La superficie di attacco digitale espone potenzialmente il cloud e l'infrastruttura locale dell'organizzazione a qualsiasi hacker con una connessione internet. I vettori di attacco comuni nella superficie di attacco digitale di un'organizzazione includono:

1. Password deboli
2. Configurazioni errate
3. Vulnerabilità del software, del sistema operativo e del firmware
4. Risorse con accesso a internet
5. Database e directory condivisi
6. Dispositivi, dati o applicazioni obsoleti
7. Shadow IT

• Password deboli: le password facili da indovinare o da decifrare tramite attacchi di brute force aumentano il rischio che i criminali informatici possano compromettere gli account utente per accedere alla rete, rubare informazioni sensibili, diffondere malware e danneggiare in altro modo l'infrastruttura. Secondo il Cost of a Data Breach Report 2021 di IBM, le credenziali compromesse sono state il vettore di attacco iniziale più comunemente utilizzato nel 2021.
   

• Configurazioni errate: le porte di rete, i canali, i punti di accesso wireless, i firewall o i protocolli configurati in modo improprio fungono da punti di ingresso per gli hacker. Gli attacchi Man-in-the-Middle, ad esempio, sfruttano le debolezze dei protocolli di crittografia sui canali di transito dei messaggi per intercettare le comunicazioni tra i sistemi.
   

• Vulnerabilità di software, sistema operativo e firmware: hacker e criminali informatici possono sfruttare errori di codifica o implementazione in app, sistemi operativi e altri software o firmware di terze parti per infiltrarsi nelle reti, accedere agli elenchi degli utenti o installare malware. Ad esempio, nel 2021, i criminali informatici hanno sfruttato un difetto nella piattaforma VSA (Virtual Storage Appliance) di Kaseya (link esterno a ibm.com) per distribuire un ransomware, camuffato da aggiornamento software, ai clienti di Kaseya.
   

• Asset connessi a Internet: le applicazioni web, i server web e altre risorse connesse alla rete internet pubblica sono intrinsecamente vulnerabili agli attacchi. Ad esempio, gli hacker possono iniettare codice dannoso in application programming interface (API) non protette, inducendole a divulgare o addirittura a distruggere in modo improprio le informazioni sensibili nei database associati.
   

• Database e directory condivisi: gli hacker possono sfruttare database e directory condivisi tra sistemi e dispositivi per ottenere l'accesso non autorizzato a risorse sensibili o lanciare attacchi ransomware. Nel 2016, il ransomware Virlock (link esterno a ibm.com) si è diffuso infettando le cartelle collaborative dei file accessibili da più dispositivi.
   

• Dispositivi, dati o applicazioni obsoleti o non aggiornati: la mancata coerenza nell'applicazione di aggiornamenti e patch crea rischi per la sicurezza. Un esempio notevole è il ransomware WannaCry, che si è diffuso sfruttando una vulnerabilità del sistema operativo Microsoft Windows (link esterno a ibm.com) per cui era disponibile una patch. Allo stesso modo, quando gli endpoint, i set di dati, gli account utente e le app obsoleti non vengono disinstallati o eliminati, creano vulnerabilità non monitorate che i criminali informatici possono facilmente sfruttare.
   

• Shadow IT: l'"IT ombra" è l'insieme di software, hardware o dispositivi, app gratuite o popolari, dispositivi di archiviazione portatili o dispositivi mobili personali non protetti, che i dipendenti utilizzano all'insaputa o senza l'approvazione del reparto IT. Poiché non è monitorato dai team IT o di sicurezza, lo shadow IT può introdurre gravi vulnerabilità che gli hacker possono sfruttare.

La superficie di attacco fisica espone risorse e informazioni generalmente accessibili solo agli utenti con accesso autorizzato all'ufficio fisico o ai dispositivi endpoint dell'organizzazione (server, computer, laptop, dispositivi mobili, dispositivi IoT o hardware operativo).

• Insider malevoli: i dipendenti malintenzionati o altri utenti scontenti verso l'azienda o corrotti possono utilizzare i loro privilegi di accesso per rubare dati sensibili, disabilitare i dispositivi, installare malware o peggio.
   

• Furto di dispositivi: i criminali possono rubare i dispositivi endpoint o accedervi mediante effrazione nei locali di un'organizzazione. Dopo essere entrati in possesso dell'hardware, gli hacker possono accedere ai dati e ai processi archiviati su questi dispositivi, per poi utilizzare l'identità e le autorizzazioni del dispositivo per accedere ad altre risorse di rete. Gli endpoint utilizzati dai lavoratori remoti, i dispositivi personali dei dipendenti e i dispositivi smaltiti in modo improprio sono tipici obiettivi di furto. 
   

