La gestione della superficie di attacco (ASM) è la scoperta, la valutazione e la mitigazione delle minacce all'ecosistema IT di un'organizzazione.
La gestione della superficie di attacco (ASM) è un approccio alla cybersecurity che mira ad aiutare le organizzazioni a diventare più forti nella difesa dei propri dati e sistemi rendendo le minacce più visibili. Si tratta di sapere dove esistono i rischi, comprenderne la gravità relativa e agire per colmare le lacune di sicurezza relative a persone, processi e tecnologia.
ASM è un approccio tradizionale alla cybersecurity che include il rilevamento e il monitoraggio delle risorse. Considera le potenziali minacce come le considererebbe un aggressore: come opportunità per violare le difese di un'organizzazione e infliggere danni finanziari, operativi o di reputazione.
Qual è la superficie di attacco?
La superficie di attacco è la somma totale di tutti i modi in cui un aggressore può ottenere l'accesso alla rete, ai dati o alle risorse IT di un'organizzazione. Si compone di tre parti:
- La superficie di attacco digitale è costituita da tutto l'hardware, il software e i dati a cui è possibile accedere esternamente, anche se protetti da crittografia, protocolli di autenticazione, firewall o altre misure.
- La superficie di attacco fisica è costituita da tutte le apparecchiature fisiche e i dispositivi che possono essere rubati o con cui si può interagire fisicamente per causare una compromissione o una violazione.
- La superficie di attacco sociale o umana si riferisce a tutte le persone in un'organizzazione con accesso a sistemi e dati che potrebbero essere ingannati, ricattati o altrimenti manipolati (ad esempio, da una truffa di ingegneria sociale come il phishing) per causare una compromissione o una violazione.
Gestione della superficie di attacco vs gestione del rischio informatico
La gestione della superficie di attacco (ASM) è un elemento essenziale della gestione del rischio informatico e, insieme, aiutano le organizzazioni a migliorare la loro consapevolezza in materia di cybersecurity, identificando, dando priorità e mitigando in modo proattivo le minacce.
La gestione del rischio informatico è un approccio globale alla cybersecurity che va oltre l'ASM, concentrandosi sulla conoscenza e sulla mitigazione dei rischi in tutta l'azienda. Un buon quadro di gestione del rischio informatico aiuta a determinare quali sono i rischi più rilevanti, supportando un "processo decisionale basato sul rischio" per ridurre l'esposizione complessiva alle minacce. Ciò consente ai team di sicurezza di rafforzare le difese, ridurre al minimo le vulnerabilità e informare i processi di gestione del rischio e di pianificazione strategica delle organizzazioni.
Gestione della superficie di attacco vs. gestione della superficie di attacco esterna (EASM)
La gestione della superficie di attacco esterna (EASM) si concentra specificamente sulle vulnerabilità e sui rischi associati ai dispositivi e ai sistemi rivolti verso l'esterno, compresi quelli connessi a Internet. La superficie di attacco interna, che può includere apparecchiature locali e risorse partizionate, non è coperta da EASM.
Perché l'ASM è importante?
L'ASM è diventato estremamente importante perché gli ambienti IT aziendali sono più dinamici e interconnessi che mai, rendendo la superficie di attacco più ampia e diversificata. Gli approcci tradizionali di rilevamento e monitoraggio degli asset e le soluzioni “puntuali” di cybersecurity non sono in grado di fornire la visibilità, l'intelligence e la protezione complete richieste. L'ASM, invece, consente ai team di sicurezza di ridurre il numero di percorsi nell'ecosistema IT aziendale e di ottenere una visione in tempo reale delle vulnerabilità emergenti e dei vettori di attacco.
Da cosa protegge ASM?
ASM aiuta le organizzazioni a difendersi da un'ampia gamma di minacce, note anche come "vettori di attacco". Questi includono, a titolo esemplificativo ma non esaustivo:
- Attacchi informatici: Ransomware, virus e altri malware possono essere inseriti nei sistemi aziendali, consentendo agli aggressori di accedere a reti e risorse, esfiltrare dati, dirottare dispositivi e danneggiare risorse e dati.
- Problemi di codifica e configurazioni errate: Le configurazioni errate delle tecnologie di rete e del cloud, come porte, punti di accesso, protocolli e simili, lasciano “porte” aperte agli aggressori e sono una causa comune di violazioni.
- Schemi di phishing: Questi includono email di truffa, messaggi di testo, messaggi vocali (e oggi, con deepfake generati dall'intelligenza artificiale, persino videochiamate) che ingannano gli utenti e li spingono a intraprendere azioni che compromettono la cybersecurity. Potrebbe trattarsi di condividere informazioni sensibili, cliccare su link che portano a malware, rilasciare fondi che non dovrebbero essere versati e altro ancora. L'AI ha contribuito a rendere il phishing più difficile da rilevare e più mirato.
- Tecnologie e applicazioni obsolete: Il software, il firmware e i sistemi operativi dei dispositivi devono essere codificati in modo corretto ed essere sottoposti a patch contro le vulnerabilità e le minacce conosciute, altrimenti possono fornire agli aggressori un modo per violare un'organizzazione. Anche i vecchi dispositivi che fanno ancora parte dell'ambiente IT ma non vengono manutenuti o utilizzati attivamente possono fornire comodi punti di accesso agli aggressori, poiché spesso non vengono monitorati.
- Password e crittografia deboli: Le password facili da indovinare, sia perché sono ovvie, troppo semplici o riutilizzate per più account, possono dare ai malintenzionati l'accesso alle risorse digitali di un'organizzazione. Anche le credenziali rubate sono molto ambite dai cyber criminali per motivi simili. La crittografia ha lo scopo di mascherare le informazioni in modo che solo le persone autorizzate possano leggerle. Se non è abbastanza forte, gli hacker possono estrarre i dati che possono utilizzare per lanciare attacchi su larga scala.
