco fisica e la superficie di attacco di social engineering.

La superficie di attacco digitale espone potenzialmente il cloud e l'infrastruttura locale dell'organizzazione a qualsiasi hacker con una connessione internet. I vettori di attacco comuni nella superficie di attacco digitale di un'organizzazione includono:

1. Password deboli
2. Configurazioni errate
3. Vulnerabilità del software, del sistema operativo e del firmware
4. Risorse con accesso a internet
5. Database e directory condivisi
6. Dispositivi, dati o applicazioni obsoleti
7. Shadow IT

• Password deboli: le password facili da indovinare o da decifrare tramite attacchi di brute force aumentano il rischio che i criminali informatici possano compromettere gli account utente per accedere alla rete, rubare informazioni sensibili, diffondere malware e danneggiare in altro modo l'infrastruttura. Secondo il report Cost of a Data Breach 2025 di IBM, le credenziali compromesse sono coinvolte nel 10% delle violazioni.
   

• Configurazioni errate: le porte di rete, i canali, i punti di accesso wireless, i firewall o i protocolli configurati in modo improprio fungono da punti di ingresso per gli hacker. Gli attacchi man-in-the-middle, ad esempio, sfruttano le debolezze dei protocolli di crittografia sui canali di transito dei messaggi per intercettare le comunicazioni tra i sistemi.
   

• Vulnerabilità di software, sistema operativo e firmware: hacker e criminali informatici possono sfruttare errori di codifica o implementazione in app, sistemi operativi e altri software o firmware di terze parti per infiltrarsi nelle reti, accedere agli elenchi degli utenti o installare malware. Ad esempio, nel 2021, i criminali informatici hanno sfruttato un difetto nella piattaforma VSA (Virtual Storage Appliance) di Kaseya per distribuire un ransomware, camuffato da aggiornamento software, ai clienti di Kaseya.
   

• Asset connessi a Internet: le applicazioni web, i server web e altre risorse connesse alla rete internet pubblica sono intrinsecamente vulnerabili agli attacchi. Ad esempio, gli hacker possono iniettare codice dannoso in application programming interface (API) non protette, inducendole a divulgare o addirittura a distruggere in modo improprio le informazioni sensibili nei database associati.
   

• Database e directory condivisi: gli hacker possono sfruttare database e directory condivisi tra sistemi e dispositivi per ottenere l'accesso non autorizzato a risorse sensibili o lanciare attacchi ransomware. Nel 2016, il ransomware Virlock si è diffuso infettando cartelle di file collaborative a cui accedevano più dispositivi.
   

• Dispositivi, dati o applicazioni obsoleti o non aggiornati: la mancata coerenza nell'applicazione di aggiornamenti e patch crea rischi per la sicurezza. Un esempio notevole è il ransomware WannaCry, che si è diffuso sfruttando una vulnerabilità del sistema operativo Microsoft Windows per la quale era disponibile una patch. Allo stesso modo, quando gli endpoint, i set di dati, gli account utente e le app obsoleti non vengono disinstallati o eliminati, creano vulnerabilità non monitorate che i criminali informatici possono facilmente sfruttare.
   

• Shadow IT: lo shadow IT è l'insieme di software, hardware o dispositivi, app gratuite o popolari, dispositivi di storage portatili o dispositivi mobili personali non protetti, che i dipendenti utilizzano all'insaputa o senza l'approvazione del reparto IT. Poiché non è monitorato dai team IT o di sicurezza, lo shadow IT può introdurre gravi vulnerabilità che gli hacker possono sfruttare.

La superficie di attacco fisica espone risorse e informazioni generalmente accessibili solo agli utenti con accesso autorizzato all'ufficio fisico o ai dispositivi endpoint dell'organizzazione (server, computer, laptop, dispositivi mobili, dispositivi IoT o hardware operativo).

• Insider malevoli: i dipendenti malintenzionati o altri utenti scontenti verso l'azienda o corrotti possono utilizzare i loro privilegi di accesso per rubare dati sensibili, disabilitare i dispositivi, installare malware o peggio.
   

• Furto di dispositivi: i criminali possono rubare i dispositivi endpoint o accedervi mediante effrazione nei locali di un'organizzazione. Dopo essere entrati in possesso dell'hardware, gli hacker possono accedere ai dati e ai processi memorizzati su questi dispositivi, per poi utilizzare l'identità e le autorizzazioni del dispositivo per accedere ad altre risorse di rete. Gli endpoint utilizzati dai lavoratori remoti, i dispositivi personali dei dipendenti e i dispositivi smaltiti in modo improprio sono tipici obiettivi di furto.
   

