Cos'è la gestione della superficie di attacco?

La gestione della superficie di attacco aiuta le organizzazioni a rilevare, definire la priorità e correggere le vulnerabilità ad attacchi informatici.

Persona seduta a una scrivania per ufficio che utilizza un laptop
Cos'è la gestione della superficie di attacco?

La gestione della superficie di attacco (ASM, Attack Surface Management) è il rilevamento, l'analisi, la correzione e il monitoraggio continui delle vulnerabilità della sicurezza informatica e dei potenziali vettori di attacco che costituiscono la superficie di attacco di un'organizzazione.

A differenza di altre discipline di sicurezza informatica, l'ASM viene condotta interamente dalla prospettiva di un hacker, piuttosto che da quella di cerca di difendersi da eventuali attacchi. Identifica gli obiettivi e valuta i rischi in base alle opportunità che presentano a un aggressore malintenzionato. L'ASM si basa su molti degli stessi metodi e delle stesse risorse utilizzati dagli hacker e molte attività e tecnologie di ASM sono concepite da "hacker etici" che hanno dimestichezza con i comportamenti dei criminali informatici e sono in grado di riprodurne le azioni.

La gestione della superficie di attacco esterna (EASM, External Attack Surface Management), una tecnologia di ASM relativamente nuova, è a volte utilizzata in modo intercambiabile con l'ASM. EASM si concentra però specificamente sulle vulnerabilità e sui rischi presentati dagli asset IT esterni o che interagiscono con internet di un'organizzazione (a volte indicati come superficie di attacco digitale dell'organizzazione). L'ASM si occupa pure delle vulnerabilità delle superfici di attacco di ingegneria sociale e fisica di un'organizzazione, quali i membri interni malintenzionati o una formazione contro le truffe di phishing inadeguata degli utenti finali.


Perché le organizzazioni si stanno rivolgendo alla gestione della superficie di attacco

L'adozione del cloud, la trasformazione digitale e l'espansione del lavoro in remoto - tutti accelerati dalla pandemia di COVID-19 - hanno reso la superficie di attacco e l'impronta digitale di un'azienda media più ampia, distribuita e dinamica, con nuovi asset che si connettono alla rete dell'azienda quotidianamente.

Secondo il report di Randori State of Attack Surface Management 2022 (link esterno a ibm.com), il 67 percento delle organizzazioni ha assistito negli ultimi 12 mesi a un'espansione della sua superficie di attacco e, nel corso dell'ultimo anno, il 69 percento è stato compromesso da un asset che interagisce con internet sconosciuto o gestito in modo inadeguato. (Randori è una società sussidiaria di IBM Corp.) Gli analisti del settore presso Gartner  (link esterno a ibm.com) hanno designato l'espansione della superficie di attacco come una priorità assoluta della gestione della sicurezza e dei rischi per i CISO (Chief Information Security Officer) nel 2022.

I tradizionali processi di rilevamento degli asset, valutazione dei rischi e gestione delle vulnerabilità, sviluppati quando le reti aziendali erano più stabili e centralizzate, non sono in grado di tenere il passo con la velocità alla quale nuove vulnerabilità e nuovi vettori di attacco si manifestano nelle reti odierne. I test di penetrazione, ad esempio, possono eseguire test che mirano a rilevare eventuali vulnerabilità sospette negli asset noti ma non possono aiutare i team di sicurezza a identificare nuovi rischi informatici e nuove vulnerabilità che emergono quotidianamente.

Il flusso di lavoro continuo e la prospettiva da hacker dell'ASM consentono invece ai team di sicurezza e ai SOC (security operations center) di stabilire un profilo di sicurezza proattivo a fronte di una superficie di attacco che cresce e cambia costantemente. Le soluzioni di ASM forniscono visibilità in tempo reale delle vulnerabilità e dei vettori di attacco man mano che compaiono. Possono attingere alle informazioni dai tradizionali strumenti di gestione del rischio e gestione delle vulnerabilità per un maggiore contesto quando analizzano e definiscono la priorità delle vulnerabilità. Possono anche integrarsi con le tecnologie di rilevamento e risposta alle minacce - compresi SIEM (security information and event management), EDR (endpoint detection and response) o XDR (extended detection and response) - per migliorare la mitigazione delle minacce e accelerare la risposta alle minacce in tutta l'azienda.


Come funziona l'ASM

L'ASM si articola in quattro processi fondamentali: rilevamento degli asset, classificazione e definizione della priorità, correzione e monitoraggio. Poiché, ribadiamolo, le dimensioni e la forma della superficie di attacco digitale mutano costantemente, i processi vengono eseguiti in modo continuo e le soluzioni di ASM automatizzano questi processi ogni qual volta è possibile. L' obiettivo è quello di garantire che il team di sicurezza abbia sempre un inventario completo e aggiornato degli asset esposti e accelerare la risposta alle vulnerabilità e alle minacce che presentano il rischio più elevato per l'organizzazione.