- Shadow IT: Gli strumenti utilizzati dai dipendenti di un'organizzazione che non fanno parte dell'ambiente IT noto o autorizzato sono considerati “shadow IT” e possono creare vulnerabilità proprio perché il team di cybersecurity non ne è a conoscenza. Questi includono app, dispositivi di archiviazione portatili, telefoni e tablet personali e simili.
Come funziona l'ASM?
L'ASM prevede tre fasi principali: scoperta, valutazione e mitigazione. Poiché la superficie di attacco è in continua evoluzione, tutte e tre devono essere eseguite in modo continuo.
Scoperta
La fase di rilevamento definisce la superficie di attacco e tutte le risorse che la compongono. L'obiettivo del rilevamento è identificare tutti i dispositivi, software, sistemi e punti di accesso noti e sconosciuti che costituiscono la superficie di attacco, anche le app shadow IT, le tecnologie di terze parti connesse e le tecnologie che non sono state incluse negli inventari precedenti. Mentre molte soluzioni offrono la scoperta come parte della loro soluzione ASM, è necessario essere perspicaci: cercare una soluzione che integri la conformità e la quantificazione del rischio informatico per garantire di ottenere un quadro completo del rischio al di là del rilevamento delle risorse per mostrare la vera esposizione. Un processo di rilevamento continuo aiuta a rivelare come la superficie di attacco potrebbe cambiare nel tempo.
Valutazione
Dopo la scoperta, i team di sicurezza valutano ogni risorsa alla ricerca di potenziali vulnerabilità, da configurazioni errate ed errori di codifica a fattori sociali/umani come la suscettibilità a schemi di phishing o attacchi Business Email Compromise (BEC). Ogni rischio viene valutato, consentendo ai team di sicurezza di dare priorità a quelli che devono essere affrontati con maggiore urgenza.
La valutazione del rischio si basa generalmente sul livello di rischio, sulla probabilità di attacco, sui potenziali danni e sulla difficoltà di correzione. Idealmente, rappresenterà anche le informazioni sulle minacce globali su quali vulnerabilità vengono sfruttate più spesso e più facilmente.
Esempio: Se un software dà accesso a dati sensibili, è connesso a Internet e ha una vulnerabilità nota che è già stata sfruttata dagli aggressori del mondo reale, la sua applicazione di patch sarà probabilmente una priorità assoluta.
Una volta valutati tutti i rischi, il totale viene calcolato per fornire un punteggio complessivo di rischio aziendale. Ciò consente all'organizzazione di confrontare e monitorare il proprio profilo di rischio nel tempo.
Mitigazione
Mitigare significa agire per affrontare le vulnerabilità che sono state scoperte. Ciò potrebbe significare eseguire aggiornamenti software o installare patch, impostare controlli di sicurezza e hardware o implementare framework di protezione come zero trust. Potrebbe anche includere l'eliminazione di vecchi sistemi e software. In ogni caso, è fondamentale disporre della soluzione giusta per affrontare la mitigazione in modo scalabile.
Quali sono i vantaggi dell'ASM?
Una buona gestione della superficie di attacco offre un'ampia gamma di vantaggi per le organizzazioni, a partire dal rafforzamento dello stato di sicurezza complessivo, offrendo maggiore visibilità all'intero ambiente IT e alla superficie di attacco. Ciò a sua volta aiuta a ridurre il rischio, supportato da monitoraggio e rivalutazione continui per mantenere bassi i livelli di rischio.
Questo garantisce la tranquillità del team di sicurezza e offre vantaggi significativi all'azienda nel suo complesso. La visibilità della superficie di attacco consente una maggiore trasparenza e controllo sulle risorse, riducendo il rischio di attacchi informatici e aumentando i risparmi in termini economici. Quando i team di sicurezza sono in grado di agire in modo più rapido ed efficace, le organizzazioni possono essere meglio posizionate per garantire la continuità aziendale. Perché quando gli attacchi vengono identificati e mitigati prima, c'è meno rischio di interruzioni significative.
Come possiamo implementare l'ASM?
ASM richiede una soluzione di gestione dell'esposizione al rischio informatico integrata con una piattaforma di cybersecurity che adotti un approccio proattivo per eseguire le fasi di scoperta, valutazione e mitigazione.
La scelta di una piattaforma con solide funzionalità operative di sicurezza come le informazioni di sicurezza e la gestione degli eventi (SIEM), il rilevamento e la risposta degli endpoint (EDR) e il rilevamento e la risposta estesi (XDR) è particolarmente importante. XDR in particolare fornisce dati e analisi essenziali sulle prestazioni delle attuali protezioni della superficie di attacco. Queste informazioni aiutano a rendere la fase di valutazione del rischio più accurata.
Dove posso trovare aiuto per la gestione della superficie di attacco?
La gestione della superficie di attacco non è sufficiente nell'odierno ed esigente panorama del rischio. Le organizzazioni richiedono funzionalità di gestione dell'esposizione al rischio informatico per prevedere, scoprire, valutare e mitigare in modo proattivo i rischi, al fine di ridurre significativamente l'impatto del rischio informatico.
Trend Vision One™ offre una soluzione di Cyber Risk Exposure Management (CREM) che adotta un approccio rivoluzionario combinando funzionalità chiave come External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management e Security Posture Management attraverso cloud, dati, identità, API, Al, conformità e applicazioni SaaS in un'unica soluzione potente e di facile utilizzo.
Scopri di più su come Cyber Risk Exposure Management può aiutarti nella gestione della superficie di attacco e non solo.