• Adescamento: l'adescamento è un attacco in cui gli hacker lasciano unità USB infette da malware in luoghi pubblici, sperando di indurre gli utenti a collegarle ai propri computer e a scaricare involontariamente il malware.

Il social engineering manipola le persone inducendole a commettere errori che compromettono gli asset personali o organizzativi o la loro sicurezza in vari modi, tra cui:

• condividendo informazioni che non dovrebbero condividere
• scaricando software che non dovrebbero scaricare
• visitando siti web che non dovrebbero visitare
• inviando denaro ai criminali

Poiché sfrutta le debolezze umane piuttosto che le vulnerabilità tecniche o digitali del sistema, il social engineering viene talvolta chiamato "hacking umano".

La superficie di attacco di social engineering di un'organizzazione equivale essenzialmente al numero di utenti autorizzati poco preparati o altrimenti vulnerabili agli attacchi.

Il phishing è il vettore di attacco di social engineering più noto e più aggiornato. Secondo il report Cost of a Data Breach 2025 di IBM, il phishing è la causa più comune di violazioni dei dati.

In un attacco di phishing, i truffatori inviano e-mail, SMS messaggi vocali che tentano di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software intenzionalmente dannoso, trasferire denaro o asset alla persona sbagliata o intraprendere altre azioni dannose. I truffatori creano messaggi di phishing per far sembrare che provengano da un'organizzazione o una persona affidabile o credibile, come un famoso rivenditore, un'organizzazione governativa o, a volte, anche una persona che il destinatario conosce personalmente.

La gestione della superficie di attacco (ASM) si riferisce a processi e tecnologie che adottano il punto di vista e l'approccio di un hacker alla superficie di attacco di un'organizzazione, scoprendo e monitorando continuamente gli asset e le vulnerabilità che gli hacker vedono e tentano di sfruttare quando prendono di mira l'organizzazione. L'ASM in genere comporta:

Rilevazione continua, inventario e monitoraggio di risorse potenzialmente vulnerabili. Qualsiasi iniziativa ASM inizia con un inventario completo e continuamente aggiornato delle risorse IT con accesso a internet di un'organizzazione, comprese le risorse on-premise e cloud. L'adozione di un approccio hacker garantisce la scoperta non solo delle risorse note, ma anche di applicazioni o dispositivi shadow IT. Queste applicazioni o dispositivi potrebbero essere stati dismessi ma non eliminati o disattivati (orphaned IT), oppure risorse che vengono installate da hacker o malware (rogue IT) e altro ancora. In buona sostanza, possono essere tutte le risorse sfruttabili da un hacker o da una minaccia informatica.

Una volta scoperti, gli asset vengono monitorati continuamente e in tempo reale per individuare i cambiamenti che ne aumentano il rischio come potenziale vettore di attacco.

Analisi della superficie di attacco, valutazione del rischio e definizione delle priorità. Le tecnologie ASM valutano gli asset in base alle vulnerabilità e ai rischi per la sicurezza che presentano, e assegnano loro priorità per la risposta o la correzione delle minacce.

Riduzione e correzione della superficie di attacco. I team di sicurezza possono applicare i risultati dell'analisi della superficie di attacco e del red teaming per intraprendere varie azioni a breve termine per ridurre la superficie di attacco. Queste potrebbero includere l'applicazione di password più complesse, la disattivazione di applicazioni e dispositivi endpoint non più in uso, l'applicazione di patch per applicazioni e sistemi operativi, la formazione degli utenti a riconoscere le truffe di phishing, l'istituzione di controlli di accesso biometrici per l'accesso agli uffici o la revisione dei controlli e delle politiche di sicurezza relativi ai download di software e ai supporti rimovibili.

Le organizzazioni possono anche adottare misure di sicurezza più strutturate o a lungo termine per ridurre la superficie di attacco, come parte o indipendentemente da un'iniziativa di gestione della superficie di attacco. Ad esempio, l'implementazione dell'autenticazione a due fattori (2FA) o dell'autenticazione a più fattori può ridurre o eliminare potenziali vulnerabilità associate a password deboli o a un'igiene di password inadeguata.

Su scala più ampia, un approccio alla sicurezza zero-trust può ridurre significativamente la superficie di attacco di un'organizzazione. Un approccio zero-trust richiede che tutti gli utenti, sia all'esterno sia già all'interno della rete, siano autenticati, autorizzati e costantemente convalidati per ottenere e mantenere l'accesso alle applicazioni e ai dati. I principi e le tecnologie zero-trust (convalida continua, accesso con privilegi minimi, monitoraggio continuo, microsegmentazione della rete) possono ridurre o eliminare molti vettori di attacco e fornire dati preziosi per l'analisi continua della superficie di attacco.