Rilevamento degli asset

Il rilevamento degli asset esegue in modo automatico e continuo delle scansioni miranti a rilevare e identificare hardware, software e asset cloud che interagiscono con internet che potrebbero servire da punti di ingresso per un hacker o un criminale informatico che prova ad attaccare un'organizzazione. Questi asset possono includere

  • Asset noti - tutta l'infrastruttura e tutte le risorse IT di cui l'organizzazione è a conoscenza e che sta gestendo attivamente - router, server, dispositivi messi a disposizione dall'azienda o di proprietà privata (PC, laptop, dispositivi mobili), dispositivi IoT, directory utente, applicazioni implementate on-premise e nel cloud, siti web e database proprietari.
  • Asset sconosciuti - asset 'non inventariati' che utilizzano le risorse di rete senza che il team IT o di sicurezza ne sia a conoscenza. L'IT ombra - hardware o software implementato sulla rete senza un'approvazione e/o la supervisione amministrativa ufficiale - è il tipo più comune di asset sconosciuto. Un tipo di carattere gratuito scaricato sul computer di un utente, dei siti web o delle applicazioni cloud personali utilizzati tramite la rete dell'organizzazione e un dispositivo mobile personale non gestito utilizzato per accedere alle informazioni dell'azienda sono tutti esempi di IT ombra. L'IT orfano - vecchio software, siti web e dispositivi non più in uso che non sono stati ritirati in modo appropriato - è un altro tipo comune di asset sconosciuto.
  • Asset di terze parti o fornitori - gli asset che non appartengono all'organizzazione ma che fanno parte dell'infrastruttura IT o della supply chain digitale dell'organizzazione. Includono le applicazioni SaaS (software-as-a-service), le API, gli asset sul cloud pubblico o i servizi di terze parti utilizzati nel sito web dell'organizzazione.
  • Asset sussidiari - qualsiasi asset noto, sconosciuto o di terze parti appartenente alle reti delle aziende sussidiarie di un'organizzazione. Dopo una fusione o un'acquisizione, questi asset potrebbero non giungere immediatamente all'attenzione dei team IT e di sicurezza dell'organizzazione principale.
  • Asset malintenzionati o fuori controllo - asset creati o rubati dagli attori delle minacce per prendere di mira l'azienda. Questo può includere un sito web di phishing che impersona il brand di un'azienda o dati sensibili rubati come parte di una violazione dei dati che vengono condivisi sul dark web.

Classificazione, analisi e definizione della priorità

Dopo essere stati identificati, gli asset vengono classificati, vengono analizzati per rilevare eventuali vulnerabilità e ne viene definita la priorità in base alla suscettibilità a essere attaccati, essenzialmente una misura obiettiva della probabilità che vengano presi di mira dagli hacker.

Gli asset vengono inventariati in base a identità, indirizzo IP, proprietà e connessioni agli altri asset nell'infrastruttura IT. Vengono analizzati per rilevare le eventuali esposizioni che potrebbero presentare, le cause di tali esposizioni (ad es. configurazioni non corrette, errori di codifica, patch mancanti) e i tipi di attacchi che gli hacker potrebbero intraprendere tramite tali esposizioni (ad es. rubare dati sensibili, diffondere ransomware o altro malware). 

Viene quindi definita la priorità della correzione delle vulnerabilità. La definizione della priorità è un esercizio di valutazione del rischio: di norma, a ogni vulnerabilità vengono dati una valutazione della sicurezza o un punteggio di rischio sulla base

  • delle informazioni raccolte durante la classificazione e l'analisi;
  • dei dati dai feed di intelligence sulle minacce (proprietari e open source), i servizi di classificazione della sicurezza, il dark web o altre fonti relative a quanto siano visibili agli hacker le vulnerabilità, quanto siano facili da sfruttare, come sono state sfruttate ecc.;
  • dei risultati delle attività di gestione delle vulnerabilità e valutazione dei rischi per la sicurezza proprie dell'organizzazione. Una di queste attività, denominata red teaming, è essenzialmente un test di penetrazione dal punto di vista dell'hacker (e spesso condotto da hacker etici interni o di terze parti). Invece di testare vulnerabilità note o sospette, i red teamer testano tutti gli asset che un hacker potrebbe provare a sfruttare.

Correzione

Di norma, le vulnerabilità vengono corrette in ordine di priorità. Ciò può comportare:

  • L'applicazione di controlli di sicurezza appropriati all'asset in questione - ad es. applicando patch del software o del sistema operativo, eseguendo il debug del codice applicativo, implementando una crittografia dei dati più complessa
  • L'assunzione del controllo di asset precedentemente sconosciuti - impostando gli standard di sicurezza per l'IT precedentemente non gestito, ritirando in modo sicuro l'IT orfano, eliminando gli asset fuori controllo, integrando gli asset sussidiari nella strategia, nelle politiche e nei flussi di lavoro di sicurezza informatica dell'organizzazione.

La correzione può anche comportare misure più ampie e che coinvolgono diversi asset per occuparsi delle vulnerabilità, come l'implementazione dell'accesso con privilegio minimo o l'autenticazione a più fattori (MFA, multi-factor authentication).

Monitoraggio

Poiché i rischi di sicurezza nella superficie di attacco dell'organizzazione cambiano ogni volta che vengono implementati dei nuovi asset o che degli asset esistenti vengono implementati in nuovi modi, sia gli asset inventariati della rete che la rete stessa sono sottoposti in modo continuo a monitoraggio e scansione per rilevare eventuali vulnerabilità. Il monitoraggio continuo consente all'ASM di rilevare e valutare nuove vulnerabilità e nuovi vettori di attacco in tempo reale e di avvisare i team di sicurezza di qualsiasi nuova vulnerabilità che richiede un'immediata attenzione.


Soluzioni correlate