Cos'è una superficie di attacco?

Una superficie di attacco è l'insieme delle vulnerabilità di un'organizzazione a un attacco informatico.

Persona seduta a una scrivania per ufficio che utilizza un computer portatile
Cos'è una superficie di attacco?

Una superficie di attacco è l'insieme di vulnerabilità, percorsi o metodi, a volte chiamati vettori di attacco, che gli hacker possono utilizzare per ottenere l'accesso non autorizzato alla rete o ai dati sensibili, o per compiere un attacco informatico.

Con la crescente adozione da parte delle organizzazioni di servizi cloud e modelli di lavoro ibrido (on-premise/lavoro da casa), le reti e le relative superfici di attacco diventano ogni giorno sempre più grandi e complesse. Secondo il report di Randori The State of Attack Surface Management 2022  (link esterno a ibm.com)(Randori è una società controllata di IBM Corp.), il 67% delle organizzazioni ha visto espandere le proprie superfici di attacco negli ultimi due anni. L'analista di settore Gartner ha definito l'espansione della superficie di attacco come la principale tendenza per la sicurezza e la gestione dei rischi per il 2022 (link esterno a ibm.com).

Gli esperti di sicurezza suddividono la superficie di attacco in tre sottosuperfici: la superficie di attacco digitale, la superficie di attacco fisica e la superficie di attacco di ingegneria sociale.


Superficie di attacco digitale

La superficie di attacco digitale espone potenzialmente il cloud dell'organizzazione e l'infrastruttura on-premise a qualsiasi hacker che dispone di una connessione internet. I vettori di attacco più comuni nella superficie di attacco digitale di un'organizzazione includono:

  • Password vulnerabili: le password semplici da ricordare, o facili da decifrare tramite attacchi di tipo brute-force, aumentano il rischio che un criminale informatico possa compromettere gli account utente per accedere alla rete, sottrarre informazioni sensibili, diffondere malware e persino recare danni all'infrastruttura. Secondo il Cost of a Data Breach Report 2021 di IBM, le credenziali violate sono state il vettore di attacco iniziale più comunemente utilizzato nel 2021.

  • Errori di configurazione: porte di rete, canali, access point della rete wireless, firewall o protocolli configurati in modo non corretto costituiscono i punti di ingresso per gli hacker. Gli attacchi Man-In-the-Middle (MITM), ad esempio, sfruttano la debolezza dei protocolli di crittografia sui canali utilizzati per trasferire i messaggi per intercettare le comunicazioni tra i sistemi.

  • Vulnerabilità nel software, nel sistema operativo e nel firmware: gli hacker e i criminali informatici possono trarre vantaggio dagli errori di implementazione o codifica nelle app di terze parti, nei sistemi operativi e in altri software o firmware per introdursi nelle reti, ottenere l'accesso alle directory degli utenti o installare malware. Ad esempio, nel 2021 i criminali informatici hanno sfruttato una falla nella piattaforma VSA (virtual storage appliance) di Kaseya (link esterno a ibm.com) per diffondere ransomware tramite un falso aggiornamento software ai clienti di Kaseya.

  • Risorse che utilizzano la connessione a internet: applicazioni web, server web e altre risorse che utilizzano la rete internet pubblica sono intrinsecamente vulnerabili agli attacchi. Ad esempio, gli hacker possono introdurre codice dannoso nelle API (Application Programming Interface) non sicure, portandole a diffondere in modo improprio o addirittura a distruggere le informazioni sensibili contenute nei relativi database.

  • Directory e database condivisi: gli hacker possono sfruttare directory e database condivisi tra sistemi e dispositivi per ottenere l'accesso non autorizzato alle risorse sensibili o lanciare attacchi ransomware. Nel 2016, il ransomware Virlock si è diffuso (link esterno a ibm.com) infettando cartelle di file collaborativi su cui veniva eseguito l'accesso con vari dispositivi.

  • Applicazioni, dati o dispositivi obsoleti o non aggiornati: La mancata applicazione di aggiornamenti e patch crea rischi per la sicurezza. Un esempio rilevante è il ransomware WannaCry che si è diffuso sfruttando una vulnerabilità del sistema operativo Microsoft Windows (link esterno a ibm.com) per cui era disponibile una patch. Analogamente, le app, gli account utente, i dataset e gli endpoint obsoleti che non vengono disinstallati, eliminati o rimossi in modo corretto, creano vulnerabilità non monitorate che i criminali informatici possono facilmente utilizzare.

  • Shadow IT: lo "Shadow IT" è costituito da software, hardware o dispositivi (app più diffuse o gratuite, dispositivi di storage portatili, dispositivi mobili personali non protetti) che i dipendenti utilizzano all'insaputa o senza l'approvazione del reparto IT. Poiché non viene monitorato dai team IT o di sicurezza, lo Shadow IT è in grado di introdurre gravi vulnerabilità che gli hacker possono sfruttare.


Superficie di attacco fisico

La superficie di attacco fisico espone le risorse e le informazioni, in genere accessibili solo agli utenti con accesso autorizzato, ai dispositivi endpoint o all'ufficio fisico dell'organizzazione (server, computer, laptop, dispositivi mobili, dispositivi IoT, hardware operativo).

  • Utenti interni malintenzionati: dipendenti scontenti o corrotti o altri utenti malintenzionati possono utilizzare i loro privilegi di accesso per sottrarre dati sensibili, disabilitare dispositivi, installare malware o arrecare ancora più danni.

