La gestione della superficie di attacco (ASM) consiste nella scoperta, valutazione e mitigazione delle minacce all'ecosistema IT di un'organizzazione.
Attack Surface Management Definizione
La gestione della superficie di attacco (ASM) è un approccio alla cybersecurity che mira ad aiutare le organizzazioni a rafforzare la difesa dei loro dati e sistemi rendendo le minacce più visibili. Si tratta di sapere dove esistono i rischi, comprendere la loro gravità relativa e agire per colmare le lacune di sicurezza relative a persone, processi e tecnologia.
L'ASM è un approccio tradizionale alla cybersecurity che include la scoperta e il monitoraggio degli asset. Esamina le minacce potenziali nel modo in cui un attaccante le vedrebbe: come opportunità per violare le difese di un'organizzazione e infliggere danni finanziari, operativi o reputazionali.
Per comprendere la gestione della superficie di attacco (ASM), è prima necessario sapere cosa si intende per superficie di attacco.
La superficie di attacco è la somma totale di tutti i modi in cui un attaccante potrebbe accedere alla rete, ai dati o alle risorse IT di un'organizzazione. Si compone di tre parti:
La superficie di attacco digitale comprende tutto l'hardware, il software e i dati che possono essere accessibili dall'esterno, anche se sono protetti da misure come crittografia, protocolli di autenticazione o firewall.
La superficie di attacco fisica consiste in tutte le attrezzature e i dispositivi fisici che possono essere rubati o manipolati fisicamente per causare una compromissione o una violazione.
La superficie di attacco sociale o umana si riferisce a tutte le persone all'interno di un'organizzazione con accesso ai sistemi e ai dati che potrebbero essere ingannate, manipolate o altrimenti influenzate (ad esempio, tramite un attacco di ingegneria sociale come il phishing per causare una compromissione o una violazione).
Contro cosa protegge l'ASM?
L'ASM aiuta le organizzazioni a difendersi da un'ampia gamma di minacce, conosciute anche come "vettori di attacco". Questi includono, ma non sono limitati a:
Attacchi informatici
Ransomware, virus e altri malware possono essere iniettati nei sistemi aziendali, consentendo agli attaccanti di accedere alle reti e alle risorse, esfiltrare dati, dirottare dispositivi e danneggiare asset e dati.
Problemi di codifica e configurazioni errate
Le configurazioni errate delle tecnologie di rete e cloud come porte, punti di accesso, protocolli, ecc., lasciano "porte" aperte agli attaccanti e sono una causa comune di violazioni.
Schemi di phishing
Questi includono email fraudolente, messaggi di testo, messaggi vocali (e persino, oggi, con deepfake generati dall'IA, chiamate video) che ingannano gli utenti e li spingono a compiere azioni che compromettono la cybersecurity. Questo può includere la condivisione di informazioni sensibili, il clic su link che portano a malware, il rilascio di fondi che non dovrebbero essere pagati e altro ancora. L'IA ha reso il phishing più difficile da rilevare e più mirato.
Password deboli e crittografia
Le password facili da indovinare - sia perché sono ovvie, troppo semplici, o riutilizzate per più account - possono dare agli attori malintenzionati l'accesso alle risorse digitali di un'organizzazione. Le credenziali rubate sono anche molto richieste tra i cybercriminali per ragioni simili. La crittografia è pensata per nascondere le informazioni in modo che solo le persone autorizzate possano leggerle. Se non è abbastanza forte, gli hacker possono estrarre dati che possono poi usare per lanciare attacchi su larga scala.
Shadow IT
Gli strumenti utilizzati dai dipendenti di un'organizzazione che non fanno parte dell'ambiente IT conosciuto o approvato sono considerati "shadow IT" e possono creare vulnerabilità proprio perché il team di cybersecurity non ne è a conoscenza. Questi includono app, dispositivi di archiviazione portatili, telefoni e tablet personali e altro.
Come funziona l'ASM?
L'ASM ha tre fasi principali: scoperta, valutazione e mitigazione. Poiché la superficie di attacco è sempre in evoluzione, tutte e tre devono essere realizzate continuamente.
Scoperta
La fase di scoperta definisce la superficie di attacco e tutti gli asset che la compongono. L'obiettivo della scoperta è identificare tutti i dispositivi, software, sistemi e punti di accesso conosciuti e sconosciuti che compongono la superficie di attacco - inclusi anche le app shadow IT, le tecnologie di terze parti connesse e le tecnologie che non hanno fatto parte degli inventari precedenti. Sebbene molte soluzioni offrano la scoperta come parte della loro soluzione ASM, è necessario essere discernenti. Cercate una soluzione che integri la conformità e la quantificazione dei rischi informatici per assicurarvi di ottenere un quadro completo dei rischi oltre la scoperta degli asset per mostrare la vera esposizione. Un processo di scoperta continuo aiuta a rivelare come la superficie di attacco può evolversi nel tempo.
