Che cos'è la gestione della superficie di attacco?

A differenza di altre discipline di cybersecurity, l'ASM è condotta interamente dal punto di vista dell'hacker, anziché dal punto di vista del difensore. Identifica gli obiettivi e valuta i rischi in base alle opportunità che offrono a un utente malintenzionato.

L'ASM si basa su molti degli stessi metodi e risorse utilizzati dagli hacker. Numerose attività e tecnologie ASM sono ideate ed eseguite da hacker etici che hanno familiarità con i comportamenti dei criminali informatici e sono abili nel replicarne le azioni.

La gestione della superficie di attacco esterna (EASM), una tecnologia ASM relativamente nuova, viene talvolta utilizzata in modo intercambiabile con ASM. Tuttavia, l'EASM si concentra specificamente sulle vulnerabilità e sui rischi presentati dagli asset IT esterni o con accesso a Internet di un'organizzazione, a volte indicati come la superficie di attacco digitale di un'organizzazione.

ASM affronta anche le vulnerabilità nelle superfici di attacco di ingegneria fisica e sociale di un'organizzazione, come insider malevoli o formazione inadeguata degli utenti finali nei confronti delle truffe di phishing.

La maggiore adozione del cloud, la trasformazione digitale e l'espansione del lavoro da remoto negli ultimi anni di un'azienda media hanno reso l'impronta digitale e la superficie di attacco più ampie, più distribuite e più dinamiche, con nuovi asset che si connettono quotidianamente alla rete dell'azienda.

I tradizionali processi di rilevamento degli asset, valutazione del rischio e gestione delle vulnerabilità, sviluppati quando le reti aziendali erano più stabili e centralizzate, non riescono a tenere il passo con la velocità con cui emergono nuove vulnerabilità e vettori di attacco nelle reti attuali. I test di penetrazione, ad esempio, possono verificare le vulnerabilità sospette in asset noti, ma non possono aiutare i team addetti alla sicurezza a individuare nuovi rischi informatici e vulnerabilità che emergono quotidianamente.

Ma il costante workflow di ASM e la prospettiva degli hacker consentono ai team addetti alla sicurezza e ai centri operativi per la sicurezza (SOC) di stabilire un livello di sicurezza proattivo di fronte a una superficie di attacco in costante morphing. Le soluzioni ASM forniscono visibilità in tempo reale sulle vulnerabilità e sui vettori di attacco man mano che emergono.

Possono attingere alle informazioni provenienti dagli strumenti e dai processi tradizionali di valutazione del rischio e di gestione delle vulnerabilità per un contesto più ampio durante l'analisi e la definizione delle priorità delle vulnerabilità. Possono inoltre integrarsi con le tecnologie di rilevamento e risposta alle minacce, tra cui la gestione delle informazioni e degli eventi di sicurezza (SIEM), il rilevamento e risposta degli endpoint (EDR) o il rilevamento e la risposta estesa (XDR), per migliorare la mitigazione delle minacce e accelerare la risposta alle minacce a livello aziendale.

L'ASM è costituita da quattro processi principali: scoperta, classificazione e definizione delle priorità, correzione e monitoraggio degli asset. Anche in questo caso, poiché le dimensioni e la forma della superficie di attacco digitale cambiano costantemente, i processi vengono eseguiti continuamente e le soluzioni ASM automatizzano questi processi quando possibile. L'obiettivo è preparare i team addetti alla sicurezza con un inventario completo e aggiornato degli asset esposti e accelerare la risposta alle vulnerabilità e alle minacce che presentano il rischio maggiore per l'organizzazione.

Il rilevamento degli asset consente di scansionare e individuare automaticamente e costantemente hardware, software e asset cloud connessi a Internet che potrebbero avere funzione di punti di ingresso per hacker o criminali informatici che tentano di attaccare un'organizzazione. Questi asset possono includere:

• Asset noti: tutte le infrastrutture e le risorse IT di cui l'organizzazione è a conoscenza e che gestisce attivamente come router, server, dispositivi aziendali o di proprietà privata (PC, laptop, dispositivi mobili), dispositivi IoT, directory utente, applicazioni distribuite on-premise e nel cloud, siti web e database proprietari.
  