  • Furto di dispositivi: i criminali possono sottrarre dispositivi endpoint o accedervi introducendosi negli ambienti di un'organizzazione. Una volta entrati in possesso dell'hardware, gli hacker possono accedere ai dati e ai processi memorizzati su tali dispositivi. Inoltre, possono utilizzare i permessi e l'identità del dispositivo per accedere ad altre risorse di rete. Gli endpoint utilizzati da coloro che lavorano in remoto, i dispositivi personali dei dipendenti e i dispositivi abbandonati in modo improprio sono obiettivi tipici di furti. 

  • Adescamento: l'adescamento (baiting) è un attacco con cui gli hacker lasciano unità USB infette da malware in luoghi pubblici, nella speranza di indurre gli utenti a collegare i dispositivi ai loro computer e a scaricare inconsapevolmente il malware.


Superficie di attacco di ingegneria sociale

L'ingegneria sociale induce con l'inganno le persone a condividere informazioni che non dovrebbero condividere, scaricare software che non dovrebbero scaricare, visitare siti web che non dovrebbero visitare, inviare denaro a criminali o commettere altri errori che compromettono la sicurezza o le risorse personali o dell'azienda.

Poiché sfrutta le debolezze umane piuttosto che le vulnerabilità tecniche o digitali del sistema, l'ingegneria sociale viene talvolta definita 'human hacking'.

Ulteriori informazioni sull'ingegneria sociale

La superficie di attacco di ingegneria sociale di un'organizzazione corrisponde sostanzialmente al numero di utenti autorizzati che sono impreparati o comunque vulnerabili a un attacco di ingegneria sociale.

Phishing è il vettore di attacco di ingegneria sociale più noto e diffuso. In un attacco di phishing, i truffatori online inviano email, messaggi vocali o di testo tentando di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software dannoso, trasferire denaro o beni alle persone sbagliate o compiere altre azioni dannose. I truffatori online creano con astuzia messaggi di phishing affinché sembrino provenire da un'organizzazione o da una persona credibile e attendibile: un noto rivenditore, un organismo governativo o, talvolta, persino una persona che il destinatario conosce personalmente.

Secondo il report di IBM sul Cost of a Data Breach 2021, l'ingegneria sociale è la seconda causa principale di una violazione dei dati.


Gestione della superficie di attacco

La gestione della superficie di attacco (ASM, Attack Surface Management) si riferisce a processi e tecnologie che adottano la strategia e la visione di un hacker alla superficie di attacco di un'organizzazione, rilevando e monitorando continuamente le risorse e le vulnerabilità che gli hacker osservano e tentano di sfruttare quando prendono di mira l'organizzazione. L'ASM implica generalmente:

Monitoraggio, inventario e rilevamento continuo di risorse potenzialmente vulnerabili. Tutte le iniziative ASM iniziano con un inventario completo e costantemente aggiornato delle risorse IT di un'organizzazione che utilizzano una connessione internet, comprese le risorse cloud e on-premise. Adottare una strategia da hacker garantisce non solo il rilevamento delle risorse note, ma anche di Shadow IT (vedi sopra), applicazioni o dispositivi non più utilizzati ma che non sono stati eliminati o disattivati (IT orfano), risorse installate da hacker o malware (IT non autorizzato) e altro ancora; in sostanza qualsiasi risorsa che possa essere sfruttata da un hacker o da un minaccia informatica.

Una volta individuate, le risorse vengono monitorate continuamente e in tempo reale per individuare eventuali modifiche che ne aumentino il rischio come potenziale vettore di attacco.

Assegnazione delle priorità, valutazione dei rischi e analisi della superficie di attacco. Le tecnologie ASM classificano le risorse in base alle loro vulnerabilità e ai rischi per la sicurezza reali, assegnando loro una priorità per la risposta alle minacce o la risoluzione dei problemi.

Risoluzione dei problemi e riduzione della superficie di attacco. I team di sicurezza possono applicare i risultati dell'analisi della superficie di attacco e del red teaming per intraprendere una serie di azioni a breve termine per ridurre la superficie di attacco. Tra queste, l'applicazione di password più sicure, la disattivazione di applicazioni e dispositivi endpoint che non vengono più utilizzati, l'applicazione di patch per applicazioni e sistemi operativi, la formazione per consentire agli utenti di riconoscere le truffe di phishing, l'introduzione di controlli di accesso biometrico per l'ingresso in ufficio o la revisione delle politiche e dei controlli di sicurezza sul download di software e sui supporti rimovibili.

Le organizzazioni possono anche adottare misure di sicurezza più strutturali o a lungo termine per ridurre la superficie di attacco, sia come parte di un'iniziativa di gestione della superficie di attacco che indipendentemente da essa. Ad esempio, implementando l' autenticazione a due fattori (2fa) o l'autenticazione a più fattori  è possibile ridurre o eliminare le potenziali vulnerabilità associate a password poco efficaci o una prassi di utilizzo della password non corretta.

Su scala più ampia, un approccio di sicurezza zero trust può ridurre in modo significativo la superficie di attacco di un'organizzazione. Una strategia zero trust richiede a tutti gli utenti (sia quelli esterni sia quelli che si trovano già all'interno della rete) di eseguire l'autenticazione, ottenere l'autorizzazione e la convalida continua in modo da acquisire e mantenere l'accesso alle applicazioni e ai dati. Le tecnologie e i princìpi zero trust come la validazione continua, l'accesso con privilegio minimo, il monitoraggio continuo e la microsegmentazione della rete, possono ridurre o eliminare molti vettori di attacco e fornire dati preziosi per l'analisi continua della superficie di attacco.

Ulteriori informazioni sulla gestione della superficie di attacco


Soluzioni correlate