Valutazione
Dopo la scoperta, i team di sicurezza valutano ogni asset per le potenziali vulnerabilità - tutto, dalle configurazioni errate e errori di codifica ai fattori sociali/umani come la suscettibilità agli schemi di phishing o agli attacchi di compromissione delle email aziendali (BEC). Ogni rischio viene valutato, consentendo ai team di sicurezza di dare priorità a quelli che devono essere affrontati con maggiore urgenza.
La valutazione dei rischi è generalmente basata sul livello di rischio, la probabilità di attacco, i danni potenziali e la difficoltà di correzione. Idealmente, dovrebbe anche tenere conto dell'intelligence globale sulle minacce relative alle vulnerabilità più spesso e facilmente sfruttate.
Esempio: Se un software dà accesso a dati sensibili, è connesso a Internet e presenta una vulnerabilità nota già sfruttata da attaccanti reali, il patching sarà probabilmente una priorità assoluta.
Una volta che tutti i rischi sono valutati, il totale viene calcolato per fornire un punteggio di rischio complessivo dell'azienda. Ciò consente all'organizzazione di confrontare e monitorare il proprio profilo di rischio nel tempo.
Mitigazione
La mitigazione consiste nel prendere provvedimenti per affrontare le vulnerabilità scoperte. Ciò potrebbe significare eseguire aggiornamenti software o installare patch, impostare controlli di sicurezza e hardware, o implementare framework di protezione come il zero trust. Potrebbe anche includere la rimozione di vecchi sistemi e software. In ogni caso, è fondamentale avere la soluzione giusta per aiutarvi a affrontare la mitigazione in modo scalabile.
Perché l'ASM è Importante?
Ci sono due principali ragioni per cui la gestione della superficie di attacco è necessaria:
L'ambiente IT delle organizzazioni deve essere protetto
La digitalizzazione di tutti i tipi di lavoro sta progredendo rapidamente negli ultimi anni a causa dei cambiamenti nell'ambiente aziendale, favoriti dalla promozione della trasformazione digitale e dai cambiamenti nel modo di lavorare, come il lavoro a distanza. Di conseguenza, l'ambiente IT sta diventando più complesso che mai a causa dell'introduzione di nuove tecnologie come l'uso di dispositivi VPN e servizi cloud, e l'uso di dispositivi IoT.
D'altra parte, molte organizzazioni non riescono a tenere il passo con i rapidi cambiamenti e la crescente complessità dei propri ambienti IT e dei rischi che comportano, e le misure di sicurezza vengono messe in secondo piano. Di conseguenza, dal punto di vista dei cybercriminali, il numero di obiettivi per gli attacchi sta aumentando.
La sofisticazione dei metodi di attacco informatico
I metodi utilizzati negli attacchi informatici e in altri crimini stanno diventando sempre più sofisticati per aumentare il tasso di successo degli attacchi. In passato, il principale tipo di attacco informatico era il tipo "scatter-and-gather", in cui programmi dannosi venivano inviati a un gran numero di destinatari non specificati tramite email o altri mezzi. Tuttavia, gli attacchi informatici moderni stanno diventando più sofisticati, con un numero crescente di "attacchi mirati" che sfruttano le vulnerabilità dei VPN e degli RDP, nonché le informazioni di autenticazione rubate, per infiltrarsi nella rete dell'organizzazione target e poi svolgere attività interne come l'escalation dei privilegi, il movimento laterale e il furto di informazioni.
Di conseguenza, le organizzazioni devono considerare non solo gli asset digitali pubblicamente disponibili, ma anche gli asset digitali all'interno dell'organizzazione stessa, e implementare misure di sicurezza di conseguenza.
Tipi di Attack Surface Management
La gestione della superficie di attacco (ASM) si divide in diversi tipi che coprono diversi aspetti dell'ambiente digitale di un'organizzazione. Questi includono l'ASM esterna, l'ASM interna, l'ASM degli asset cyber e l'ASM open source. Ogni tipo svolge un ruolo cruciale nella sorveglianza e mitigazione dei rischi, offrendo alle organizzazioni un approccio completo per proteggere i propri asset digitali.
Gestione della Superficie di Attacco Esterna
L'ASM esterna si concentra sugli asset aziendali interni esposti a Internet pubblico, come applicazioni web, risorse basate su cloud, indirizzi IP e nomi di dominio che potrebbero essere sfruttati dagli attaccanti. Questi servizi accessibili a Internet pubblico sono spesso mirati dagli attaccanti che cercano di sfruttare vulnerabilità o configurazioni errate.
Gestione della Superficie di Attacco Interna
L'ASM interna affronta i rischi all'interno della rete privata di un'organizzazione, inclusi dispositivi, applicazioni e sistemi che non sono accessibili pubblicamente ma potrebbero essere sfruttati se gli attaccanti ottengono l'accesso. È particolarmente rilevante per combattere le minacce persistenti avanzate (APT) e le minacce interne, che spesso coinvolgono movimenti laterali e escalation dei privilegi all'interno della rete. I sistemi legacy o i server interni mal protetti possono fungere da vulnerabilità che gli attaccanti sfruttano una volta all'interno della rete.