  
• Asset sconosciuti: attività "non inventariate" che utilizzano le risorse di rete senza che il team IT o addetto alla sicurezza ne sia a conoscenza. Lo shadow IT, hardware o software distribuito sulla rete senza approvazione e/o supervisione amministrativa ufficiale, è il tipo più comune di asset sconosciuto. Esempi di shadow IT includono siti web personali, applicazioni cloud e dispositivi mobili non gestiti che utilizzano la rete dell'organizzazione. L'informatica orfana, ovvero vecchi software, siti web e dispositivi non più in uso che non sono stati ritirati correttamente, è un altro tipo comune di asset sconosciuto.
  
  
• Asset di fornitori o terze parti: asset che l'organizzazione non possiede, ma che fanno parte dell'infrastruttura IT o della supply chain digitale dell'organizzazione. Questi includono applicazioni software-as-a-service (SaaS), API, asset di cloud pubblico o servizi di terze parti utilizzati all'interno del sito web dell'organizzazione.
  
  
• Asset di filiali: qualsiasi asset noto, sconosciuto o di terze parti che appartiene alle reti di filiali di un'organizzazione. A seguito di una fusione o acquisizione, questi asset potrebbero non venire immediatamente all'attenzione dei team IT e addetto alla sicurezza dell'organizzazione madre.
  
  
• Asset dannosi o non autorizzati: asset che gli attori delle minacce creano o rubano per prendere di mira l'azienda. Questo può includere un sito web di phishing che si spaccia per il marchio di un'azienda o dati sensibili rubati come parte di una violazione dei dati condivisi sul dark web.

Una volta individuati, gli asset vengono classificati, analizzati per individuare le vulnerabilità e vengono assegnate le priorità in base alla loro "attaccabilità", fondamentalmente una misura oggettiva della probabilità che tali asset vengano presi di mira da hacker.

Gli asset vengono inventariati in base all'identità, all'indirizzo IP, alla proprietà e alle connessioni con gli altri asset dell'infrastruttura IT. Vengono analizzati alla ricerca di eventuali esposizioni, le cause di tali esposizioni (ad esempio configurazioni errate, errori di codifica, patch mancanti) e i tipi di attacchi che gli hacker potrebbero portare avanti attraverso queste esposizioni (ad esempio, rubare dati sensibili, diffondere ransomware o altri malware). 

Successivamente, alle vulnerabilità vengono assegnate priorità per la correzione. L'assegnazione delle priorità è un esercizio di valutazione del rischio: in genere, a ogni vulnerabilità viene assegnata una valutazione di sicurezza o un punteggio di rischio in base a

• Informazioni raccolte durante la classificazione e l'analisi.
  
  
• Dati provenienti da feed di threat intelligence (proprietari e open source), servizi di valutazione della sicurezza, dal dark web e da altre fonti su quanto siano visibili le vulnerabilità per gli hacker, quanto siano facili da sfruttare, come sono state sfruttate, ecc.
  
  
• Risultati delle attività di gestione delle vulnerabilità e di valutazione del rischio di sicurezza dell'organizzazione. Una di queste attività, chiamata red teaming, è fondamentalmente un test di penetrazione dal punto di vista dell'hacker (e spesso condotto da hacker etici interni o di terze parti). Invece di testare le vulnerabilità note o sospette, i red teamer testano tutti gli asset che un hacker potrebbe tentare di sfruttare.

In genere, le vulnerabilità vengono risolte in ordine di priorità. Questo può comportare:

• Applicare controlli di sicurezza appropriati all'asset in questione, come ad esempio applicare patch del software o del sistema operativo, eseguire il debug del codice dell'applicazione, implementare una crittografia dei dati più forte.
  
  
• Mettere sotto controllo asset precedentemente sconosciuti, stabilire standard di sicurezza per l'IT non gestito, ritirare in modo sicuro l'IT orfano, eliminare gli asset non autorizzati, integrare gli asset di filiali nella strategia, nelle politiche e nei workflow dell'organizzazione in materia di cybersecurity.

La correzione può anche comportare misure trasversali più ampie per affrontare le vulnerabilità, come l'implementazione di un accesso con privilegi minimi o l'autenticazione a più fattori (MFA).

Poiché i rischi per la sicurezza nella superficie di attacco dell'organizzazione cambiano ogni volta che vengono distribuiti nuovi asset o se gli asset esistenti vengono distribuiti in un modo nuovo, sia gli asset inventariati della rete sia la rete stessa vengono costantemente monitorati e analizzati alla ricerca di eventuali vulnerabilità. Il monitoraggio costante consente all'ASM di rilevare e valutare nuove vulnerabilità e vettori di attacco in tempo reale e di avvisare i team addetti alla sicurezza di eventuali nuove vulnerabilità che richiedono attenzione immediata.