• Adescamento: l'adescamento è un attacco in cui gli hacker lasciano unità USB infette da malware in luoghi pubblici, sperando di indurre gli utenti a collegarle ai propri computer e a scaricare involontariamente il malware.

Il social engineering manipola le persone inducendole a commettere errori che compromettono le risorse personali o organizzative o la loro sicurezza in vari modi, tra cui:

• condividendo informazioni che non dovrebbero condividere
• scaricando software che non dovrebbero scaricare
• visitando siti web che non dovrebbero visitare
• inviando denaro ai criminali 

Poiché sfrutta le debolezze umane piuttosto che le vulnerabilità tecniche o digitali del sistema, il social engineering viene talvolta chiamato "hacking umano".

Scopri di più sull'ingegneria sociale

La superficie di attacco di social engineering di un'organizzazione equivale essenzialmente al numero di utenti autorizzati poco preparati o altrimenti vulnerabili agli attacchi.

Il phishing è il vettore di attacco di social engineering più noto e più aggiornato. In un attacco di phishing, i truffatori inviano e-mail, SMS messaggi vocali che tentano di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software intenzionalmente dannoso, trasferire denaro o asset alla persona sbagliata o intraprendere altre azioni dannose. I truffatori creano messaggi di phishing per far sembrare che provengano da un'organizzazione o una persona affidabile o credibile, come un famoso rivenditore, un'organizzazione governativa o, a volte, anche una persona che il destinatario conosce personalmente.

Secondo il report Cost of a Data Breach 2021 di IBM, il social engineering è la seconda causa principale delle violazioni dei dati.

La gestione della superficie di attacco (ASM) si riferisce a processi e tecnologie che adottano il punto di vista e l'approccio di un hacker alla superficie di attacco di un'organizzazione, scoprendo e monitorando continuamente gli asset e le vulnerabilità che gli hacker vedono e tentano di sfruttare quando prendono di mira l'organizzazione. L'ASM in genere comporta:

Rilevazione continua, inventario e monitoraggio di risorse potenzialmente vulnerabili. Qualsiasi iniziativa ASM inizia con un inventario completo e continuamente aggiornato delle risorse IT con accesso a internet di un'organizzazione, comprese le risorse on-premise e cloud. L'adozione di un approccio hacker garantisce la scoperta non solo delle risorse note, ma anche di applicazioni o dispositivi shadow IT. Queste applicazioni o dispositivi potrebbero essere stati dismessi ma non eliminati o disattivati (orphaned IT), oppure risorse che vengono installate da hacker o malware (rogue IT) e altro ancora. In buona sostanza, possono essere tutte le risorse sfruttabili da un hacker o da una minaccia informatica.

Una volta scoperti, gli asset vengono monitorati continuamente e in tempo reale per individuare i cambiamenti che ne aumentano il rischio come potenziale vettore di attacco.

Analisi della superficie di attacco, valutazione del rischio e definizione delle priorità. Le tecnologie ASM valutano gli asset in base alle vulnerabilità e ai rischi per la sicurezza che presentano, e assegnano loro priorità per la risposta o la correzione delle minacce.

Riduzione e correzione della superficie di attacco. I team di sicurezza possono applicare i risultati dell'analisi della superficie di attacco e del red teaming per intraprendere varie azioni a breve termine per ridurre la superficie di attacco. Queste potrebbero includere l'applicazione di password più complesse, la disattivazione di applicazioni e dispositivi endpoint non più in uso, l'applicazione di patch per applicazioni e sistemi operativi, la formazione degli utenti a riconoscere le truffe di phishing, l'istituzione di controlli di accesso biometrici per l'accesso agli uffici o la revisione dei controlli e delle politiche di sicurezza relativi ai download di software e ai supporti rimovibili.

Le organizzazioni possono anche adottare misure di sicurezza più strutturate o a lungo termine per ridurre la superficie di attacco, come parte o indipendentemente da un’iniziativa di gestione della superficie di attacco. Ad esempio, l'implementazione dell'autenticazione a due fattori (2FA) o dell'autenticazione a più fattori può ridurre o eliminare potenziali vulnerabilità associate a password deboli o a un'igiene di password inadeguata.

Su scala più ampia, un approccio alla sicurezza zero-trust può ridurre significativamente la superficie di attacco di un'organizzazione. Un approccio zero-trust richiede che tutti gli utenti, sia all'esterno sia già all'interno della rete, siano autenticati, autorizzati e costantemente convalidati per ottenere e mantenere l'accesso alle applicazioni e ai dati. I principi e le tecnologie zero trust (convalida continua, accesso con privilegi minimi, monitoraggio continuo, microsegmentazione della rete) possono ridurre o eliminare molti vettori di attacco e fornire dati preziosi per l'analisi continua della superficie di attacco.

Scopri di più sulla gestione della superficie di attacco