Gestione della Superficie di Attacco degli Asset Cyber
L'ASM degli asset cyber si concentra sulla gestione e la sicurezza degli asset individuali all'interno di un'organizzazione, inclusi endpoint, account utente, istanze cloud e dispositivi mobili. Ciò è particolarmente critico negli ambienti di lavoro ibridi di oggi, dove gli asset sono distribuiti tra infrastrutture locali e basate su cloud. Le organizzazioni che operano in ambienti multi-cloud spesso hanno asset diversificati, come container, macchine virtuali e API.
Gestione della Superficie di Attacco Open Source
L'ASM open source si concentra sulla gestione dei rischi associati alle tecnologie open source e alle informazioni pubblicamente accessibili. Sebbene il software open source sia ampiamente utilizzato, introduce vulnerabilità a causa della sua trasparenza e della dipendenza dai contributi della comunità. Inoltre, gli attaccanti spesso sfruttano i dati esposti come credenziali trapelate, chiavi API o file di configurazione sensibili trovati in repository aperti come Github.
Gestione della Superficie di Attacco vs. Gestione dei Rischi Informatici
La gestione della superficie di attacco (ASM) è un elemento essenziale della gestione dei rischi informatici, e insieme aiutano le organizzazioni a migliorare la consapevolezza situazionale della cybersecurity - identificando, prioritizzando e mitigando proattivamente le minacce.
La gestione dei rischi informatici è un approccio alla cybersecurity globale che va oltre l'ASM, concentrandosi sulla conoscenza e la mitigazione dei rischi in tutta l'azienda. Un buon quadro di gestione dei rischi informatici aiuta a determinare quali rischi sono più rilevanti, supportando la "presa di decisioni informata dai rischi" per ridurre l'esposizione complessiva alle minacce. Ciò consente ai team di sicurezza di rafforzare le difese, minimizzare le vulnerabilità e informare i processi globali di gestione dei rischi e di pianificazione strategica delle loro organizzazioni.
Quali sono i vantaggi dell'ASM?
Una buona gestione della superficie di attacco offre una vasta gamma di vantaggi per le organizzazioni, a partire dal rafforzamento della postura di sicurezza complessiva apportando maggiore visibilità all'intero ambiente IT e alla superficie di attacco. Ciò contribuisce a sua volta a ridurre i rischi, supportato da un monitoraggio continuo e una rivalutazione per mantenere bassi i livelli di rischio.
Questo dà tranquillità al team di sicurezza, offrendo al contempo significativi benefici all'intera azienda. Avere visibilità sulla superficie di attacco consente una maggiore trasparenza e controllo sugli asset, riducendo il rischio di attacchi informatici e aumentando i risparmi sui costi. Quando i team di sicurezza sono in grado di agire più rapidamente ed efficacemente, le organizzazioni sono meglio posizionate per garantire la continuità delle attività. Perché quando gli attacchi vengono identificati e mitigati prima, c'è meno rischio di interruzioni significative.
Come possiamo implementare l'ASM?
L'ASM richiede una soluzione di gestione dell'esposizione ai rischi informatici integrata con una piattaforma di cybersecurity che adotti un approccio proattivo per realizzare le fasi di scoperta, valutazione e mitigazione.
Scegliere una piattaforma con solide capacità di operazioni di sicurezza come la gestione delle informazioni e degli eventi di sicurezza (SIEM), la rilevazione e risposta degli endpoint (EDR) e la rilevazione e risposta estesa (XDR) è particolarmente importante. L'XDR in particolare fornisce dati e analisi essenziali sulle prestazioni delle protezioni attuali della superficie di attacco. Queste informazioni aiutano a rendere la fase di valutazione dei rischi più accurata.
Dove posso ottenere aiuto per la gestione della superficie di attacco?
La gestione della superficie di attacco non è sufficiente nel panorama dei rischi esigente di oggi. Le organizzazioni necessitano di capacità di gestione dell'esposizione ai rischi informatici per prevedere, scoprire, valutare e mitigare proattivamente i rischi per ridurre significativamente la propria impronta di rischio informatico.
Trend Vision One™ offre una soluzione di gestione dell'esposizione ai rischi informatici (CREM) che adotta un approccio rivoluzionario combinando capacità chiave come la gestione della superficie di attacco esterna (EASM), la gestione della superficie di attacco degli asset cyber (CAASM), la gestione delle vulnerabilità e la gestione della postura di sicurezza attraverso cloud, dati, identità, API, AI, conformità e applicazioni SaaS in una soluzione potente e facile da usare.
La gestione dell'esposizione ai rischi informatici può aiutarvi con la gestione della superficie di attacco e oltre.